Le Règlement général relatif à la protection des données (dit « RGPD ») a soufflé sa 5ème bougie le 25 mai 2023.
Une belle occasion de rappeler l’importance de la protection des données à caractère personnel et de vous expliquer brièvement le rôle de notre délégué à la protection des données, Mme Perrine Goderniaux.
L’importance de la protection des données à caractère personnel dans le secteur hospitalier
Plusieurs facteurs démontrent l’importance de la protection des données à caractère personnel dans le milieu hospitalier.
Premièrement, un hôpital traite au quotidien des données à caractère personnel et ne peut travailler sans celles-ci. Lors du passage d’un patient à l’hôpital, plusieurs informations sont collectées à son sujet : données signalétiques, données administratives, données sociales, données économiques,… Parmi ces informations, il y a également des données qualifiées de « sensibles » comme les données de santé qui nécessitent une protection renforcée. Les institutions hospitalières ont donc en leurs possessions une grande quantité de données à caractère personnel.
Deuxièmement, la disponibilité et l’intégrité des données peuvent présenter une importance vitale. Il est important que les données soient toujours disponibles et exactes car en cas de perte / données erronées, les conséquences peuvent être préjudiciables pour le patient.
Troisièmement, à l’image de la société, on peut constater que les technologies occupent une place grandissante et se développent très vite (on peut le constater avec les outils d’intelligence artificielle). Elles séduisent par les fonctionnalités qu’elles proposent et peuvent faciliter les pratiques.
En effet, leurs utilisations dans le milieu des soins permettent davantage de performance dans le diagnostic et le traitement du patient (ex : application mobile de télésurveillance, capteur de glucose connecté,…). Toutefois, ces technologies, pour pouvoir fonctionner correctement, nécessitent souvent une collecte de données à caractère personnel.
Par conséquent, par ces trois facteurs, les hôpitaux sont des cibles aux pirates informatiques qui souhaitent profiter d’une défaillance pour prendre en otage les données en échange du paiement d’une rançon[1] ou les vendre sur le marché noir (car les données de santé peuvent se revendre très chers).
Le rôle du délégué à la protection des données
Face à ce risque grandissant de cyberattaque, il est indispensable que l’hôpital (et son personnel) soient formés/ sensibilisés à l’importance de la protection des données. C’est notamment une des missions de notre délégué à la protection des données, Mme Perrine Goderniaux.
Ses missions sont explicitement mentionnées dans le RGPD. Parmi ses missions, elle remplit à la fois le rôle de conseillère vis-à-vis de l’institution (collaborateurs et fournisseurs) et d’auditrice qui consiste à vérifier le respect du RGPD et des législations relatives à la protection des données. Elle fait office d’intermédiaire entre l’institution et l’Autorité de protection des données qui peut être amenée à superviser les traitements de données effectués au sein de l’institution. Enfin, elle est le point de contact pour les personnes concernées et se tient à leurs dispositions en cas de question touchant à la protection des données.
Les grands défis du délégué à la protection des données
Les défis pour un DPO sont multiples et peuvent être, entre-autres, les suivants :
- Instaurer une culture de la protection des données :
Le RGPD peut parfois paraître trop technique ou juridique, la formation et la sensibilisation de l’institution (et de ses collaborateurs) sont essentielles et toute la difficulté pour le DPO est de faire preuve de créativité et de vulgariser au quotidien les exigences du RGPD.
Par ailleurs, l’objectif d’une formation / sensibilisation, c’est vraiment la création d’un état d’esprit, c’est-à-dire que les collaborateurs puissent comprendre le lien entre leurs rôles au sein de l’institution et les risques pouvant toucher les données (cyberattaque, phishing,…).
- S’adapter
Le DPO doit sans cesse s’adapter aux changements. A titre d’exemple, le COVID 19 a entrainé dans l’urgence de nouvelles manières de travailler, on peut penser à l’instauration du télétravail. Cela a entrainé de nouveaux risques de fuite de données pouvant être dus au recours à une connexion non sécurisée, le téléchargement d’applications ou de logiciels non autorisés et non sécurisés, etc. Le DPO doit alors tenir compte de cette nouveauté et veiller à ce que des mesures de sécurité renforcées soient prises pour protéger les données (installation de pare-feu, VPN, des consignes claires sur le déroulement du télétravail,…)
- Ne pas être vu comme un frein à l’innovation et à l’évolution des technologies.
L’objectif du DPO n’est pas de ralentir l’innovation mais de « cadrer » les choses. A titre d’exemple, les technologies proposées par un éventuel fournisseur doivent garantir la protection des données. Il convient de s’assurer que le fournisseur prenne bien les mesures de sécurité adéquates (pour garantir l’intégrité, la confidentialité et la disponibilité des données) et qu’il n’utilisera pas de manière abusive les données (exemple : réutilisation des données à des fins commerciales).
[1] Exemple : par une technique de ransomware par laquelle le pirate va chiffrer les données et réclame le paiement d’une rançon pour que l’hôpital puisse récupérer l’accès aux données (qui sont indispensables pour soigner correctement un patient).