Skip to main content Skip to search

Posts by datamind

Privacy Shield : les transferts de données à caractère personnel vers les Etats-Unis sont invalides

La Cour de justice de L’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur dans l’affaire dite « Schrems 2 » concernant les
mécanismes de transferts de données hors de l’Union Européenne (UE). Elle a ainsi annulé le Privacy Shield qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate »
par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées, tout en considérant que les clauses contractuelles types demeuraient, quant à elles, valides

Le « Privacy Shield » en question
Les transferts de données vers des pays tiers à l’UE ne peuvent en effet avoir lieu qu’à certaines conditions :
1. Au titre de ces conditions figurent le fait que la Commission
européenne ait constaté que le pays tiers assure un niveau de protection adéquat
2. ou, faute de décision d’adéquation, que les parties aient mis en place des garanties appropriées comme les « règles d’entreprise contraignantes »
, ou les « clauses contractuelles types ».
3. Le Privacy Shield, lui, reposait sur un système d’auto-certification en vertu duquel les entreprises américaines s’engageaient à respecter une
série de principes en matière de protection des données
auprès du ministère du commerce américain (FTC).

Grâce à ce mécanisme, la Commission européenne avait considéré, en juillet 2016, au moyen d’une décision d’adéquation, que les Etats-Unis offraient un niveau de protection adéquate, permettant ainsi les transferts de données entre une entreprise de l’UE et des entreprises américaines
auto-certifiées. Déjà sujet à de vifs débats au moment de son adoption qui suivait de près l’annulation de son prédécesseur, le Privacy Shield avait pour objectif de maintenir au plus vite les accords commerciaux entre l’UE
et les Etats-Unis tout en assurant un niveau de protection suffisant des données transférées aux Etats-Unis.
La période de répit pour les transferts de données vers les Etats-Unis aura toutefois été de courte durée puisque l’Autrichien Max Schrems a poursuivi la procédure qui avait conduit à l’invalidation du Safe Harbor dans la désormais célèbre affaire « Schrems 1 ».

Ce sont des suites de cette procédure, dans le cadre d’un litige opposant la « Cnil » irlandaise (DPC) à Facebook Iretand Ltd et à Max Schrems au sujet d’une plainte concernant le transfert de ses données par Facebook Ireland à Facebook Inc. aux Etats-Unis que plusieurs questions préjudicielles ont été soumises à la CJUE.
Dans l’affaire « Shrems 2 », la CJUE a ainsi été amenée à
examiner la validité du Privacy Shield au regard des exigences
découlant du RGPD, lues à la lumière des dispositions de la Charte des droits fondamentaux de l’UE garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective. La CJUE devait déterminer si
les programmes de renseignement et de surveillance mis en place aux Etats-Unis et les garanties prévues dans la règlementation américaine – pouvant concerner des ressortissants européens – étaient mis en oeuvre dans le respect des exigences de proportionnalité et de respect des
droits des personnes.
Si la CJUE rappelle que les articles 7 (respect de la vie privée)
et 8 (protection des données personnelles) de la Charte des droits fondamentaux de l’UE ne sont pas des « prérogatives absolues ». elle estime toutefois que l’intervention des autorités publiques américaines constitue une atteinte à ces principes et que les limitations qui en découlent ne sont ni proportionnées, ni nécessaires et ne permettent pas l’exercice de droits effectifs et opposables dont doivent nécessairement bénéficier les personnes concernées.


Atteinte aux droits fondamentaux
La CJUE souligne que, contrairement au niveau de protection offert par l’UE, les programmes de surveillance américains aux fins du renseignement extérieur ne contiennent aucune limitation ni n’offrent aucune garantie pour les personnes concernées de l’UE (non américaines), celles-ci ne pouvant par ailleurs pas opposer leurs droits aux autorités publiques américaines devant les tribunaux. Pour parvenir à cette conclusion, elle précise notamment que le mécanisme de médiation prévu par le Privacy Shield n’est ni indépendant, ni pourvu de force contraignante à l’égard
des services de renseignement. La CJUE ajoute que les programmes de surveillance fondées sur les dispositions de la PPD 28 ne sont pas limités au strict nécessaire (contrevenant ainsi au principe de proportionnalité), dans la mesure où ils permettent de procéder à une collecte massive de données et ce sans aucune surveillance judiciaire.
Forte de tous ces griefs, la CJUE a donc logiquement considéré que la décision d’adéquation du Privacy Shield était invalide. Les critiques formées à l’encontre des « clauses contractuelles types » étaient un peu différentes, puisque celles-ci peuvent être utilisées pour des transferts vers tout pays tiers à l’UE.

Maintien des « clauses contractuelles types »
La CJUE était, entre autres, interrogée sur le fait de savoir si leur nature contractuelle, ayant ainsi un effet relatif à l’égard des autorités publiques étrangères, n’était pas de nature à remettre en cause leur validité, dans la mesure où elles pourraient ainsi ne pas permettre aux personnes
concernées d’empêcher l’accès à leurs données et/ou d’exercer leurs droits. Elle a estimé que le seul fait que les clauses contractuelles types ne soient pas contraignantes vis-à-vis des autorités publiques d’un pays tiers n’était pas de nature à emporter l’invalidation de celles-ci. La CJUE a toutefois rappelé en subs tan ce qu’il appartient au responsable de traitement et au destinataire des données de vérifier préalablement à tout transfert si le pays tiers permet en pratique d’assurer un niveau de protection
essentiellement équivalent à celui garanti dans l’UE par le RGPD. Le cas échéant, ils sont alors tenus, soit de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire, soit – si le pays tiers destinataire des données dispose d’une réglementation contraire aux principes figurant dans les clauses contractuelles types – de s’interdire un tel transfert ou d’y mettre fin.

