La souveraineté des données est un sujet d'actualité qui suscite de plus en plus d'intérêt et de préoccupation. Avec la numérisation croissante de nos vies personnelles et professionnelles, la question de la protection de nos renseignements est devenue primordiale. Faisons le point dans cet article.
Grosso modo, la souveraineté des données fait référence au contrôle exercé sur les données générées et collectées par les individus, les entreprises ou le gouvernement. Elle implique le droit de décider qui peut accéder à ces renseignements et comment ils sont utilisés, stockés et traités. Sans oublier le pouvoir de les préserver contre toute violation de leur sécurité.
En outre, la souveraineté des données se définit comme le droit d'une nation à contrôler les informations collectées sur son territoire. De ce fait, des obligations légales ont été fixées afin de protéger la vie privée et la sécurité des données personnelles des citoyens. Pour l'Union européenne, le RGPD (Règlement Général sur la Protection des Données) endosse ce rôle. Dans les grandes lignes, les bases prévues par ce texte sont :
Le traitement des données personnelles est autorisé si l’individu concerné a donné son consentement explicite et libre à cet effet.
L’opération peut être réalisée si elle est indispensable à la préparation ou à l’exécution d’un contrat impliquant la personne concernée.
Si le responsable du traitement est soumis à une obligation légale, la manipulation des données est alors considérée comme légitime.
L’opération est autorisée si cela est nécessaire aux intérêts légitimes du responsable du traitement. Toutefois, ces avantages recherchés ne doivent pas être en conflit avec les droits et libertés fondamentaux de la personne concernée.
Le traitement des données personnelles est autorisé dans le but de servir une mission d'intérêt général.
Le traitement est fondé lorsqu'il est indispensable pour défendre les intérêts vitaux de l’individu.
En substance, tous les établissements ou organisations qui collectent des données personnelles doivent avoir une justification légale valable pour les traiter.
Respecter les normes en matière de protection de données personnelles est essentiel pour les entreprises qui souhaitent opérer en toute légalité. Pour ce faire, il est nécessaire de comprendre les lois et les réglementations en vigueur dans le pays dans lequel elles siègent.
Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen entré en vigueur le 25 mai 2018. Il prévoit des règles strictes en matière de collecte, de traitement et de conservation de données personnelles pour tous les pays membres de l’Union européenne. En voici quelques exemples :
Notez que le Comité européen de la protection des données (CEPD) est l'organe consultatif indépendant de l'Union européenne en matière de protection de données personnelles. Il est chargé de conseiller les institutions sur les questions qui y sont liées et promeut une coopération cohérente entre les autorités concernées.
La CNIL (Commission nationale de l'informatique et des libertés) est une autorité administrative française chargée de protéger les informations personnelles. Le non-respect ou l'ignorance des lois RGPD entraîne des conséquences plus ou moins importantes pour les sociétés concernées. La CNIL a la possibilité d’adresser un rappel à l’ordre aux responsables ou d’arrêter définitivement le traitement de données. De plus, elle peut infliger des sanctions pécuniaires atteignant jusqu’à 20 millions d’euros ou 4 % du chiffre d'affaires annuel mondial pour une entreprise.
La CNIL publie sur son site web des recommandations et des directives que les acteurs concernés par le RGPD doivent respecter. L'objectif est d'aider les entreprises à se mettre en conformité avec les règles de protection des informations personnelles. Entre autres, elle conseille :
Note : la CNIL met en place une formation gratuite destinée à tous les organismes régis par le RGPD. Elle propose des modules adaptés aux différents secteurs d'activité (banque, santé, etc.).
Les données de santé comprennent les informations personnelles et intimes sur l’état d'un patient. En cas de diffusion, elles ont un impact sur la vie privée, la dignité ainsi que l’autonomie de ce dernier. Par conséquent, le traitement de ces renseignements est considéré comme très sensible et soumis à des réglementations strictes. Toute divulgation ou violation des normes correspondantes peut entraîner des conséquences juridiques et financières importantes pour les organisations impliquées.
En France, la protection des données de santé est encadrée par :
D’ailleurs, les articles L. 1111-8 ainsi que R. 1111-8-8 et suivants du CSP légifèrent l'hébergement des données de santé en France. Grosso modo, ces dispositions visent à garantir l'intégrité, la confidentialité et la sécurité de ce genre d’information. Les hébergeurs doivent, entre autres, être agréés par le ministre chargé de la Santé et répondre à des exigences techniques et organisationnelles spécifiques.
Les professionnels de la santé adoptent différentes mesures de sécurité pour se conformer aux normes en vigueur. Cela inclut, entre autres, l'utilisation de pare-feu et de systèmes de cryptage pour leurs outils informatiques. Certains établissements forment également leurs collaborateurs sur les bonnes pratiques de protection des renseignements et limitent la quantité d'informations collectées. Sur la question de l'hébergement de données, de plus en plus d'hôpitaux ont recours à des coffres-forts numériques. En effet, ils sont dotés de mesures de sécurité avancées telles que le chiffrement de bout en bout. Ils permettent aux professionnels de la santé de stocker, de protéger et de partager les fichiers de manière sécurisée. Cela est particulièrement important, compte tenu de la quantité considérable d’informations qui circulent dans les établissements médicaux.
D’ailleurs, vous profiterez de toutes ces fonctionnalités avec LockSelf. La certification HDS sur nos services Cloud atteste l’adéquation de notre plateforme aux exigences légales en matière de protection des données de santé. De plus, notre suite est en conformité avec le RGPD. Vous jouirez d’une authentification à double facteur, un chiffrement AES 256, un protocole HTTPS (TLS 1.2 minimum) et bien plus encore. Nos trois modules LockPass, LockTransfer et LockFiles sont, en outre, certifiés CSPN par l’ANSSI. Ceci assure que LockSelf répond à des normes de sécurité très rigoureuses. N’hésitez surtout pas à nous contacter si vous avez des questions.