Il existe quatre types de risques cyber aux conséquences diverses :

• la cybercriminalité (Elle vise à obtenir des informations personnelles afin de les exploiter ou de les revendre (données bancaires, identifiants à des sites marchands, etc.),
• l’atteinte à l’image (Lancées à des fins de déstabilisation contre des administrations et des entreprises elles portent atteinte à l’image de la victime en remplaçant le contenu par des revendications politiques, religieuses, etc. ),
• l’espionnage (Très ciblées et sophistiquées, les attaques utilisées pour l’espionnage sont à des fins économiques ou scientifiques, l’objectif étant de maintenir discrètement son accès le plus longtemps possible afin de capter l’information stratégique en temps voulu),
• le sabotage (Il s’agit de rendre inopérant tout ou partie d’un système d’information d’une organisation via une attaque informatique).

Car les enjeux cyber sont aujourd’hui « multiples pour les entreprises », souligne Alain Conrard, CEO de Prodware Group, et président de la commission digitale du Meti, « à la fois d’ordre opérationnel, de réputation, concurrentiel. Sans oublier l’impact financier en cas d’attaque. »

Certains vont plus loin et questionnent « Où a-t-on écrit le scénario dans lequel on reconfine sans pouvoir utiliser le numérique ? La catastrophe est devant nous… ».

Le risque cyber, la future pandémie ?

Afin de faire face à ces risques, le gouvernement vient de réaliser une campagne de sensibilisation quelques peu « décalée » :

L’article Campagne contre le risque cyber est apparu en premier sur GESCALIB'.

La CNIL a publié en novembre 2021 un nouveau guide pratique sur le RGPD qui concerne le DPO. L’objectif de ce guide est d’accompagner à la fois les organismes dans la mise en place de la fonction de délégué à la protection des données et les DPO dans l’exercice de leur métier. Le guide met en avant le rôle de plus en plus important du DPO dans la gestion des données personnelles, il précise également que le DPO ne « doit pas travailler en vase clos, mais être pleinement intégré aux activités opérationnelles de son organisme. » et qu’il doit travailler en lien avec le responsable de la sécurité des systèmes d’information.

La CNIL précise également qu’en 2021, 80.000 organismes avait désigné un DPO dont 68% dans le privé.

Pour télécharger le guide de la CNIL :

L’article Un nouveau guide pratique sur le RGPD – DPO est apparu en premier sur GESCALIB'.

Ce document de la CNIL alerte sur les risques que font peser les nouveaux acteurs et produits de paiement.

Le lien vers pour accéder au livre blanc :

L’article Un nouveau livre Blanc de la CNIL sur les moyens de paiement est apparu en premier sur GESCALIB'.

Résumé – Synthèse

Un rapport publié le 13 septembre 2021 par Le Irish Council for Civil (ICCL) qui est une ONG établit un constat très critique mais qui fait consensus sur le fait que la CNIL irlandaise est relativement inefficace par rapport « aux plaintes relative au RGPD ». Et les chiffres sont cruels pour la CNIL Irlandaise.

En effet, sur les 164 dossiers qui lui incombent, 98% « n’ont toujours pas aboutit », de plus depuis 3 ans seuls 4 dossiers ont été transférés « au groupement européen des CNIL ».

Or l’Irlande occupe une place à part dans la mise en application du RGPD. Car la réglementation prévoit que c’est la CNIL du pays dans lequel « le pays est visé par la plainte » qui est désigné le chef de file dans le dossier d’instruction. Et l’Irlande occupe une place spécifique en Europe pour de nombreux sièges de firmes étrangères (notamment pour des raisons fiscales). Elle représente plus de 20% des plaintes liées au RGPD alors qu’elle ne représente que 1% de la population européenne et 3% du PIB européen.

Le rapport précise que : « L’Irlande est le pire goulet d’étranglement du RGPD ». Et le dernier coup d’éclat (Cf. l’article « WhatsApp écope d’une amende de 225 millions € ») ne change pas vraiment le fond du problème.

