Mise en conformité avec la mise en oeuvre du RGPD

Depuis le 25 mai dernier, la mise en œuvre du RGPD est obligatoire, et les associations se mettent progressivement en conformité avec cette nouvelle règlementation.

Vous êtes déjà près de 100 établissements à être accompagnés par le Cabinet ACCENS AVOCATS dans cette démarche (EHPAD, SSIAD, EA, ESAT, MECS, etc…).

Notre équipe a été renforcée avec un chef de projet qui a en charge le bon déroulement des audits. Avec lui, nous avons mis en place une démarche rigoureuse qui est la moins chronophage possible pour les personnels des établissements (questionnaires préalables, interview, rapport d’audit, etc.).

Les nombreux dossiers traités nous permettent déjà de constater qu’au travers de la mise en œuvre du RGPD, un certain nombre d’établissements et services en profitent pour réinterroger leur pratique quant à la collecte et à l’usage des données personnelles.

A n’en pas douter, beaucoup ont compris que le RGPD n’est pas qu’une simple mise en conformité règlementaire mais bien la prise en compte des droits des usagers.

Le cabinet fera sous 12 mois un premier bilan de la mise en œuvre de la règlementation et de ses apports au secteur.

Le RGPD et la sécurité des données !

Comme chacun le sait, toutes les entreprises, en particulier celles qui traitent des données sensibles, doivent appliquer le nouveau règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.  Le secteur social et médico-social n’échappe pas à cette obligation, bien au contraire.

La sécurisation des données  personnelles collectées est un élément central de sa mise œuvre. La CNIL a été amenée à réaffirmer cette obligation au travers d’une sanction prononcée récemment.

RGPD – La sécurité motif de sanction :

Lors de la Délibération du 7 mai 2018, la CNIL a prononcé une sanction pécuniaire d’un montant de 250.000 euros à l’encontre de la société OPTICAL CENTER, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Cette décision a été prise « Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident » selon la CNIL article du 7 juin 2018.

Comme la loi Informatique et Liberté, le RGPD impose au responsable du traitement de veiller à la sécurité des données

RGPD – La sécurité opportunité d’organisation :

Le RGPD est l’occasion de revoir l’organisation de nos systèmes d’informations. En effet les données recueillies dans des fichiers Excel, Word ou autres formats non identifiés, sont très difficiles à recenser et à localiser.

Ces informations non structurées posent des problèmes importants de sécurité et de sauvegarde.

RGPD – Sécuriser vos données :

Pour structurer votre système d’informations, vous devez mettre en place des bases de données centralisées sur un ou plusieurs serveurs clairement identifiés et protégés avec des outils adéquats.

  • Protection de l’accès au serveur de données par une gestion de login et mot de passe ;
  • Sécuriser l’accès aux serveurs par une gestion des connexions distantes avec des technologies comme le VPN (Virtual Private Network) système permettant de créer un lien direct entre des ordinateurs distants, en isolant les informations échangées ou SSL (Secure Socket Layer) permettant l’authentification des échanges réalisés et le chiffrement des informations ;
  • Hébergements spécialisés (Hébergeurs agréés de données de santé…) ;
  • La mise en place d’anti-virus, anti-spam, anti-spyware ;
  • Agent Mail : bloque les pièces jointes malveillantes des emails ;
  • Agent Web : protection du navigateur contre les sites Web et les téléchargements dangereux ;
  • Software Updater : outils de gestion de mises à jour des logiciels ;
  • Outils de surveillance des réseaux Wi-Fi ;
  • Anti-spam ;
  • Pare-Feu…

La mise en place de ces outils nécessite, la plupart du temps, l’expertise d’un professionnel qui les sélectionnera et les adaptera à la configuration de votre système informatique.

Il est donc nécessaire de mettre en place tous les moyens à votre disposition pour sécuriser les données personnelles collectées et rester dans une démarche d’amélioration permanente.

Bien évidemment, ces mesures n’excluent pas la formation et la sensibilisation des personnels aux traitements des données personnelles.

La loi RGPD publiée

Après avoir été validée pour l’essentiel par le Conseil constitutionnel, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, vient d’être publiée au journal officiel le 21 juin.

Elle est composée de 37 articles répartis dans les cinq titres suivants :

Titre 1er : Dispositions d’adaptation communes au règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 et à la directive (UE) 2016/680 du parlement européen et du conseil du 27 avril 2016

Titre II : Marges de manœuvre permises par le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ce

Titre III : Dispositions portant transposition de la directive (UE) 2016/680 du parlement européen et du conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du conseil

Titre IV : Dispositions visant à faciliter l’application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales

Titre V : Dispositions diverses et finales

Pour l’essentiel, cette loi modifie, pour l’adapter au règlement européen, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elle apporte également des modifications au Code de la santé publique et au Code pénal.