Concernant la deuxième question sur le fait de savoir si les mécanismes figurant au sein même des clauses contractuelles types étaient de nature à assurer de manière effective la protection adéquate requise par l’article 45 du RGPD, la CJUE apporte une réponse positive sans détours :
les différents engagements pris par les parties au titre des clauses contractuelles types sont autant de garanties qui permettent de constituer des mécanismes d’effectivité suffisante.
Cette décision est pourtant bien plus complexe qu’il n’y paraît. Il serait, à notre sens, hâtif d’en déduire que la CJUE donne un blanc-seing à l’utilisation des clauses contractuelles types pour les transferts hors UE. Elle invite, tout au contraire, les responsables de traitement et leurs destinataires à se lancer dans une véritable analyse détaillée de la législation du pays tiers pour vérifier si les garanties qui sont fournies par les clauses contractuelles types peuvent réellement y être respectées en pratique. Dans le cas contraire, ils devront mettre en place, en plus des obligations figurant dans le corps même des clauses, des garanties supplémentaires afin de rendre réellement effectifs les droits des personnes
concernées et l’existence d’un recours juridictionnel.

Le point 132 de la décision de la CJUE semble pointer vers le considérant 109 du RGPD, qui lui-même invite les parties prenantes aux clauses contractuelles types à les compléter par d’autres clauses fournissant des
garanties supplémentaires. L’introduction de garanties supplémentaires par voie contractuelle ne se heurtera-t’elle pas, dans certains cas, à la même suprématie des lois impératives américaines ? Dans l’attente d’orientations plus détaillées, le Comité européen à la protection des données
CEPD, qui réunit les « Cnil » européennes, précise que ce pourrait être des mesures juridiques, techniques ou organisationnelles. Ces deux derniers types de mesures étant certainement les plus à même d’assurer de manière
plus effective une certaine protection des données.
La décision rendue par la CJUE ne s’arrête pas en réalité à
la seule invalidité du Privacy Shield, et ce sont les transferts vers les Etats-Unis dans leur ensemble – quel que soit le mécanisme de transfert utilisé – qui sont en réalité largement questionnés par cet arrêt. Comme le reconnaît le CEPD, les législations américaines qui sont pointées du doigt dans
l’arrêt de la CJUE s’appliquent en réalité à tout transfert vers les Etats-Unis quel que soit l’outil de transfert utilisé.
De fait, la CJUE estime en réalité que le droit américain ne
permet pas d’assurer à lui seul un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Par ailleurs, au-delà des Etats-Unis, ce sont les transferts en dehors de l’UE vers des pays disposant de lois permettant des programmes de surveillance intrusifs qui sont questionnés. En pratique, il est difficile pour les entreprises d’anticiper pour l’heure toutes les conséquences de cette
décision ou l’effectivité des garanties supplémentaires quelles pourraient mettre en place, lorsque celles mises en place par la Commission européenne et le département de commerce américain ont échouées.
Les réactions des autorités de contrôle et du CEPD sont fortement attendues dans les prochains mois pour proposer aux entreprises des solutions pragmatiques leur permettant de tirer toutes les conséquences de cet arrêt, tout en pérennisant si possible les transferts hors UE.

Comment pérenniser les transferts ?
Dans l’attente d’orientations plus détaillées, les entreprises sont ainsi invitées à identifier tous leurs transferts en dehors de l’UE, le mécanisme de transferts utilisé, et à conduire une analyse de la législation du pays en question pour déterminer si celle-ci permet d’assurer un niveau de
protection essentiellement équivalent à celui garanti dans l’UE. Et ce, afin d’envisager au besoin les éventuelles garanties supplémentaires effectives qui pourraient être mises en place.
Néanmoins, la pérennité et la sécurité juridique des transferts hors UE pourraient ne trouver un véritable salut que par une réponse politique adaptée et attendue.

Read more

Un citoyen autrichien fait bloquer le transfert de données vers les États-Unis

px

C’ est un nouvel arrêt retentissant que vient de rendre la Cour de justice de l’Union européenne (CJUE). À l’origine de cette décision, on trouve une plainte déposée par Maximilian Schrems, un citoyen autrichien utilisateur de Facebook depuis 2008.

Cet activiste s’est attaqué au transfert de données personnelles des utilisateurs européens de Facebook vers des serveurs américains où celles-ci font l’objet d’un retraitement. Il considère en effet que les États- Unis n’offrent pas un niveau de protection suffisant contre l’accès à ces données par les autorités publiques américaines.

Maximilian Schrems a donc tenté d’interdire ces transferts vers les États-Unis. Suite à une plainte déposée en Irlande, le pays d’origine du flux de données, une question préjudicielle a été posée à la CJUE.

La plus haute juridiction de l’UE devait rendre sa décision sur la validité de deux dispositifs encadrant le transfert de données depuis l’Europe : le privacy shield (bouclier de la vie privée), un dispositif américain de protection des données reconnu par l’Union européenne, et l’une des “clauses-types”, une série de documents à remplir par les entreprises désirant transférer leurs données vers des pays n’offrant pas un niveau de protection adéquat (Chine, Inde…).