Mais l’ONG va plus loin, en révélant également un manque de moyens importants pour l’ensemble des CNIL européennes (des budgets en stagnation) et des différences importantes entre elles (l’Allemagne faisant figure d’exception et représentant à elle seul 1/3 des investissements européens dans la protection des données). Le rapport révèle également que moins de 10% du personnel des CNIL européennes sont des « spécialistes des technologies ».

La conclusion est sévère : « Le RGPD échoue en silence … ».

L’article RGPD : un nouveau rapport étrille la CNIL Irlandaise. est apparu en premier sur GESCALIB'.

La CNIL Irlandaise a début Septembre finalement infligé une amende à la filiale de Facebook (WhatsApp) d’un montant de 225 millions d’€. Une enquête qui avait démarré en décembre 2018 et qui n’est pas encore terminée car WhatsApp a décidé de faire appel de cette décision. Le gendarme irlandais reproche à la société de ne pas suffisamment informer les utilisateurs de la messagerie quant aux usages qu’en ferait la maison mère Facebook.

WhatsApp n’est pas d’accord avec cette analyse et a donc décidé de faire appel. Elle considère en effet cette décision disproportionnée. Le montant de cette amende avait été l’objet de discussions et de négociations entre les CNIL européennes. En effet la CNIL irlandaise (qui n’est pas réputée très allante sur ces sujets pour des raisons politiques car les sièges des géants du numériques sont installés en Irlande). Ainsi au départ la DPC (Data Protection Commission) Irlandaise avait envisagé un montant pour cette amende entre 30 et 50 millions d’€.

Jusqu’à présent la DPC Irlandaise n’avait infligé qu’une amende à twitter d’un montant de 450.000 €. C’est en effet sous la pression des autres CNIL Européennes que la DPC Irlandaise à décidé de revoir à la hausse l’amende pour WhatsApp et la monter ainsi au montant de 225 millions d’€. Elle a effet dû revoir le montant à la hausse et notamment car la CNIL du Luxembourg (qui n’est pas non plus considérée comme la plus virulente, avait cet été condamnée Amazon à une amende de 748 millions d’€ (un record en Europe).

Et les rappels à l’ordre ne font que commencer car rien qu’en Irlande pas moins de 14 enquêtes sont en cours concernant le RGPD et concerne notamment Facebook ou Instagram.

L’article WhatsApp écope d’une amende de 225 millions €. est apparu en premier sur GESCALIB'.

Le carnet de santé virtuel sera déployé partout en France en 2022, en attendant, il va être testé dans 3 départements (La haute Garonne, la Somme et la Loire atlantique). En effet, depuis 2011, le Dossier Médical Partagé (DMP) n’a jamais vraiment su s’imposer, le dernier objectif était d’atteindre 40 millions de DMP en 2023 or, à peine 10 millions de DMP ont été ouverts et jamais vraiment utilisés. Au revoir DMP bienvenu à « mon espace santé » qui sera un espace numérique de santé protégé …

Synthèse – Contenu :

A quoi va servir Mon Espace Santé ?

Il sera composé de plusieurs onglets. On retrouvera :

• un agenda, pour connaître ses prochains rendez-vous chez un spécialiste, un rappel de prise de traitements, un prochain examen, …
• Une autre partie de la plateforme sera consacrée au stockage des ordonnances et autres fichiers médicaux, comme les comptes-rendus des dernières opérations, les examens, les vaccinations.
• Un espace de messagerie pour échanger avec des médecins envoie d’ordonnances, de certificats, … Les médecins pourront avoir accès aux données, si vous leur en donner l’autorisation. Ils pourront alors consulter votre groupe sanguin, vos antécédents, vos dernières opérations, vos traitements, …

Des données mieux protégées

Le premier objectif sera de convaincre les Français à adhérer à ce nouveau « service », car déposer ses données médicales en format numérique sur un serveur n’est pas une habitude. Il y aura une messagerie sécurisée qui « permettra d’échanger les informations confidentielles avec les professionnels de santé autrement qu’avec WhatsApp ou Gmail, avec un vrai canal sécurisé hébergé en France ».

Actuellement, nos données de santé sont éparpillées dans plusieurs logiciels.

