Alors que le Gouvernement vient de faire évoluer l’application de traçage TousAntiCovid afin d’intégrer un pass sanitaire (source), les questions liées à la sécurité des données dans le domaine de la santé, du para-médical et du médico-social sont plus que jamais au centre des débats.
La pandémie de Covid-19 a en effet accéléré la digitalisation d’un secteur qui est encore loin d’être préparé aux enjeux liés à la cybercriminalité. Les données des patients, particulièrement sensibles, sont en effet très recherchées par les hackers. A titre d’exemple, la Fondation santé des étudiants de France (FSEF), la maison mère de 13 cliniques, a été victime en avril d’un “rançongiciel” qui l’a privée de tout accès à ces informations confidentielles (source).
Or, mettre en place une protection efficace suppose de commencer par appliquer la législation, et donc le RGPD. Sécurité informatique et RGPD vont en effet de pair : le règlement général sur la protection des données responsabilise tous les acteurs à mieux identifier et maitriser leurs systèmes, impose le respect des droits des personnes concernées par des opérations de traitement sur leurs données à caractère personnel comme étant une obligation absolue, et met en place de bonnes pratiques permettant d’améliorer la gestion des risques.
A la traîne sur ces sujets, le secteur de la santé est désormais dans le viseur de la CNIL, qui constate de nombreux manquements au RGPD. Récemment, elle a ainsi identifié une fuite de données concernant 500 000 Français, liée à la défaillance d’un laboratoire d’analyses médicales. Or la CNIL n’a pas été notifiée de cet évènement dans les 72 heures, ainsi que la loi l’exige. Des sanctions vont donc être prononcées (source).
Un référentiel a par ailleurs été mis en place par la CNIL afin d’accompagner les organismes publics et privés. L’ensemble des organismes privés ou publics concernés par l’accueil, l’hébergement, l’accompagnement des personnes âgées, en situation de handicap ou en difficulté peuvent bénéficier de ce référentiel. Celui-ci regroupe d’anciens cadres de référence (AU-47 et 48, RU-005 et 63) qui n’ont plus de valeur juridique depuis l’entrée en application du RGPD. Il permet d’appliquer les règles de protection des données aux traitements relevant du secteur social et/ou médico-social.
Afin d’aider toutes les organisations de la santé, du paramédical et du médico-social à respecter leurs obligations, Asklépian les accompagne dans leur mise en conformité au RGPD et/ou à l’externalisation des compétences de DPO (délégué à la protection des données).
Tous les acteurs de la santé ont l’obligation de se conformer au RGPD
Les laboratoires et les hôpitaux ne sont pas les seuls à devoir mettre en œuvre les mesures adéquates et pertinentes pour garantir un haut niveau de disponibilité, de confidentialité et d’intégrité des données.
Tous les professionnels de la santé, du paramédical et du médico-social sont soumis à cette législation, même s’ils n’en ont pas toujours conscience :
- les médecins (certains ont d’ailleurs déjà été sanctionnés par la CNIL),
- les startups, de plus en plus nombreuses à proposer des innovations en BtoB et en BtoC ;
- les entreprises, quelle que soit leur taille et leur cible (professionnels et/ou particuliers) ;
- les associations : associations de défense ou d’entraide des usagers, associations professionnelles… ;
- les fondations, qu’elles soient liées à une entreprise ou totalement indépendantes ;
- les collectivités : centres communaux d’action sociale, mairies…
Adopter une protection va permettre de mieux gérer la situation en cas de cyber-attaque, notamment en mettant en place des mesures de sécurité organisationnelles et techniques. En effet, être en conformité avec la CNIL assure une protection face à cette menace. Il ne faut pas redouter les sanctions mais plutôt craindre les cyberattaques. Cela va également permettre aux entreprises de ne pas être bloquées au niveau des coûts et de la durée de la paralysie.
Fabien Fernandez, le fondateur d’Asklépian, souligne :
Les données extrêmement sensibles qui sont collectées méritent une sécurisation particulière. Il faut donc non seulement respecter les exigences du RGPD mais aussi, en cas de cyber-attaques et de paralysie, avoir la certitude que ses activités ne soient pas affectés et permettre à l’organisation de redémarrer au plus vite et dans les meilleures conditions en s’appuyant sur une documentation spécifique anticipatoire démontrant les mesures de sécurisation mises en œuvre dans un système maitrisé.
