RGPD, où en sommes-nous ?

h6i4k

Le Règlement Européen sur la Protection des Données Personnelles est entré en vigueur depuis déjà 5 ans.

Apparu le 25 mai 2018, il contraint les structures à une information concise, transparente, compréhensible et aisément accessible auprès des personnes concernées.

D’un point de vue personnel ou professionnel, cet anniversaire est l’occasion idéale pour sensibiliser vos équipes en interne.

Dans cette édition, nous avons souhaité établir un état des lieux du RGPD en croisant les données 2021 et 2022 de la CNIL et en appréhendant les nouvelles stratégies mises en œuvre pour appliquer le droit à la protection des données personnelles.

Je voulais aussi profiter de cette newsletter pour vous remercier de votre visite sur notre stand au salon SantExpo 2023. Nos équipes ont été particulièrement sollicitées par de nouveaux projets porteurs.

Présents au 11ème congrès national de l’APSSIS, nous organisons également notre venue au 34ème congrès de la SFRO (Société Française de Radiothérapie Oncologique) les 20 et 22 septembre 2023 à Montpellier et aux Rencontres FHP (Fédération de l’Hospitalisation Privée) les 21 et 22 septembre à Bordeaux.

Nous espérons vous croiser à nouveau !

Je vous souhaite une agréable lecture,

Thomas BRETON
Dirigeant GPLExpert

RGPD : des chiffres remarquables

Le bilan annuel 2022 de la CNIL (Commission Nationale de l'Informatique et des Libertés) confirme les tendances relevées en 2021. On soulève notamment une hausse globale des mises en demeure et des sanctions appliquées. Ces chiffres répondent aux objectifs fixés par la réforme du RGPD en 2018 : Renforcer les droits des personnes, Responsabiliser les acteurs traitant des données, Crédibiliser la régulation.

2021

=> 135 mises en demeure

=> 18 sanctions (214 millions €). La moitié d’entre elles comporte un manquement en lien avec la sécurité des données personnelles.

=> 28 810 DPO désignés

2022

=> ↗️ 147 mises en demeure

=> ↗️ 21 sanctions (101 277 900 €). Un tiers des sanctions comporte un manquement à la sécurité des données personnelles.

 

Notre Pôle GCSSI (Gouvernance, Conformité et Sécurité du Système d’Information) vous propose un accompagnement spécifique et efficace pour sensibiliser vos équipes au RGPD.

Les nouveaux axes stratégiques 2024 de la CNIL

Pour répondre à ces augmentations et faire face aux nouveaux enjeux du numérique, la CNIL a pris la décision d’orienter sa stratégie selon trois axes.

Axe 1 – Favoriser la maîtrise et le respect des droits des personnes sur le terrain.

Cet objectif implique la diffusion auprès du public (notamment avec le support de partenaires opérationnels), les informations et les outils permettant à tous les individus de comprendre ses droits et de les exercer. Afin d’assurer l’effectivité de ces droits, les actions de contrôle et de répression venant de la CNIL seront intensifiées.

Axe 2 – Promouvoir le RGPD comme atout de confiance pour les organismes.

C’est en facilitant la compréhension du cadre légal, en développant des outils de conformité et en aidant à se prémunir contre les risques cyber que la CNIL pourra renforcer son offre d’accompagnement.

Ces différentes actions permettront à des acteurs publics et privés de se saisir du RGPD comme d’un atout pour leur image ou leur compétitivité.

Axe 3 – Prioriser des actions de régulation ciblées sur des sujets à forts enjeux pour la vie privée.

Pour répondre à ce troisième axe, la CNIL souhaite mettre en place un plan d’action global mettant en lumière 3 thématiques prioritaires :

  • Les caméras augmentées et leurs usages,
  • Les transferts de données dans l’informatique en nuage ( dans le « cloud » ),
  • Les collectes de données personnelles dans les applications des smartphones.

« En tant que professionnel de la santé, la question du consentement du patient se pose en matière de gestion de la collecte et de la conservation des données de santé que vous utilisez pour votre activité.

D’après la CNIL, vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (par exemple : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques). »

Le DPO GPLExpert

Qui sont les acteurs du RGPD ?

En fonction de votre structure, il sera nécessaire de désigner différents acteurs en charge du RGPD.

Le responsable du traitement

Il peut être une personne physique ou morale, selon sa nature, il sera amené à déterminer la finalité des données, à savoir la raison d’être du traitement des données. Il devra également répondre des moyens de traitement de l’information, via une description fine des outils et des modes opératoires dédiés à la collecte et au traitement des données.

Le Délégué à la Protection des Données

Il peut être :

  • Un employé interne de la structure,
  • Un intervenant externe de la structure,
  • Mutualisé et travaillant pour plusieurs organismes.

Avant la mise en application officielle du RGPD, le CIL (Correspondant Informatique et Liberté) était facultatif. Désormais il est obligatoirement remplacé par le DPD (Délégué à la Protection des Données) pour :

Les organismes publics,
Les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
Les entreprises et les structures dont l’activité amène à traiter à grande échelle des données dites « sensibles ».

Le sous-traitant

Il peut être une personne physique ou morale traitant de la donnée pour le compte du responsable de traitement. Le sous-traitant traite les données uniquement sur l’instruction du responsable de traitement.

En tenant compte des spécificités de votre établissement, nous vous aidons à déterminer les rôles et les missions attenantes des membres concernés par le RGPD.

🗓️ Du 13 au 15 juin 2023

■ APSSIS

GPLExpert se trouve à l’espace culturel des Quinconces au Mans pour le 11ème Congrès National de la SSI Santé.

🗓️ Du 20 au 22 septembre 2023

■ SFRO

GPLExpert innove et sera présente au Corum de Montpellier à l’occasion du 34ème congrès de la SFRO – Société Française de Radiothérapie Oncologique.

🗓️ Les 21 et 22 septembre 2023

■ Rencontres FHP
GPLExpert vous attendra aux Rencontres de la FHP du 20 au 21 septembre 2023 à Bordeaux, Hangar 14.

– 1 Ingénieur(e) Systèmes & Réseaux : IDF

Les missions de l’ingénieur systèmes et réseaux s’orientent autour de la mise en place de projets informatiques, l’assistance auprès d’une équipe support de niveau 2/3, la réalisation d’études de projets d’infrastructures et l’encadrement lors de la réalisation de ces projets.

– 3 Administrateurs(trices) Systèmes & Réseaux : IDF , Caen

Être administrateur systèmes et réseaux nécessite des connaissances en gestion de réseau et en développement informatique. Son rôle est d’installer, de configurer, et de savoir dépanner un parc informatique. Il doit donc maîtriser les techniques nécessaires pour interconnecter les réseaux et les systèmes informatiques.

– 3 Techniciens(nes) Systèmes & Réseaux : IDF et Bordeaux

Les techniciens systèmes et réseaux administrent au quotidien les parcs bureautiques et en assurent le bon fonctionnement. Ils savent alors déployer et supporter les postes de travail. Les qualités requises pour ce poste résident en l’autonomie, le dynamisme et le sens du relationnel.