Une autre question va se poser concernant le creusement éventuel de la fracture numérique, qui risque d’apparaitre avec ce nouveau service.

Après l’expérimentation dans les trois départements, « Mon Espace Santé » devrait être généralisé à partir de janvier 2022 à tous les Français, un compte sera automatiquement créé, même pour les enfants. L’objectif affiché est d’atteindre 500 millions de documents échangés par an en 2024 grâce à la plateforme, au lieu de 10 millions aujourd’hui.

Lien ci-dessous vers le site du gouvernement qui donne des précisions sur cette nouvelle plateforme :

L’article « Mon Espace Santé » – le futur coffre fort numérique des données de santé est apparu en premier sur GESCALIB'.

Suite à la publication de la loi relative à la gestion de la crise sanitaire, la CNIL rend son avis sur plusieurs décrets d’application. Elle rappelle notamment les principes fondamentaux, ainsi que les garanties nécessaires concernant les modalités de contrôle du passe sanitaire. Elle précise également le cadre pour la conservation des données et l’accès des ARS aux données de vaccination.

Synthèse – Contenu :

Lien ci-dessous vers l’article de la CNIL qui donne une synthèse de son avis.

L’article La CNIL rend son avis sur les évolutions de la loi sur la gestion du COVID est apparu en premier sur GESCALIB'.

Afin d’accompagner les professionnels du secteur social et médico-social dans leur mise en conformité, l’Union nationale des associations familiales (Unaf) a élaboré un guide pédagogique intitulé « Comment mettre en place le RGPD dans les services ? », élaboré en lien avec la CNIL. Ce guide très complet et très détaillé (118 pages) permet d’avoir une vue d’ensemble et complète sur l’ensemble du processus de mise en œuvre du RGPD dans le domaine du soin à la personne.

Synthèse – Contenu :

Les professionnels du secteur social et médico-social peuvent être amenés à collecter et utiliser de nombreuses données personnelles, souvent sensibles, concernant les familles et les personnes accompagnées. La conformité de ces traitements aux RGPD, devenue une étape incontournable, nécessite parfois de nouvelles organisations et des changements de comportements individuels.

Bien qu’élaboré par l’Unaf à destination de ses Udaf, ce guide sera particulièrement utile pour l’ensemble des professionnels du secteur social et médico-social, dans leur mise en œuvre de la RGPD.

Pour répondre à ces enjeux, le guide de l’Unaf a ainsi pour objectifs de rappeler le cadre juridique et de donner des repères en termes d’organisation, de pratiques professionnelles et de réflexions éthiques.

La contribution de la CNIL

La CNIL a contribué à l’élaboration du guide en procédant à une relecture attentive et approfondie. Il était en effet important d’assurer une certaine cohérence avec les travaux de la CNIL dans le secteur social et médico-social et notamment les recommandations énoncées au sein de son référentiel pour la prise en charge sociale et médico-sociale des personnes âgées, des personnes en situation de handicap et de celles en difficulté ou en difficulté, publié le 24 mars 2021.

Que contient ce guide ?

Le guide se divise en quatre chapitres clés :

• les notions du RGPD ;
• les principes de protection des données ;
• l’information et les droits des personnes ;
• les étapes de mise en conformité au RGPD.

Chaque chapitre est illustré par des exemples issus des pratiques du secteur social et médico-social, qui permettent de faciliter la compréhension des grands principes « Informatique et Libertés » par les organismes.

Par ailleurs, une annexe regroupe de nombreux documents parmi lesquels figurent :

• Un lien vers le référentiel relatif à l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté ;
• Une note pratique à destination des professionnels du secteur social et médico-social ;
• Un exemple de procédure d’accès aux données personnelles au sein d’une Udaf (Union départementale des associations familiales) ;
• etc.

Pour télécharger le guide :

L’article Guide UNAF RGPD est apparu en premier sur GESCALIB'.

Afin d’accompagner L’Identité Nationale de Santé (INS) est l’un des projets socles de la feuille de route du numérique en santé. L’utilisation de l’INS pour référencer les données de santé est obligatoire depuis le 1er janvier 2021.