Un accompagnement sur-mesure grâce à des outils & services adaptés
Des associations nationales dans le secteur de la santé, des startups innovantes visant des marchés publics dans le secteur de la recherche clinique, des cabinets médicaux, un data center HDS… font déjà confiance à l’expertise et au savoir-faire d’Asklépian.
Un accompagnement spécifique est en effet proposé en fonction des besoins de chacun :
Mise en conformité RGPD en session individuelle durant 9 mois
Ces sessions, adaptées au planning surchargé des professionnels de santé, peuvent être organisées de façon collective ou individuelle.
Pendant 9 mois, à raison d’un atelier par mois, ils vont ainsi être aidés, guidés, conseillés, relus et corrigés par un délégué à la protection des données certifié.
Ils profitent de :
- 9 séances collectives ou individuelles pour définir leurs objectifs, les trames documentaires et co-construire leur projet de mise en conformité ;
- 9 phases de travail individuel ;
- 9 phases de conseils personnalisés (relecture et correction).
Mise en conformité RGPD clé en main
Très appréciée, cette prestation permet de n’avoir à se soucier de rien ! Les équipes d’Asklépian vont se charger de tout : elles réalisent tous les audits préalables, toute la documentation, effectuent des recommandations et accompagnent leur mise en œuvre.
Durée : de 9 mois à 1 an.
Externalisation de compétences DPO
Les activités du délégué à la protection des données externalisées consistent à apporter une expertise sur le RGPD :
- Informer et sensibiliser, diffuser une culture « Informatique et Libertés » ;
- Veiller au respect du cadre légal ;
- Informer et responsabiliser, alerter si besoin, son responsable de traitement ;
- Analyser, investiguer, auditer, contrôler ;
- Établir et maintenir une documentation au titre de « l’Accountability » pour documenter toute la conformité ;
- Assurer la médiation avec les salariés et les patients ;
- Interagir avec l’autorité de contrôle.
- Être le point de contact entre tous les acteurs sur tous les sujets autour de la protection des données (CNIL, responsables, sous-traitants, clients, salariés…).
- Accompagner la mise en place de mesures techniques et organisationnelles.
Sa présence peut notamment permettre d’éviter le prononcé d’une amende ou même d’une astreinte par la CNIL, qui interdirait alors aux professionnels de santé de continuer le traitement des données.
Back-office pour aider à la constitution documentaire
Mise à disposition d’assistants DPO pour la rédaction documentaire au titre de l’Accountability prévue dans la RGPD (documentation avec cartographie interactive, excel, csv et pdf).
Le client pilote sa conformité avec l’assistance et l’aide d’une équipe technique dédiée.
Prestations de conseils à la demande
- Préconisations et recommandations pour juger du degré de conformité de l’organisation, mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.), et afin de vérifier le respect du cadre légal ou la bonne application des procédures, méthodes ou consignes relatives à la protection des données personnelles.
- Etudes de cas
- Analyses juridiques et technologiques…
Asklépian, une approche à 360° du RGPD
Asklépian est une référence en matière de sécurité informatique et des réseaux. Ses compétences de Délégué à la protection des données (DPO) sont d’ailleurs certifiées par l’AFNOR selon l’agrément CNIL.
Asklépian est également membre de l’Association Française des Correspondants à la protection des Données à caractère personnel, ce qui lui permet de signer une charte de déontologie afin de promouvoir une culture de l’éthique parmi les DPO désignés auprès de la CNIL au titre du RGPD.
Au plus proche des besoins de ses clients, cette société dynamique dispose notamment d’un logiciel pour la gestion d’un système de management opérationnel des données à caractère personnel contenant l’ensemble des registres RGPD, ainsi que d’un service de communication spécifique.
Un véritable pôle de compétences
Service “Organisationnel”
Les équipes accompagnent à mettre en œuvre les mesures organisationnelles adéquates et cohérentes dans les organisations pour sécuriser les données à caractère personnel en optimisant les systèmes, mais aussi en définissant, formalisant et simplifiant les procédures.