RGPD : Le Conseil constitutionnel a rendu sa décision

Pour l’essentiel, le Conseil constitutionnel, dans sa décision n°2018-765 DC du 12 juin 2018 a validé la dizaine d’articles de la loi relative à la protection des données personnelles, adoptée le 14 mai 2018 par l’assemblée nationale.

Seul le 1er de l’article 13, relatif aux sanctions pénales, a été invalidé par le Conseil constitutionnel. Les conseillers considèrent que les mots « sous le contrôle de l’autorité publique ou » figurant au 1° de l’article 13 de la loi relative à la protection des données personnelles sont contraires à la Constitution.

En effet, aux paragraphes 44 à 46, le conseil constitutionnel fait l’analyse suivante :

« Selon l’article 34 de la Constitution, la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Il incombe au législateur d’exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34.

L’article 10 du règlement européen du 27 avril 2016 n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive également datée du 27 avril 2016 que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l’autorité publique ». Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données. En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Dès lors, les mots « sous le contrôle de l’autorité publique ou » sont entachés d’incompétence négative.

Pour les motifs énoncés ci-dessus, les mots « sous le contrôle de l’autorité publique ou » figurant au 1° de l’article 13 sont contraires à la Constitution. Les mots « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que » figurant au premier alinéa de l’article 9 de la loi du 6 janvier 1978 sont conformes à la Constitution ».

Les autres dispositions contestées de la loi sont déclarées conformes par le Conseil constitutionnel.

Cela concerne :

– le deuxième alinéa de l’article 7-1 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

– les mots « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que » figurant au premier alinéa de l’article 9 de la même loi du 6 janvier 1978, les mots « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission » figurant au 1° du même article et le 3° du même article ;

– le 2° de l’article 10 de la même loi ;

– la deuxième phrase du a du 4° de l’article 11 de la même loi ;

– le deuxième alinéa de l’article 17 de la même loi ;

– le paragraphe V de l’article 44 de la même loi ;

– le paragraphe I, le premier alinéa du paragraphe II et la deuxième phrase du 7° du paragraphe III de l’article 45 de la même loi ;

– les mots « la prise en charge des prestations par les organismes d’assurance maladie complémentaire » figurant au 3° de l’article 53 de la même loi ;

– le premier alinéa de l’article 70-1 et l’article 70-2 de la même loi ;

– les quatrième à huitième phrases du premier alinéa de l’article 230-8 du code de procédure pénale.

Le RGPD dans les SSIAD

Le vendredi 8 juin 2018, Maître Pierre NAITALI a animé une cession d’information/sensibilisation sur le thème du RGPD dans les SSIAD, à l’occasion du congrès annuel de l’UNASSI.

Des représentants de 50 SSIAD étaient réunis à cette occasion à Perpignan.

L’ensemble des participants ont beaucoup apprécié les interventions qui se sont déroulées au congrès.

La CNIL Sanctionne OPTIC CENTER

La CNIL a prononcé une sanction financière à l’encontre de la société OPTICAL CENTER par une décision du 7 mai 2018 (Délibération n°SAN-2018-002).

Estimant que la société OPTICAL CENTER avait manqué à son obligation de sécurité des données personnelles, la CNIL a fixé le montant de la sanction à 250.000 euros.

Cette sanction aurait pu être beaucoup plus lourde, dans la mesure où Optical Center aurait pu se voir infliger une amende pouvant aller jusqu’à 20 millions d’euros.

La formation restreinte de la CNIL, tout en soulignant la réactivité de la société dans la résolution de la faille, a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle. La formation restreinte a également relevé que la société ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015.

Il est à noter dans cette affaire, qu’outre la sanction financière, la CNIL a décidé de rendre publique sa décision, après avoir relevé la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334  000).

Il ne fait pas de doute, qu’à l’avenir, les entreprises qui n’auront pas mis en œuvre le RGPD pourront être concernées à la fois par les sanctions financières et par la publication de leur affaire.

Délibération n°SAN-2018-002 du 7 mai 2018 : Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER

 

 

Le projet de loi RGPD a été voté

Le projet de loi relatif à la protection des données personnelles, a été adopté, par l’Assemblée nationale, le 14 mai 2018 , T.A. n° 113.

Ce texte adapte la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, pour l’adapter aux dispositions du RGPD qui entre en vigueur le 25 mai 2018. Il comporte une dizaine d’articles.

Contesté  dans les conditions prévues au deuxième alinéa de l’article 61 de la Constitution, ce projet de loi ne pourra probablement pas entrer en vigueur le 25 mai. Il est, en effet, contesté devant le Conseil constitutionnel, qui rendra une décision prochainement.