Un nouvel arrêté, a été publié au JO du 08/06/2021.

Synthèse – Contenu :

Un nouvel arrêté a été publié au JO du 08/06/2021, qui porte approbation de trois documents majeurs :

– Un « Référentiel identifiant national » de santé v2 qui décrit les conditions et modalités d’utilisation de l’INS

– Deux annexes à ce référentiel :

• Un guide d’implémentation de l’INS dans les logiciels, à destination des éditeurs de logiciels, qui s’apparente à des spécifications fonctionnelles détaillées des modalités d’appels au téléservice INS et des modalités de référencement des données de santé avec l’INS.
• Un référentiel national d’identitovigilance (« RNIV »), à destination des professionnels et établissements intervenant dans la prise en charge sanitaire ou médico-sociale.

Ce référencement des données de santé avec l’INS est indispensable afin d’éviter des erreurs d’identification des personnes prises en charge.

Disposer d’une identité unique et pérenne de la personne permet en outre de faciliter l’échange et le partage des données de santé entre l’ensemble des acteurs intervenant dans la prise en charge sanitaire et le suivi médico-social de la personne. Cela contribue à la qualité de la prise en charge et à la sécurité des soins.

L’INS provient des bases nationales de référence. Elle comprend l’ensemble des informations numériques renvoyées par le téléservice INSi et est constituée par :

• Le matricule INS (correspond au NIR ou au NIA de l’individu).
• Les cinq traits INS : nom de naissance, prénom(s) de naissance, date de naissance, sexe, lieu de naissance.

Pour la grande majorité des usagers, le matricule INS correspond au numéro de sécurité sociale utilisé pour le remboursement des soins. Cependant, dans certains cas, pour les enfants par exemple, le numéro de sécurité sociale utilisé pour le remboursement des soins correspond généralement à celui d’un des parents et non à leur propre matricule.

Quelques explications pour aller plus loin : les personnes nées en France se voient attribuer un numéro dès leur naissance. Ce numéro est le NIR (Numéro d’Identification au Répertoire des personnes physiques). Les personnes nées à l’étranger se voient attribuer un NIR après leur immatriculation définitive auprès des organismes de sécurité sociale. C’est ce NIR que nous utilisons comme matricule INS pour votre identité nationale de santé.

Pour pouvoir être utilisée pour référencer les données de santé, l’INS doit être qualifiée. Pour ce faire, deux conditions doivent être respectées :

• l’identité de la personne doit avoir été validée conformément aux exigences prévues dans le référentiel national d’identitovigilance (RNIV) ;
• l’INS doit avoir été récupérée, ou vérifiée, par appel au téléservice INSi.

Vous trouverez ci-dessous la synthèse du référentiel sur l’INS V2.0, ainsi que le lien vous permettant d’accéder aux différents documents et référentiels sur le site de l’agencement du numérique en santé.

SYNTHÈSE DU REFERENTIEL :

LIEN :

L’article L’Identité Nationale de Santé (INS) : identité clé du système de santé est apparu en premier sur GESCALIB'.

Le Journal Officiel du 30 juin 2021 publie un nouveau décret du ministère de la Santé, relatif au traitement de données à caractère personnel dénommé « système national des données de santé ».

Consultée sur le projet de décret, la CNIL a rendu un avis publié au même JO. Les remarques préliminaires de la Commission dans son avis sont très critiques :

« Elle regrette vivement, au regard de l’enjeu essentiel s’attachant à la protection de données de santé de millions de Français, le manque de lisibilité et de clarté des dispositions encadrant le SNDS qui, au-delà de l’insécurité juridique ainsi créée, réservent sa compréhension – et les enjeux importants qui y sont attachés – aux seuls experts du domaine. »

Par ailleurs la CNIL estime indispensable que soit fait interdiction à l’ensemble de ces données de faire l’objet d’un transfert de données en dehors de l’Union européenne, quelles que soient les modalités d’hébergement (portail de la CNAM ; solution technique de la PDS, système fils, etc.).

Vous trouverez ci-dessous le lien vers le décret publié au JO :

L’article Décret relatif au SNDS est apparu en premier sur GESCALIB'.