La Cour de justice a purement et simplement invalidé la reconnaissance européenne du privacy shield, un dispositif utilisé par des milliers d’entreprises pour transférer leurs données depuis l’Europe vers les États-Unis. La haute juridiction estime en effet que les pouvoirs de surveillance des autorités américaines sont trop étendus.

“Un séisme”

“Cet arrêt aura un impact énorme sur les entreprises, commente Tanguy Van Overstraeten, Partner chez Linklaters. Environ 5 000 sociétés transfèrent leurs données depuis l’UE vers les États-Unis via le privacy shield. À l’heure actuelle, ces entreprises n’ont plus de base légale pour transférer leurs données. En pratique, le flux ne va pas s’arrêter ce jeudi, ce serait le chaos.” Que va-t-il se passer, alors ? Selon cet expert, le Comité européen de protection des données, qui est chargé d’uniformiser les décisions des autorités nationales de protection des données, devrait communiquer sur les suites à donner à l’arrêt de la CJUE. Énormément d’entreprises certifiées au privacy shield doivent, sans periode de grace trouver une autre méthode juridique pour transféré des données hors de l’UE.

Qu’en est-il des clauses-types, un autre moyen (plus lourd) pour transférer des données en dehors de l’UE ? “Le système des clauses-
types n’est pas invalidé mais la Cour de justice a imposé une série d’obligations aux entreprises qui y ont recours. En théorie, elles devront vérifier le contexte entourant la protection des données dans le pays hôte”
, précise Marie. Avec quelles conséquences, alors qu’énormément de PME, et même de plus grandes entreprises, se contentaient de signer les documents en question sans aller voir plus loin ? “C’est très difficile à dire, commente Marie. Il s’agit en théorie d’un vrai bouleversement, mais on verra en pratique. Je doute que des PME, et même des entreprises de plus grande taille, soient outillées pour vérifier le contexte relatif à la protection des données dans tel ou tel pays.”

Tous les pays qui reçoivent des données européennes ne sont pas concernés par cet arrêt. En effet, une douzaine d’États sont considérés comme le cas de la Suisse, du Japon, de l’Argentine, de la Nouvelle-Zélande, du Canada…. Pour ces pays, rien ne change…

Précisons enfin que Facebook transfère aujourd’hui ses données européennes vers les États- Unis sur la base des clauses-types, plutôt que du privacy shield. Dans un premier temps, le réseau social ne devrait donc pas être touché par cet arrêt dont il est à l’origine.

Par ailleurs, Monique Goyens, directrice générale de l’Association européenne de protection des consommateurs, a salué cette décision. “Le privacy shield ne protège pas suffisamment les données personnelles, estime-t-elle. Ce dispositif contient de nombreuses failles depuis le début.”

Read more

L’écosystème de la publicité ciblée

En attendant la recommandation finale de la Cnil, les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans, certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019 la Cnil a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies, complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique

Ce projet de recommandation, dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif. L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre. Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil.

Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales ». Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement.

En pratique, cela signifierait une information en deux niveaux.
Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ».
Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser. Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.

Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe.

Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90 % considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.

Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche.

Read more

Transfert des données de santé aux Etats- Unis

Au nom de l’état d’urgence, le gouvernement a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser la quasi-totalité de nos données de santé. Dans un avis, la Cnil relève, notamment, que le contrat « mentionne l’existence de transferts de données en dehors de l’Union européenne ». La directrice du projet dément.

Tandis que tous les yeux sont rivés sur les débats autour de l’application StopCovid et du dispositif de fichage envisagé dans le cadre des enquêtes épidémiologiques de suivi des personnes infectées, le gouvernement a autorisé, au nom de l’état d’urgence sanitaire, le déploiement anticipé du Health Data Hub, la plateforme devant centraliser l’ensemble de nos données de santé, hébergées par Microsoft et, s’inquiète la Commission nationale de l’informatique et des libertés (Cnil), potentiellement transférables aux États- Unis.

Alors que le projet était encore en cours de déploiement, et que tous les textes d’applications ne sont pas encore prêts, le gouvernement a pris le 21 avril dernier, au nom de l’état d’urgence sanitaire, un arrêté modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.

Seront ainsi intégrées à la plateforme les données du Système national des données de santé (SNDS) qui regroupe lui-même les principales bases de données de santé publique, les « données de pharmacie », les « données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine », les données des laboratoires, celles des services d’urgence, « des enquêtes réalisées auprès des personnes pour évaluer leur vécu » ou encore celles issues du pourtant contesté SI-VIC, le système de suivi des victimes lors de catastrophes sanitaires qui, au mois d’avril dernier, avait été utilisé pour ficher des gilets jaunes.

Le Health Data Hub récupérera aussi des données issues des enquêtes épidémiologiques instaurées par la loi de prolongation de l’état d’urgence sanitaire, dont celles du Système d’information national de dépistage populationnel (SIDEP), un fichier spécialement créé pour centraliser les résultats d’analyses des laboratoires. Comme l’explique un document du ministère de la santé, l’un des buts du SIDEP sera en effet de « permettre une réutilisation des données homogènes et de qualité pour la recherche ». « Dans le cadre du Health Data Hub », cette réutilisation se fera « avec un chaînage avec les autres données du SNDS ».
Ce fichier « va aider à l’identification des cas car il permet d’avoir une visibilité sur les nombreux cas de contamination testés en dehors de l’hôpital », explique la directrice du Health Data Hub Stéphanie Combes. « Les données seront pseudonymisées », assure-t-elle.

