Couverture du journal du 22/05/2024 Le nouveau magazine

Protection des données personnelles en mode gestion du risque

Soumis au secret professionnel, les acteurs de la santé et du droit se doivent d’être particulièrement attentifs à la protection des données personnelles qu’ils traitent. L’avocate Florence Labadie et la consultante Rosario Murga les aident à se conformer à cette règlementation. Avec une expertise à l’échelle européenne depuis les Landes.

Florence Labadie et Rosario Murga données

Florence Labadie et Rosario Murga © J. D.

La plupart des PME et professions libérales voient le Règlement général sur la protection des données (RGPD), texte européen encadrant le traitement des données personnelles depuis 2016, « comme une contrainte administrative de plus. En réalité, cette règlementation (RGPD, loi Informatique et libertés…) leur offre l’occasion de cartographier leurs flux de données, de faire un état des lieux de leur sécurité informatique et de renforcer la confiance de leurs clients », relève Florence Labadie, associée du Cabinet Juditec@, avocate en droit des nouvelles technologies, en protection des données personnelles, et Data protection officer (DPO), qui vient de déménager son cabinet du centre-ville de Dax au nouveau centre d’affaires Pulseo, près de la gare.

PÉDAGOGIE ET CONSEIL

« Au sens large, nous aidons les organisations qui ont besoin de s’assurer de la conformité de leur traitement de données personnelles au RGPD, c’est un gros travail de pédagogie pour simplifier des choses complexes », explique Rosario Murga, consultante en protection des données personnelles chez Recital One, certifiée CIPP/E (Certification information privacy professional/ Europe), DPO et ex-avocate au barreau de Barcelone aujourd’hui basée dans les Landes.

Alors que les contrôles de la Commission nationale de l’informatique et des libertés (CNIL) augmentent au fil des années avec une thématique prioritaire en 2023 sur la gestion de dossiers de santé, la règlementation impose notamment la tenue d’un registre des traitements de données personnelles, comprenant, entre autres, le type de données collectées, la finalité du traitement, et leur durée de conservation. Et ce, afin de réduire les risques d’atteinte à la vie privée des personnes concernées.

Les pharmacies, laboratoires, centres de recherche en santé, institutions hospitalières, etc. sont des organisations qui traitent, dans le cadre de leurs activités, un volume considérable de données personnelles, des patients bien sûr, mais aussi des médecins, chercheurs, collaborateurs…

Parmi les défis auxquels ils doivent actuellement faire face figurent la santé numérique, la télémédecine et les applications de santé. L’innovation dans ce secteur passe impérativement par le respect des principes du RGPD.

données

© J. D.

LA CNIL EN GENDARME DES DONNÉES

Les cabinets d’avocats, les barreaux, les cabinets de notaires, tous collectent de façon numérique ou manuelle en permanence des données très sensibles : condamnations pénales, comptes-rendus judiciaires, état de santé des clients, etc. « Dans ces métiers, le secret professionnel ne peut pas être garanti si cette règlementation n’est pas respectée. Et les données personnelles valent de l’or », abonde Florence Labadie. Des hackers peuvent, par exemple, récupérer des données de santé et les revendre à une compagnie d’assurance qui va faire monter ses tarifs auprès du client. « Les conséquences d’un vol de données juridiques aussi peuvent être désastreuses pour les clients, sans compter le préjudice réputationnel pour le cabinet d’avocats. » Dans un rapport publié en juin dernier, l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) alertait d’ailleurs les cabinets d’avocats sur cette menace informatique, prenant en exemple des informations dérobées dans des dossiers des parties civiles au procès de l’attentat contre Charlie Hebdo. Le RGPD oblige les organismes à gérer le risque présenté par les traitements mis en œuvre. « Le risque dépend du contexte, ce qui nécessite une analyse au cas par cas, fait valoir Rosario Murga. Dans tous les cas, une responsabilité proactive de la part des entreprises qui traitent les données personnelles est exigée. La conformité au RGPD n’est pas une action ponctuelle, mais un processus qui nécessite un ensemble d’actions à long terme afin d’être efficace. »

« Il faut réduire le risque au maximum en se conformant aux obligations légales », souligne Florence Labadie dont l’un des clients s’est tourné vers elle après avoir reçu une mise en demeure de la CNIL, le gendarme des données personnelles, pour un système de vidéosurveillance non conforme et dénoncé par un ancien salarié de cette société de transport du Sud-Ouest.

Proposant des services trilingues, les deux consœurs sont aussi déjà intervenues auprès de clients implantés en Europe (Espagnols, Danois, Irlandais…), notamment dans le secteur de la santé et du droit.