/image%2F1216342%2F20231002%2Fob_7fb3d2_volute-2-correction.png)
RGPD : comment faire d'une contrainte réglementaire un atout organisationnel
/image%2F1216342%2F20230610%2Fob_17a8e5_live-medaviz.jpeg)
La participation de Volutes Management, aux cotés de Jean-Marc Chevilley Directeur du projet de sécurité des données à la DNS, de professionnels du secteur hospitalier lors d'un webinair organisé par la société MEDAVIZ, quelques jours seulement après la sorite du Rapport d'Activités de la CNIL aura permis de montrer que le RGPD est sans doute la voie la plus directe pour concevoir une architecture de protections des données sensibles.
Tout d'abord, l'analyse du rapport d'activité de la CNIL, au delà des amendes médiatisées des grands opérateurs, montrent que la sécurité des données n'est pas une priorité du système de santé en général. Sur environ un million d'établissements de santé ( du paramédical au CHU), seuls 435 d'entre eux ont effectué une démarche d'information auprès de la CNIL. Nous sommes certes fiers d'en avoir accompagner une dizaine, mais il en reste tellement.
Ensuite, l'analyse des intrusions, qui se montent à environ 900 pour l'année 2022, démontre que, si il faut en tenir compte, le problème de la sécurité des données sensibles est avant tout un problème systémique, qui associe la négligence et la malveillance.
C'est pour cette raison que l'approche mise en place par Volutes Management, qui repose sur des itérations successives et validées, sur une analyse "terrain", sur des préconisations, ainsi que sur la sensibilisation et la formation des opérateurs, fonctionne.
Certes, il existe des plateformes on line qui ne sont que des déclinaisons des outils gratuits et performants proposés par la CNIL, mais, "as usual", ces plateformes laissent pas mal de trous dans la raquette : le facteur humain, d'une part et l'accompagnement d'autre part.
Selon nous, il convient désormais de faire du RGPD non pas un objectif déclaratif, mais bel et bien une certification, à l'instar des autres certifications type ISO 9000, qui s'impose à tout possesseur de données sensibles.
Comment est-il possible qu'un médecin expert auprès de la Cour d'Appel sollicite de la part de l'expertisé, et la demande express d'un assureur, la fourniture de pièces médicales confidentielles via sa messagerie Gmail, interdite depuis le 15 juillet 2020 ?
La jurisprudence, comme l'a très bien démontré Maitre Florence DeLore, n'est pas encore établie, mais elle sera douloureuse, étant en temps financiers que pénaux pour ceux qui ne respectent pas les règles du RGPD.