Autre ajout au Health Data Hub, l’arrêté prévoit une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements. « C’est essentiellement un fichier économique et qui peut avoir ses limites en fonction des usages, détaille Stéphanie Combes. Mais il comporte beaucoup d’informations intéressantes. Il comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque. »

À quoi servira une telle concentration de données ? « Les outils numériques peuvent être une aide à la gestion de cette crise sanitaire », assure Stéphanie Combes, qui donne quelques exemples. « Il y a tout d’abord des outils d’aide à la modélisation de l’évolution de l’épidémie, en analysant notamment les passages aux urgences. On pourra également plus facilement évaluer l’efficacité des traitements grâce à ce qu’on appelle des “essais virtuels”, les “données de vie réelle” qui, croisées avec les données pathologiques, permettront de comprendre dans quels cas le virus se développe et donc de mieux suivre les patients à risque. Même si pour l’instant il est un peu trop tôt, on pourra analyser les parcours de soin des personnes ayant été contaminées. Enfin, à plus long terme, ces données permettront d’étudier les conséquences plus générales de cette crise, au-delà du virus lui-même. Je pense par exemple aux conséquences du confinement sur notre système de santé qui a entraîné le report de nombreux actes médicaux. On pourra mieux prévoir et organiser la reprogrammation de ces actes. »

Pourtant, la publication de cet arrêté accélérant la mise en place du Health Data Hub n’est pas du goût de tout le monde. Lancé au printemps 2018 par Emmanuel Macron dans la foulée du rapport Villani sur l’intelligence artificielle, ce projet est en effet vivement contesté en raison des craintes relatives à la protection de la vie privée des usagers et faisait actuellement l’objet de discussions visant à apaiser les tensions.

Le Health Data Hub avait été acté par la loi santé du 24 juillet 2019. Son but est de remplacer l’actuel SNDS qui centralise déjà les principaux fichiers de santé, dont celui de l’Assurance-maladie, tout en élargissant considérablement sa portée. À terme, toute donnée collectée dans le cadre d’un acte remboursé par l’Assurance- maladie sera centralisée dans le Health Data Hub, des données des hôpitaux à celles du dossier médical partagé ou celles des logiciels professionnels utilisés par les médecins et les pharmaciens.

Cette concentration sans précédent de données de santé avait suscité immédiatement de vives inquiétudes, notamment de la Commission nationale de l’informatique et des libertés (Cnil). Dans un avis rendu sur la loi santé, elle soulignait qu’« au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ». La commission appelait « dès maintenant l’attention sur la problématique majeure du respect, en pratique, des principes de limitation des finalités et de minimisation des données par ces nouveaux traitements, évoluant dans un contexte d’accumulation de données pour alimenter les algorithmes d’intelligence artificielle ».

De plus, le Health Data Hub est géré par un groupement d’intérêt public (GIP) chargé d’administrer l’ouverture des données à des acteurs extérieurs. Or, comme le soulignait la Cnil, la loi santé a également modifié les textes régissant ces accès afin de permettre leur utilisation par des acteurs privés. Jusqu’alors, les données personnelles de santé ne pouvaient être soumises à un traitement informatique que dans le cadre de « l’accomplissement des missions des services de l’État » ou « à des fins de recherche, d’étude ou d’évaluation » et « répondant à un motif d’intérêt public ». La loi santé a fait disparaître toute référence à une finalité scientifique pour ne conserver que le « motif d’intérêt public ».
Enfin, et sans doute s’agit-il du point le plus bloquant, l’ensemble de ces données sera hébergé par le géant américain Microsoft. Ce projet était confronté à une fronde de plusieurs acteurs du monde médical. Les hôpitaux, notamment, possèdent déjà leurs propres bases de données, stockées dans des « entrepôts », qu’ils exploitent déjà par eux-mêmes. Beaucoup acceptent mal cette obligation de transférer, sans contrepartie, ce véritable patrimoine numérique, qui plus est pour que celui-ci soit centralisé à l’extrême et confié à un acteur soumis à la loi américaine qui peut, en théorie, le contraindre à offrir un accès à ces données aux autorités. Ces craintes avaient été notamment exprimées dans un courrier envoyé par le directeur de l’AP-HP Martin Hirsch au ministère de la santé.

De plus, l’attribution de l’hébergement à Microsoft s’était faite sans appel d’offres, provoquant ainsi la colère d’autres acteurs du numérique français. Au mois de mars dernier, plusieurs d’entre eux avaient écrit au ministère de la santé pour dénoncer un délit de « favoritisme » et demander l’ouverture d’une enquête.

Read more

Le secret médical en question

À compter du 11 mai, tous les cas positifs ou suspects de Covid-19 seront dépistés et isolés, ainsi que tous leurs cas contacts. Pour conduire cette politique de santé publique, l’État construit un système d’information nominatif.

Le « traçage » des cas de Covid-19 se fait selon trois niveaux. Le premier est celui des médecins généralistes ou hospitaliers qui, lorsqu’ils reçoivent un patient avec des symptômes caractéristiques du Covid-19, doivent lui prescrire un test de dépistage, ou encore des masques. Mais ils seront aussi chargés de « tracer » les « cas contacts », à l’intérieur de la famille, autour de ce patient 0. Ces cas contacts se voient aussi prescrire des masques et un test de dépistage. Tous sont invités à s’isoler, sans mesure de contrainte.

