Journée mondiale de la protection de données

 

 Le 28 janvier est la journée mondiale de la protection des données : enjeux, intérêts et grands principes : on vous en dit plus !

                                 Qu’est-ce que la journée mondiale de la protection des données ?

Cette date célèbre la Convention 108 du Conseil de l'Europe du 28 janvier 1981 dont l’objectif est de garantir à toute personne le respect de ses droits et libertés fondamentales s’agissant des traitements de données la concernant.

Forte d’un rayonnement grandissant, cette convention s’est rapidement affranchie des frontières pour être adoptée par de nombreux pays comme l’Uruguay, le Mexique et le Sénégal.

Cette journée fête le 41ème anniversaire de la convention !

Pourquoi protéger les données ?

La protection des données personnelle présente de forts enjeux :

  • Ethiques : car derrière chaque donnée personnelle se trouve un individu dont la vie privée doit être protégée, 

  • Juridiques : car elle fixe un ensemble de règles et appelle des responsabilités,

  • Economiques : vos données valent de l’or ! D’ailleurs, et c’est bien connu : si c’est gratuit, c’est vous le produit !

    Si l’Assurance Maladie traite depuis sa création les données strictement nécessaires de ses différents publics pour exercer ses missions,  l’entrée en vigueur du RGPD et la mobilisation de nos systèmes d’information dédiés à la lutte contre la Covid19  ont mis en exergue la place centrale de la protection des données pour le respect de la vie privée : plus que jamais, la protection des données est l’affaire de tous !

     

    Mais comment s’y prendre ?
Protéger les données, c’est mettre en œuvre 5 grands principes fondamentaux. N’attendez plus, les voilà !
 

1- Finalité du traitement : Un traitement de données doit avoir un objectif précis, légitime et proportionné.

Par exemple, la finalité de contact Covid est notamment d’identifier les personnes infectées et leurs cas contacts afin de les informer et de les accompagner en fonction de leur situation dans la logique du « tester, alerter, protéger ». Le traitement « Contact Covid » répond à un objectif de santé publique et relève des missions de l’Assurance Maladie en vue de lutter contre l’épidémie.


2- Pertinence des données :

Les données personnelles collectées sont celles strictement nécessaires à l’objectif poursuivi par la collecte, il n’y a pas de collecte « au cas où ».

Par exemple, un employeur peut collecter les relevés d’identité bancaire de ses employés pour effectuer les virements des salaires. Cependant, il ne peut pas collecter auprès de ses salariés le nombre de comptes d’épargne, le montant sur ces derniers etc.

   3-Conservation limitée des données :

La durée de détention des données doit être proportionnée aux objectifs poursuivis : dans tous les cas, elle est nécessairement limitée !

Par exemple, pour assurer l’ensemble des obligations liées à la traçabilité de la vaccination, les données sont conservées pendant 10 ans dans le SI Vaccin Covid.

    4-Sécurité et confidentialité :

Toutes les précautions utiles doivent être prises pour assurer la sécurité et la confidentialité des données, pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés.

Par exemple, lorsqu’un assuré téléphone au 36 46, le téléconseiller applique des paliers d’identification définis en fonction du risque pour vérifier que la personne qui téléphone est bien l’assuré qu’elle prétend être, préalablement à toute communication d’informations.

Dans le cas où des informations auraient été transmises à un tiers non autorisé, le DPO / et ou le MSSI devra appliquer la  procédure de gestion de violation de données.

Dans ce cadre, la vigilance est de mise, notamment lors de l’envoi de courriers aux assurés 

5-Respect des droits des personnes:

Les personnes concernées doivent être informées des principales caractéristiques du traitement et pouvoir exercer leurs droits d’accès, de rectification voire d’opposition lorsqu’il existe.

La mise en œuvre du passe sanitaire a grandement médiatisé l’exercice des droits informatique et libertés par les assurés, faisant ainsi d’avantage connaître le rôle du DPO au sein des organismes.