Le règlement général sur la protection des données (RGPD) fête ses trois années d’application. Il convient d’en dresser le bilan en termes d’application pour les entreprises. Mais également d’en identifier les points de vigilance. En particulier, en ce qui concerne les données de santé.
Voilà trois années, entrait en application le RGPD. Ce règlement général sur la protection des données a pour optique d’encadrer la gestion des données personnelles recueillies et utilisées par les entreprises. Ces dernières doivent en effet se mettre en conformité avec la règlementation afin de pouvoir constituer des bases de données métier ou de leur clientèle.
Afin de dégager de nouvelles pratiques d’application et d’identifier de nouveaux points de vigilance, TECH IN France a ainsi organisé un Webinar dédié au sujet. Sobrement intitulé, « RGPD : 3 ans après, où en sommes nous ?« , l’événement a rassemblé professionnels et experts de la question. Un bon moyen pour l’écosystème entier de la Tech de prendre le pouls de cette application et de dégager de nouvelles bonnes pratiques.
Rétrospectivement, cette contrainte règlementaire a forcé les entreprises à réaliser un audit de leurs pratiques en matière de données. Mais également à réfléchir quant à leur propre stratégie relative à la donnée. Pour les entreprises en SaaS plus particulièrement, cette mise en conformité a été relativement lourde dans la mesure où ces dernières devaient appliquer la conformité non seulement en tant que sous-traitant de données personnelles que de responsable de traitement.
Julia Watkins, Legal Director et Data Protection Officer de Talentsoft détaille les particularismes liant les acteurs du SaaS. « Il a été impératif de commencer la mise en conformité très en amont. Nous avons également assisté à un changement complet de paradigme avec la naissance de la notion d’accountability. La tâche a été complexe au regard de notre double casquette« , précise la responsable.
Le démarrage de la mise en conformité a donc demandé une attention de tous les instants de la part des professionnels. Désormais, les entreprises doivent poursuivre leurs travaux. Grégoire Hanquier, Directeur juridique conformité et affaires publiques de Data Legal Drive ajoute : « Il a fallu changé de mentalité, faire preuve de pédagogie. En particulier auprès des instances dirigeantes afin de mettre en place cette conformité au RGPD. La mise en place de DPO a permis de réaliser de véritables travaux d’introspection pour déterminer le rôle de chacun dans le flux de la data« .
Depuis les balbutiements jusqu’à cette date anniversaire, chacun s’accorde à dire que la capacité à savoir gérer la donnée personnelle était un atout en faveur d’une meilleure confiance des clients et des partenaires. Un élément central de la compétitivité des entreprises.
La donnée de santé, une véritable mine
A mesure que la santé se numérise, de nouvelles données inhérentes à cette activité se trouvent recueillies par les entreprises. Une attention doit ainsi être portée à ces éléments afin d’y apposer les mesures idoines. En ce sens, ce volet constitue une priorité pour la Cnil.
Clémence Scottez, Cheffe du services des Affaires économiques de la Cnil explique : « La Cnil va renouveler ses contrôles dans le domaines des données de santé, notamment sur le volet de la sécurisation de ces dernières. Nous serons investis sur le sujet de l’accompagnement en matière de lutte contre le Covid-19. Nous avons déjà émis des dizaines d’avis sur les mesures de lutte incluant des mécanismes de protection dès la conception. »
Maxime Diot, Data Protection Officer de l’Institut Pasteur de Lille confirme l’importance considérant ces éléments particuliers. « Nous représentons une cible privilégiée des cyber-attaques, au même titre que les hôpitaux. La donnée de santé constitue une véritable mine d’or qu’il faut protéger. Il s’agit de données immuables, que l’on ne peut modifier et qui a une valeur importante« , explique-t-il.
La donnée de santé constitue donc un challenge que chaque entreprise se doit d’endosser. François-Xavier Vincent, Chief Information Officer et Data Protection Officer d’Oodrive confirme : « Il n’existe à ce jour aucune certification RGPD pour les entreprises. Le certificat Hébergeur de données de santé (HDS) constitue toutefois un élément important qui participe à la confiance générale. Mais également pour le traitement d’autres données sensibles ».
La certification constitue donc une preuve de confiance supplémentaire. Certaines d’entres-elles profitent même d’une approche basée sur le risque pouvant entrer dans le cadre d’une mise en conformité au RGPD.
RGPD pour maintenir la confiance
Le RGPD constitue donc un outil permettant de prévenir d’éventuelles cyberattaques. Les organismes de certification s’appuient en partie sur cette approche du risque pour sensibiliser au RGPD. Ces outils représentent donc des facilitateurs, comme autant de moyens de mettre dans un univers unique l’ensemble de la donnée.
A terme, le RGPD va poursuivre son intrication dans le quotidien des éditeurs de logiciels. En plus d’apporter de la confiance, la conformité envers la réglementation permet aux entreprises de se concentrer sur leur réelle valeur ajoutée. Un atout complet en somme.
Olivier Robillart