En deuxième niveau intervient l’assurance-maladie, chargée de rappeler le « patient 0 », et de l’interroger pour élargir le cercle de ses cas contacts, au-delà de la famille.

En troisième niveau interviennent les agences régionales de santé (ARS), qui se concentreront sur les cas complexes : les cas de Covid-19 en « milieu collectif », comme les établissements sociaux et médico-sociaux, les prisons ou encore les « clusters ».

Le médecin généraliste trace les cas contacts, dans la mesure du possible, dans le cadre de son travail habituel : il interroge le patient sur ses conditions de vie, son entourage familial, dans un dialogue en confiance. L’objectif est d’abord de l’aider à protéger sa famille. » Pour ce premier niveau d’enquête, le médecin généraliste libéral va percevoir un forfait de 55 euros, gonflé de 2 à 4 euros en fonction du nombre de contacts renseignés au-delà du cercle familial.

Au deuxième niveau, celui de l’assurance-maladie, c’est l’incrédulité. Selon des documents internes que nous nous sommes procurés, les caisses primaires d’assurance-maladie vont devoir mobiliser entre 4 000 et 6 500 agents, 7 jours sur 7, de 8 heures à 19 heures.

Tous les types de métiers seront sollicités : des médecins, des infirmières, mais aussi des agents d’accueil, qui seront chargés à leur tour de tracer les cas contacts. « Nous avons privilégié des personnes avec un profil médical », assure l’assurance- maladie.

Au niveau 3, celui des ARS, le travail de traçage attendu est au contraire « habituel » : « Au terme de traçage, je préfère celui de recherche de sujet contact, président du Syndicat des médecins inspecteurs de santé publique, affilié à l’Unsa (SMISP-Unsa). C’est de l’épidémiologie d’intervention. On en fait régulièrement, par exemple en cas d’épidémie de rougeole, ou au moment des crises sanitaires du SRAS ou d’Ebola, La difficulté aujourd’hui, c’est le volume des interventions, que l’on a du mal à mesurer. »

Mais quelle que soit l’ampleur des cas à suivre, dans cette épidémie, les médecins de santé publique de l’ARS ne sont « pas assez nombreux : seulement 220, alors que nous étions 350 en 2010, à la création des ARS, rappelle Thierry Fouéré. Faute de moyens humains, on doit donc se concentrer sur le niveau 3 d’intervention. L’élargissement du nombre de professionnels qui vont faire ce travail aux niveaux 1 et 2, qui relève de nos missions, nous inquiète. Est-ce que la qualité de l’investigation de ces cas et sujets contacts sera au rendez-vous ? Est-ce qu’ils seront bien encadrés par des médecins, soumis au secret professionnel ? On attend d’être rassurés ».

« Soigner n’est pas ficher »

En réponse à nos questions, l’assurance- maladie l’assure : « L’ensemble des personnels habilités » à conduire ces investigations sont « soit du personnel médical et paramédical, soit des salariés habitués et formés à traiter des données sensibles dans le respect de la confidentialité ».

Mais pour les syndicats « ce dispositif remet en cause le secret médical et le secret professionnel ». Car à ce dispositif est adossé un système d’information, le SIDEP (système d’information de dépistage), partagé entre tous ses acteurs – médecins généralistes, biologistes, assurance maladie et ARS – où seront indiqués les noms, les adresses, les numéros de téléphone de tous les cas de Covid-19 suspects, avérés ou contacts, ainsi que le résultat de leurs tests de dépistage. Ces données personnelles pourront « être traitées et partagées, le cas échéant sans le consentement des personnes intéressées ».

Read more

Les conséquences du RGPD pour votre organisation

Dès le moment où vous traitez des données à caractère personnel, vous tombez dans le champ d’application du GDPR.

Ce chapitre aborde les grands principes du GDPR dont vous devez tenir compte. Il n’y a pas que les grandes multinationales ou les services commerciaux qui sont concernés. Les administrations publiques aussi. Et elles doivent se montrer exemplaires en la matière vis- à-vis du citoyen dont elles traitent les données personnelles au quotidien.

VOUS ÊTES RESPONSABLE !

Non seulement vous devez faire en sorte de vous conformer au GDPR, mais vous devez aussi démontrer que vous avez pris toutes les mesures appropriées. Vous ne pouvez donc pas vous reposer simple- ment sur vos sous-traitants.

REGISTRE DES DONNÉES ET ÉTUDE D’IMPACT

En tant que responsable ou sous- traitant du traitement des données, le GDPR vous impose de tenir un registre qui mentionne le type de données, les finalités de ce traitement, les personnes concernées, la durée de conservation, les mesures de sécurité mises en place, etc.
Les données sont souvent dispersées auprès de différents services et sur divers supports (ordinateur, clé USB, serveur dans le cloud, dossiers papier…). Aucun de ces supports ne doit être oublié. En ce qui concerne les données dites sensibles, vous devez aussi réaliser une étude d’impact, notamment sur les risques encourus dans le stockage ou le traitement de ces données.

Read more

Suis-je concerné·e par le RGPD ?

Vous êtes concerné·e si l’un de vos services, ou un sous-traitant, traite, gère, utilise et/ou dispose de données à caractère personnel.

Et c’est plus fréquent qu’on ne le pense. Quelques exemples ?

  • Le fichier des lecteurs de la bibliothèque communale
  • La liste des abonnés au centre culturel
  • Les enfants inscrits dans les crèches communales ou aux activités extra-scolaires
  • Les dossiers de patients d’une maison médicale ou d’un home
  • Les données conservées électroniquement ou sur papier par les Ressources Humaines
  • La liste des personnes à qui vous envoyez une newsletter électronique ou papier
  • Les coordonnées de candidats à un logement social, à une allocation de remplacement
  • Les données fiscales de demandeurs de primes à l’embellissement des façades ou à l’installation de panneaux solaires
  • Un fichier tableur avec des données extraites
  • Toutes les demandes de citoyen en vertu d’une réglementation (permis d’urbanisme, passeport…)
  • Etc… Dès l’instant où vous récoltez – ou traitez – des données personnelles, vous devez vous conformer à un certain nombre d’obligations. Le GDPR en instaure de nouvelles

Read more

Résumé : un pense-bête en 10 étapes

1. INFORMER ET CONSCIENTISER
Le RGPD, c’est avant tout une gestion des risques : vous devez donc impliquer tous les collaborateurs de votre institution et les conscientiser à cette nouvelle réglementation.

2. REGISTRE DE TRAITEMENT
Etablissez dès maintenant un inventaire des types de données que vos services traitent, comment vous les conservez, avec qui vous les partagez, combien de temps vous les conservez, etc.

3. CHARTE VIE PRIVÉE
Rédigez ce document en y incluant tous les prescrits obligatoires du RGPD ou adaptez le texte si vous en avez déjà un.

4. CONSENTEMENT
Vérifiez que les consentements que vous avez déjà obtenus répondent aux nouvelles exigences du RGPD. A défaut, il vous faudra les redemander ou détruire les données que vous avez récoltées sans vous conformer à la nouvelle législation.

5. DROITS DE LA PERSONNE CONCERNÉE
Vos procédures internes permettent-elles de répondre aux citoyens qui feront usage de leurs droits d’accès, de modification, de suppression, d’effacement, de portabilité… dans le délai prévu par le RGPD ?

6. DATA PROTECTION OFFICER (DPO)
Désignez au plus tôt un délégué à la protection des données. EURGPD peut endosser ce rôle, collaborer ou assister la personne qui assurera cette fonction au sein de votre institution.

7. ENFANTS
Le RGPD octroie une protection particulière aux données relatives aux enfants. L’accord d’un parent ou d’un tuteur est obligatoire pour toutes les données concernant des enfants de moins de 16 ans. Attention donc si vous organisez, directement ou via un sous-traitant, de l’accueil extra-scolaire, des stages sportifs, etc.

8. FUITE DE DONNÉES
Prévoyez d’ores et déjà les procédures (notamment en communication) pour prévenir, détecter et réagir face à des brèches de sécurité, des pertes ou vols de données.
Le délai pour en avertir l’autorité de contrôle est assez court. Et dans certains cas, vous devrez aussi prévenir toutes les personnes concernées.

9. SOUS-TRAITANTS ET CONTRATS EXISTANTS
Répertoriez tous les sous-traitants qui interviennent sur des données à caractère personnel et adaptez les contrats qui vous lient au regard du nouveau règlement.

10. EURGPD, VOTRE PARTENAIRE DE CONFIANCE EN MATIÈRE DE RGPD !
Contactez le pour vous assister dans le plan d’actions à mettre en œuvre au sein de votre organisation.




Read more
compteur électrique intelligent en Tunisie

Le compteur intelligent de la STEG viole t-il la vie privée ?

Ça chauffe à la STEG avec les compteurs électriques intelligent

Le point de vue exprimé ci-dessous concerne principalement les compteurs électriques mais la plupart des arguments peuvent être étendus aux autres compteurs communicants.Ces compteurs présentent de nombreux défauts et risques divers, en termes de protection de la vie privée, de santé publique ainsi que d’impacts sociétaux et écologiques.

Son déploiement sur le territoire se traduirait par un surcout important pour le citoyen et les entreprises (compteur plus cher, à faible durée de vie, cout de l’infrastructure et de sa maintenance, surconsommation électrique) et n’est aucunement nécessaire à la transition énergétique comme le prétend la STEG.

Le compteur communicant place le citoyen usager sous le contrôle et la surveillance du gestionnaire de réseau en dehors de tout contrôle démocratique et juridique.

À ce jour l’état et n’a jamais pas pris la peine de consulté la société civile et ni INPDP : Instance nationale de protection des données personnelles.

Le déploiement des compteurs communicants augmenterait notre exposition aux ondes électromagnétiques mais les conséquences en termes de santé publique sont ignorées par la STEG. Les personnes qui réduisent ou suppriment les sources de pollution électromagnétique dans leur lieu de vie et de travail se verront imposer la pollution permanente émises par les ondes des compteurs communicants, les leurs et ceux de leurs voisins.

Les éventuelles dérogations pour les malades de l’EHS (électro-hypersensibilité) peuvent convaincre.

Il n’y a pas eu de véritable débat démocratique sur le bien-fondé de ces compteurs, la STEG commencera à les déployer à SFAX cet été.

Globalement, la consommation d’électricité augmenterait car il n’y aura pas d’économie au niveau du consommateur mais par contre il y a une consommation électrique supplémentaire par les compteurs, les répéteurs, les concentrateurs et les centres de données.

À ceci, il faut encore ajouter l’énergie consommée tout au long du cycle de vie des compteurs communicants et des autres équipements, énergie très supérieure à celle du cycle des compteurs électromécaniques (les compteurs communicants ont une durée de vie bien plus courte et, comme tout équipement électronique, ils nécessitent un grand nombre de métaux demandant beaucoup d’énergie pour être extraits et raffinés ; comparativement à leurs pendants électromécaniques, leur recyclage est limité et bien plus énergivore). Il est paradoxal de voir un système promu comme indispensable à la transition énergétique consommer plus d’énergie et de matière que le système qu’il est censé remplacer et, finalement, aller à l’encontre des objectifs de limitation du réchauffement climatique.

Son porte-parole Mounir Ghabry annonce dans les médias que la STEG va commencer à installer cet été l’installation des compteurs intelligents sans fil, des sortes de mouchard de compteurs électriques sans fil qui enverront 3 fois par jour nos données de consommation d’électricité au siège. Une fois le mouchard en place et en plus de savoir ce que nous consommons, ceux-ci pourront savoir si nous sommes présents à la maison. Du coup la vie privée n’existe plus.

Sur les risques de piratage des données.

Selon certains spécialistes en matière de sécurité informatique le risque de piratage des sécurité informatique est élevé. Il est facile de lire frauduleusement les données fournies par le compteur, soit pour les modifier, soit pour les utiliser à des fins commerciales, soit encore pour provoquer des surcharges génératrices pour provoquer des surcharges génératrices d’incendie. Les compteurs ne seraient protégés que par des codes rudimentaires et il est facile est facile de casser pour prendre le contrôle.

L’Allemagne a exigé que les échanges de données entre les compteurs et le réseau se données entre les compteurs et le réseau se fasse au niveau de sécurité des télécommunications bancaires; cette exigence augmente considérablement les coûts du système.

Sur le caractère intrinsèquement intrusif des compteurs « intelligents »
• Les nouveaux compteurs sont des outils puissants pour s puissants pour s’immiscer dans la vie privée dans la vie privée ( Conférence internationale de protection des données et de la vie privée – Madrid, novembre 2009).

• Les fonctionnalités des compteurs intelligents violent le droit à la vie privée » violent le droit à la vie privée tel qu’il est garanti par l’article 8 de la Convention européenne des droits de l’Homme.

Les données recueillies par le compteur sont globales et renseignent sur la consommation individuelle de chaque appareil. Mais ces données dites « globales » peuvent être recueillies sur un pas de temps court et fournir pour cette raison une indication détaillée sur le mode de vie des abonnés.
• Les données enregistrées dans la « courbe de charge »
sont ainsi des données personnelles soumises au sont ainsi des données personnelles soumises au régime de protection national et européen.

Conclusion
• Le déploiement des compteurs « intelligents » est un choix politique qui sert quasi exclusivement des choix politique qui sert quasi exclusivement les intérêts industriels de la STEG. Ses avantages sociétaux sont très difficilement discutables et la référence à la transition énergétique est un paravent trompeur qui masque le caractère intrusif, dangereux et problématique pour la santé du compteur communicant.
• Le compteur communicant place le citoyen usager sous le contrôle et la surveillance du gestionnaire du sous le contrôle et la surveillance du gestionnaire du réseau.
• Le compteur intelligent est doté, dès son installation, de fonctionnalités
minimales notament : La coupure et l’autorisation d’ouverture à distance du compteur;
Les données privées ne sont absolument pas contrôlées par aucune instance de supervision et ni sous le contrôle de l’instance nationale de protection des données personnelles.


Read more

Comment Pervasive protège les données avec ISO 27001

Cette étude de cas montre comment la gouvernance informatique a aidé Pervasive Health à obtenir la certification ISO 27001.

Étude de cas sur la santé omniprésente

Le traitement des données de santé sensibles nécessite la mise en œuvre d’une technologie, de normes et de processus rigoureux. Pour Pervasive Health, les choses se passent comme d’habitude, car elles permettent aux entreprises et aux professionnels de la santé de découvrir chaque jour un aperçu de la santé. Pervasive Health a choisi la gouvernance informatique pour sa mise en conformité.

Certification accréditée ISO 27001 pour les opérations américaines et européennes de l’organisation, ce qui en fait la plate-forme la première du genre à atteindre cet objectif.

Contexte

Pervasive Health est une société européenne avec une clientèle mondiale qui fournit la plate-forme révolutionnaire pour la santé, Apervita®. Apervita est puissant et sécurisé, permettant aux entreprises de santé et aux professionnels de la santé de connecter des informations basées sur des diagnostique et des pratiques de santé n’importe où. La plateforme permet aux médecins et aux cliniciens de gagner du temps et de l’argent grâce à un accès rapide et intelligent à une source unifiée d’informations sur les patients.

Les données sont stockées de manière native dans des concepts de santé standard auxquels tout professionnel de la santé sera familier, plutôt que dans des structures de données propriétaires. Tout professionnel de la santé peut créer, publier et partager des informations sur la santé sur la plateforme.

L’équipe de Pervasive Health tire parti de l’expérience de nombreux secteurs de l’industrie, notamment les soins de santé, les télécommunications, la banque, le trading algorithmique et le transport aérien. En conséquence, la plate-forme Apervita est un pur-sang, intégrant les meilleures technologies pour gérer les mégadonnées, la confidentialité, les informations personnelles identifiables (PII), les informations de santé protégées (PHI), HIPAA, l’authentification, les autorisations, les audits, le cryptage des données, évolutivité globale et gestion des opérations unifiées.

Exigences

La nature des données que Pervasive Health traite et protège pour le compte de ses clients fait de la certification ISO 27001 un progrès judicieux en termes de sécurité et de gestion.

