Protection des données : on vous dit tout

On ne présente plus le Règlement Général sur la Protection des Données (RGPD). Depuis mai 2018, toutes organisations traitant des données personnelles dans le territoire de l’Union Européenne doit s’y soumettre[1]. Cette même année ESII s’est donc dotée d’une Politique Générale de Sécurité du Système d’Information (PGSSI) qui se pose comme un document de référence concernant le Système de Management des Données Personnelles au sein de l’entreprise.

ESII a fait le nécessaire pour se mettre en conformité quant au traitement et à la sécurité des données. Pour aller plus en détail sur cette thématique, nous allons prendre un exemple concret et critique de notre solution SaaS Orion. Dans un premier temps, nous montrerons comment le logiciel permet à nos clients utilisateurs de se mettre en conformité avec ce règlement européen. Dans un second temps, nous nous attacherons à voir le niveau de sécurité de l’hébergement des données collectées par cette solution.

Lors de la prise d’un rendez-vous, une entreprise utilisant notre module Orion collecte un certain nombre d’informations pour faciliter le travail de ses équipes.

Appuyons-nous sur un article de la CNIL[2] pour savoir comment notre solution donne toutes les clés afin d’être dans le respect du RGPD.

Pour ces deux assertions, nous précisons que la solution Orion permet de personnaliser les champs du formulaire d’inscription afin de collecter les données personnelles nécessaires à la réalisation du rendez-vous et d’informer les personnes qui le remplissent.

Au sens du RGPD, les données personnelles ne doivent être conservées que le temps de la réalisation de l’objectif recherché lors de leur collecte (dans notre cas, le rendez-vous). Il semble normal de conserver ces données pour identifier la personne lors de son arrivée et de personnaliser son accueil. Mais, une fois le rendez-vous terminé qu’advient-il de ces informations ?

Dans un premier temps la CNIL nous dit que les données personnelles peuvent être anonymisées dans le but de pouvoir « exploiter des données personnelles dans le respect des droits et libertés des personnes »[4]. C’est pourquoi la solution Orion dispose d’un paramètre permettant d’anonymiser les données collectées automatiquement dans un délai de 1 à 12 mois après le RDV. Entre-temps, si un utilisateur en fait la demande, la suppression peut se faire manuellement. Ne sont alors conservés que les informations permettant un traitement statistique : durée de l’entretien, attente, nombre de motifs de visite… Ces données peuvent être utiles à une entreprise notamment dans le cadre d’une démarche qualité d’amélioration de l’accueil.

Pour aller plus loin, la solution Orion propose également de paramétrer une purge automatique et complète après le rendez-vous dans un délai de 1 et 60 mois.

Si Orion laisse toute la latitude aux professionnels de se mettre en conformité du RGPD, il est une matière pour laquelle la maîtrise repose entre les mains d’ESII. Il s’agit bien-sûr de l’hébergement puisque cette solution fonctionne en mode SaaS, c’est-à-dire hébergée dans le cloud. Ainsi donc, nous allons montrer les prérequis du RGPD en cette matière et les éléments de conformité de notre solution.

Commençons par dire que la solution Orion est hébergée par la société Ecritel sur des serveurs localisés en France. Ceci est important car depuis la fin 2020 le juge européen a remis en question le Privacy Shield laissant supposer que la législation d’un pays hors UE, en l’occurrence les USA, peut permettre la récupération des données personnelles, notamment par une organisation gouvernementale[5].

* Sécuriser les données et identifier les risques

Le second point concerne le niveau de sécurité défini pour ces données d’un point de vu informatique et physique (accès à l’entreprise, aux bureaux…). L’hébergeur Ecritel a reçu la certification ISO27001 relatif au management de la sécurité de l’information et insiste sur sa compatibilité avec le RGPD[6]. Du côté d’ESII, le PGSSI précise les règles de sécurité de notre système d’information en s’inspirant fortement de cette même norme.

Pour finir, il convient maintenant de parler des données plus sensibles et qui nécessitent un traitement particulier, les données de santé. En effet, ESII peut équiper de ses solutions des hôpitaux ou cliniques, des pharmacies ou des médecins. Dans ce cas de figure, la sécurité des données est renforcée par Ecritel en proposant un service d’Hébergement des Données de Santé (HDS), une certification spéciale encadrée par la loi[7].

[1] https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

[2] https://www.cnil.fr/fr/adopter-les-six-bons-reflexes

[3] https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

[4] https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles

[5] https://www.usine-digitale.fr/article/la-cnil-europeenne-pose-les-conditions-a-respecter-pour-transferer-des-donnees-en-dehors-de-l-ue.N1027589

[6] https://www.ecritel.fr/fr/expertise/certifications/

[7] https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante