En décembre 2020, deux médecins libéraux ont écopé d’amendes de 3000 et 6000 euros de la part de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour avoir “insuffisamment protégé les données personnelles de leurs patients” et ne pas avoir notifié la commission de cette violation des données (source).
Cette sanction rappelle brutalement une règle essentielle aux professionnels de santé (professions libérales, généralistes et spécialistes, pharmacies, cabinets de radiologies, dentaires, chirurgies, cliniques, hôpitaux…) et ceux du secteur paramédical (ambulanciers, ostéopathes, psychologues…) : ils sont aussi concernés par l’obligation de se conformer au règlement général de protection des données (RGPD). Or dans le contexte actuel de pandémie de Covid-19 et de généralisation du dossier médical partagé qui va s’intensifier dans les deux ans à venir (source), ils sont appelés à traiter toujours plus de données sensibles.
De plus, parce qu’ils sont particulièrement dépendants des outils numériques, les professionnels de santé deviennent une cible de choix et les cyberattaques se multiplient. A titre d’exemple, le 21 décembre, l’hôpital d’Albertville (Savoie) a été victime d’un “rançongiciel” qui a endommagé son système d’information (source).
Les conséquences humaines et financières peuvent être très lourdes. Il est strictement indispensable de mettre en œuvre les mesures adéquates et pertinentes pour garantir un haut niveau de disponibilité, de confidentialité et d’intégrité des données pour éviter toutes pertes de données, atteintes à la vie privée, activités qui doit s’interrompre au détriment d’actes médicaux indispensables pour la vie des patients…
Or se conformer au RGPD peut être particulièrement complexe à mettre en œuvre. Il faut maitriser ses systèmes et pouvoir démontrer que toutes les mesures de sécurisation technique et organisationnelle sont mise en œuvre, les postes de travail et l’informatique mobile, sécuriser les serveurs et les archives, utiliser des techniques de chiffrement… En bref, un vrai casse-tête pour ces professionnels dont ce n’est pas le métier et qui doivent jongler avec un planning surchargé !
Pour les aider à se conformer à leurs obligations, Asklépian leur propose un accompagnement sur-mesure pour sécuriser toutes les données et respecter le RGPD.
Une palette d’outils & de services spécialement adaptés aux professionnels de santé
Asklépian propose un programme d’accompagnement “à la carte” en fonction des besoins spécifiques de chacun.e :
Prestation 1 : Les conseils de mise en conformité RGPD
Ces sessions peuvent être organisées de façon collective ou individuelle.
Pendant 9 mois, à raison d’un atelier par mois, les professionnels de santé vont être aidés, guidés, conseillés, relus et corrigés par un délégué à la protection des données certifié.
Ils profitent de :
- 9 séances collectives ou individuelles pour définir leurs objectifs, les trames documentaires et co-construire leur projet de mise en conformité ;
- 9 phases de travail individuel ;
- 9 phases de conseils personnalisés (relecture et correction).
Fabien Fernandez , le fondateur, souligne :
Ce programme d’accompagnement à la mise en conformité a été spécialement conçu pour s’adapter aux attentes et au planning surchargé des professionnels de santé.
Prestation 2 : La mise en conformité RGPD clé en main
Très appréciée, cette prestation permet de n’avoir à se soucier de rien ! Les équipes d’Asklépian vont se charger de tout : elles réalisent tous les audits préalables, toute la documentation, effectuent des recommandations et accompagnent leur mise en œuvre.
Durée : de 9 mois à 1 an.
Prestation 3 : L’externalisation des compétences de délégué à la protection des données
Les activités du délégué à la protection des données externalisées consistent à apporter une expertise sur le RGPD :
1. Informer et sensibiliser, diffuser une culture « Informatique et Libertés ».
2. Veiller au respect du cadre légal.
3. Informer et responsabiliser, alerter si besoin, son responsable de traitement.
4. Analyser, investiguer, auditer, contrôler
5. Établir et maintenir une documentation au titre de « l’Accountability » pour documenter toute la conformité.
6. Assurer la médiation avec les salariés et les patients.
7. Interagir avec l’autorité de contrôle.
8. Être le point de contact entre tous les acteurs sur tous les sujets autour de la protection des données (CNIL, responsables, sous-traitants, clients, salariés…).
9. Accompagner la mise en place de mesures techniques et organisationnelles.
Sa présence peut notamment permettre d’éviter le prononcé d’une amende ou même d’une astreinte par la CNIL, qui interdirait alors aux professionnels de santé de continuer le traitement des données.
Asklépian : une expertise avérée et une approche à 360° du RGPD
Asklépian est une référence en matière de sécurité informatique et des réseaux. Ses compétences de Délégué à la protection des données (DPO) sont d’ailleurs certifiées par l’AFNOR selon l’agrément CNIL.
Asklépian est également membre de l’Association Française des Correspondants à la protection des Données à caractère personnel, ce qui lui permet de signer une charte de déontologie afin de promouvoir une culture de l’éthique parmi les DPO désignés auprès de la CNIL au titre du RGPD.
Libérateur d’énergie au service des entreprises, Asklépian peut intervenir dans plusieurs registres :
- Consultant en Stratégie et en Organisation ;
- Spécialiste en Protection des Données : diagnostiques, audits, mise en oeuvre du RGPD, DPO externalisé… ;
- Accompagnement à la Transition Numérique et Expertise en simplification des processus de dématérialisation ;
- Conseils et services supports aux entreprises, et de la Gestion de projets.
Une spécialisation sur les secteurs sensibles
Fabien Fernandez a piloté les démarches de certification ISO27001 et Hébergement de données de santé d’un data-center de proximité.
Il est également intervenu auprès des auditeurs de la session nationale de l’Institut des hautes études de défense nationale (IHEDN) en partageant des réflexions sur les enjeux de la souveraineté numérique et de la cybersécurité :
- Comment favoriser la cybersécurité nationale en proposant une stratégie de cyber sécurisation pour tout adapter au budget de chacun ?
- Comment démontrer sa conformité au RGPD et répondre au principe de l’accountability et comment parvenir à la maîtrise de ses systèmes ?
- La force d’un Data Center de proximité au service de son territoire : garantir un haut niveau de disponibilité, d’intégrité et de confidentialité sur ses données
- Comment sensibiliser le plus grand nombre aux enjeux de la souveraineté numérique ?
Un pôle de compétences
Asklépian dispose de services complémentaires pour accompagner ses clients dans tous les domaines liés à la protection des données :
Un service Organisationnel pour mettre en œuvre les mesures organisationnelles adéquates et cohérentes afin de sécuriser les données à caractère personnel (optimisation des systèmes, définition/formalisation/simplification des procédures).
Un service Juridique pour sécuriser juridiquement la documentation lors de contractualisation avec des sous-traitants ou de rédactions de mentions d’information, légales ou politiques…
Un service Sécurité des systèmes d’information et Cybersécurité pour élaborer une stratégie de sécurisation du SI, sécuriser les infrastructures, proposer et piloter un plan de continuité et de reprise d’activité ou pour auditer et identifier des vulnérabilités du SI des organisations.
Une démarche pédagogique
Le service juridique d’Asklépian, en relation constante avec l’équipe commerciale, effectue notamment une veille juridique et technologique quotidienne pour garantir à ses clients des connaissances actualisées en permanence.
En parallèle, Asklépian a lancé une web-série qui comporte 36 épisodes, 1 teaser et 1 film d’entreprise. Elle aborde tous les thèmes du RGPD, chaque semaine, dans une vidéo en format court et adaptée aux réseaux sociaux. Elle est diffusée sur le compte LinkedIn d’Asklépian.
A propos de Fabien Fernandez, le fondateur
Fabien Fernandez (au centre) avec Lisa et Leo, les Responsables du Développement Commercial
Fabien Fernandez est un des premiers DPO certifiés sous l’agrément de la CNIL. Il est titulaire d’une licence pluridisciplinaire en Sciences Fondamentales Appliquées de l’Université de Bourgogne avec des surspécialisations en informatique.
Fort de dix ans d’expérience dans des fonctions publiques étatiques ou territoriales, Fabien Fernandez a un parcours riche et varié qui lui a donné de solides connaissances de l’organisation administrative de la France dans différents domaines techniques.
En 2015, il a accompagné la mise en œuvre de la réforme du collège auprès du corps d’inspection des services déconcentrés de l’Éducation nationale. Il a ainsi participé à renforcer les liens du collège avec le monde économique et professionnel, et proposé des programmes pédagogiques ayant l’orientation des élèves comme priorité.
Fabien Fernandez a également travaillé pendant huit ans auprès de la Fédération Française du Sport Adapté et du Comité Paralympique International, pour les réformes de la réglementation sportive et de la classification des athlètes.
En 2018, il a participé à la mise en œuvre de la réforme de décentralisation du stationnement sur l’ensemble de la ville de Bordeaux, accompagnant l’application du RGPD. Responsable d’un budget de plus de 30 millions d’euros, il a suivi et contrôlé l’exécution du marché de dépénalisation par le prestataire. Cela lui a permis de développer des connaissances techniques supplémentaires en finances et marchés publics, et de construire une réelle expertise des politiques de mobilité.
En 2019, Fabien Fernandez fonde Asklépian. Au fur et à mesure des missions qu’il effectue en France et à l’étranger, il constate que, malgré l’approche du Brexit, il n’existe pas de solution fiable de protection des données pour les entreprises britanniques et basées en dehors de l’Union Européenne. Il décide alors de créer une nouvelle offre d’Outsourcing UE Representative à destination du Royaume-Uni. Il ambitionne aujourd’hui de la développer en Afrique du nord, au Canada, aux États-Unis et en Asie.
En 2020, Asklépian a lancé sa nouvelle web-série qui sera diffusée jusqu’en septembre 2021. En parallèle, sa veille juridique et technologique sera prochainement diffusée dans un format accessible au plus grand nombre.
Pour en savoir plus
Site web : http://www.asklepian.fr/