Le mantra de Pervasive Health consiste à habiliter les entreprises et les professionnels de la santé à créer et à partager des informations sur la santé afin qu’ils puissent travailler chaque jour. La plateforme Apervita comprend essentiellement un dossier de santé intégré de toutes les données actuelles et historiques sur les patients. Il relie ces données à une puissante communauté, rédigée par les partenaires de la plate-forme. L’approche, intégrée à la plate-forme de la société, libère la valeur des informations sur les patients, en unifiant le parcours du patient dans les établissements de soins, en rassemblant des données cliniques, financières et opérationnelles et en les connectant au marché de la santé.

Processus

Pervasive Health a contacté Data Proof / EuRgpd pour fournir l’assistance en matière de conseil nécessaire à la création d’un système de gestion de l’information conforme à la norme ISO 27001. Cela nécessitait l’identification de toutes les interfaces et dépendances avec des fonctions ou des services ne relevant pas de sa portée, et une réflexion sur la manière dont elles pourraient être traitées. La portée exacte du projet et les objectifs en matière de sécurité de l’information ont conduit à la politique de sécurité de l’information qui ont été déterminés par la direction de Pervasive Health avec le soutien de nos consultants en gouvernance informatique. Cela comprenait l’aide à l’élaboration du cadre d’évaluation des risques requis et des recommandations sur les critères d’acceptation des risques.

Les travaux menés dans le cadre de cette phase d’appui ont également aidé le responsable de la sécurité de l’information de Pervasive Health à développer le profil de l’équipe de projet et l’ébauche d’un plan de travail. Data Proof / Eurgpd a fourni un support de conseil ‘mentor et coach’. Afin de se conformer à la norme ISO 27001 et aux exigences du Centre d’information sur les soins de santé et les services sociaux (anciennement Exigences du NHS Connecting for Health). Une évaluation des risques liés à la sécurité des informations basée sur les actifs a été réalisée. Ceci a été réalisé en menant des entretiens avec les propriétaires d’actifs afin de produire un registre d’actifs, puis en évaluant les risques potentiels pour les actifs. Une fois que les risques ont été identifiés et que les décisions ont été prises sur la manière de les gérer, un plan de traitement des risques complet a été élaboré, ce qui a conduit à l’élaboration d’une déclaration d’applicabilité pour se conformer à la norme.

Pervasive Health disposait déjà de processus internes puissants pour protéger les données; Cependant la norme ISO 27001 les a aidés à prendre en compte tous les risques auxquels ils avaient été confrontés.
La gouvernance informatique a aidé Pervasive Health à créer la documentation ISO 27001 en collaboration avec l’équipe, qui a engagé des ressources pour introduire les contrôles de sécurité.

Rinaldo : «La gouvernance informatique nous a tenus sur la route jusqu’à l’arrivée du vérificateur externe. La formation qu’ils ont fournie Data Proof/EuRgpd était très utile, de même que les modèles de document. Avoir des yeux différents à chaque étape était l’une des raisons pour lesquelles nous nous sommes sentis confiants depuis le début, et le résultat de l’audit final l’a justifié. « 

Aaron fait écho à la confiance de Rinaldo dans l’approche de gouvernance informatique: «La sécurité de l’information est un élément essentiel de notre activité. Nous voulions donc que tous les aspects de notre système ISMS soient corrects. Il est essentiel de faire le lien entre les professionnels de la santé et des informations sur la santé afin d’obtenir les meilleurs résultats possibles tout en minimisant les coûts. À mesure que les informations sur la santé deviennent plus omniprésentes, nous devons garantir l’intégrité des données et des plates-formes qui fournissent ces informations.

Une plate-forme de santé viable doit être conçue autour du principe de confidentialité, d’intégrité et de disponibilité. Grâce à la plate-forme Apervita, les clients et partenaires de Pervasive Health peuvent créer des informations complètes sur les patients, les populations et les performances, et les connecter à leur flux de travail. C’est grâce à la plate-forme de service nouvelle génération de Pervasive et à la confiance de des utlisateurs que la sécurité de l’information fait partie intégrante de notre organisation et de nos processus. « 

Rinaldo a conclu: «Nous recommandons aux fournisseurs de services gérés soucieux de la sécurité d’adopter les meilleures pratiques ISO 27001 et d’obtenir une certification accréditée avec le soutien de cabinet extérieur. Leurs consultants nous ont montré comment intégrer la sécurité de l’information dans nos pratiques à tous les niveaux de l’organisation, afin que notre personnel, nos processus et notre technologie travaillent ensemble pour protéger les dossiers de santé confidentiels de nos partenaires. ”

Résultat
Pervasive Health a passé avec succès la deuxième étape de l’audit ISO 27001 le 19 juillet 2018. En conséquence, l’organisation a été recommandée pour certification par Det Norske Veritas Ltd (DNV).

Prochaines étapes
Pervasive Health entend promouvoir activement sa certification ISO 27001 sur son nouveau site Web et expliquer aux partenaires potentiels pourquoi son approche est rigoureuse et efficace.

«La réponse de nos partenaires a été positive et rassurante», déclare Aaron. Nous prévoyons de saisir davantage d’opportunités commerciales et de croître plus rapidement parce que nous avons adopté une position responsable en matière de sécurité sur un marché naturellement senssible en matière de protection des données personnelles. Pervasive Health est fier d’être une organisation certifiée ISO 27001.

Read more