Service “Juridique”
Il intervient pour sécuriser juridiquement la documentation lors de contractualisation avec des sous-traitants ou de rédactions de mentions d’information, légales ou politiques…
Chaque semaine, une veille juridique est également produite en interne pour apporter les meilleurs conseils et un suivi optimisé.
Service “Sécurité des systèmes d’information et Cybersécurité”
La Dream Team propose une stratégie de sécurisation des systèmes d’information (SI), sécuriser les infrastructures, présente et pilote un plan de continuité et de reprise d’activité, audite et identifie des vulnérabilités du SI.
Services “Supports”
Les équipes Asklépian accompagnent à la traçabilité du projet de A à Z pour la mise en conformité et/ou d’externalisation des compétences de délégué à la protection des données, assurent le bon déroulement du suivi personnalisé de la relation contractuelle…
Afin de valoriser l’engagement de ses clients auprès de leurs équipes et partenaires, Asklépian met à disposition sa cellule communication pour la réalisation de nombreux supports de communication autour du RGPD, du DPO et de la sensibilisation. Toutes les réalisations peuvent être personnalisées à leur image.
A propos de Fabien Fernandez, le fondateur
Fabien Fernandez est un des premiers DPO certifiés sous l’agrément de la CNIL. Il est titulaire d’une licence pluridisciplinaire en Sciences Fondamentales Appliquées de l’Université de Bourgogne avec des surspécialisations en informatique.
Fort de dix ans d’expérience dans des fonctions publiques étatiques ou territoriales, Fabien Fernandez a un parcours riche et varié qui lui a donné de solides connaissances de l’organisation administrative de la France dans différents domaines techniques.
En 2015, il a accompagné la mise en œuvre de la réforme du collège auprès du corps d’inspection des services déconcentrés de l’Éducation nationale. Il a ainsi participé à renforcer les liens du collège avec le monde économique et professionnel, et proposé des programmes pédagogiques ayant l’orientation des élèves comme priorité.
Fabien Fernandez a également travaillé pendant huit ans auprès de la Fédération Française du Sport Adapté et du Comité Paralympique International, pour les réformes de la réglementation sportive et de la classification des athlètes.
En 2018, il a participé à la mise en œuvre de la réforme de décentralisation du stationnement sur l’ensemble de la ville de Bordeaux, accompagnant l’application du RGPD. Responsable d’un budget de plus de 30 millions d’euros, il a suivi et contrôlé l’exécution du marché de dépénalisation par le prestataire. Cela lui a permis de développer des connaissances techniques supplémentaires en finances et marchés publics, et de construire une réelle expertise des politiques de mobilité.
En 2019, Fabien Fernandez fonde Asklépian. Au fur et à mesure des missions qu’il effectue en France et à l’étranger, il constate que, malgré l’approche du Brexit, il n’existe pas de solution fiable de protection des données pour les entreprises britanniques et basées en dehors de l’Union Européenne. Il décide alors de créer une nouvelle offre d’Outsourcing UE Representative à destination du Royaume-Uni. Il ambitionne aujourd’hui de la développer en Afrique du nord, au Canada, aux États-Unis et en Asie.
En 2020, Asklépian a lancé sa nouvelle web-série qui sera diffusée jusqu’en septembre 2021. En parallèle, sa veille juridique et technologique hebdomadaire est diffusée dans un format accessible au plus grand nombre.
En 2021, Asklépian a la chance de compter sur le renouvellement de la confiance de ses clients, malgré la crise sanitaire que nous traversons. Fabien Fernandez envisage de développer un organisme de formation afin de renforcer la sensibilisation pour tous.
Pour 2022, face aux cyber-attaques toujours plus nombreuses, Asklépian engage dès à présent des moyens pour le développement d’une nouvelle direction opérationnelle en cybersécurité préventive.
Pour en savoir plus
Présentation Asklépian : https://www.relations-publiques.pro/wp-content/uploads/pros/20210416103848-p3-document-adnb.pdf
Site web : https://www.asklepian.fr/