Assureurs-maladie et protection des données (comments) Acerberos http://www.monblog.ch/acerberos/?p=200906170924143 Blog Juridique Suisse: les Méandres du Droit FutureBlogs/0.8.6 fr sur: Assureurs-maladie et protection des données (Acerberos) Url: http://blog.acerberos.ch

-------------------------
C'est à raison que je me réjouissais de lire! Les nouvelles, de plus, semblent bonnes.]]>
blog-acerberos@nospam.org http://www.monblog.ch/acerberos/?p=200906170924143#comments http://www.monblog.ch/acerberos/?p=200906170924143#c200906221616186 http://www.monblog.ch/acerberos/?p=200906170924143#comments Mon, 22 Jun 2009 14:16:18 GMT
sur: Assureurs-maladie et protection des données (starbuck) Url: http://commedansdubeurre.ch

-------------------------
"Heureusement, nous disposons d'un résumé en Français!"

Voilà une conclusion bien comme je les apprécie lorsque je lis Acerberos ;)


L'initiative du l'OFSP/PFPDT relève des points très intéressants à mon sens:

1) 80% des assureurs (assurant 91% des assurés) ont un responsable de la protection des données (RPD).

Ce nombre me semble particulièrement élevé dans un contexte où le RPD n'est pas un rôle requis au sens législatif. Je me demande dès lors s'il n'y a pas d'amalgame avec d'autres rôles ou pire encore, de jeu de multi-casquette, par exemple sur la tête du responsable de la sécurité, pour qui la protection des données personnelles n'est pas toujours la première des priorités.

D'autre part, la notion de responsabilité est invoquée sans la notion de moyens. Peut être n'est-pas le cas dans le document complet... Au même titre que les établissements bancaires, il n'est pas improbable que le responsable soit bel et bien présent et édicte les recommandations qui s'imposent mais rien n'indique qu'il dispose du soutien et des moyens nécessaires à la bonne conduite de sa mission. Auquel cas, ses responsabilités n'ont de valeur que sur le papier.

Je rebondis sur le second point:

2) 26% des assureurs ont établi un règlement concernant le traitement des données sensibles. Nous passons donc déjà ici d'une couverture de 91% de la population assurée à seulement 38% au bénéfice d'un assureur ayant formalisé un règlement concernant le traitement des données. La différence entre "responsabilité" et "moyens" prend déjà ici une certaine ampleur dans l'interprétation des résultats. Pourtant, c'est ici qu'il y a législation: ce règlement devrait exister (il me semble) auprès de tous les assureurs.


3) Autre élément percutant: aucune corrélation n'a été observée entre la taille de l'assureur (ou son appartenance à un groupe) et l'ampleur des moyens mis en oeuvre. Au contraire: les petites caisses ont montré de bons ou excellents règlements en vigueur.


4) Outsourcing: c'est ici à mon avis que le bât pourra blesser voire, gravement blesser. Sur cette question, je ne m'inquiète pas particulièrement des moyens et mesures mises en oeuvre au sein des assureurs mais bel et bien dans la conduite de leurs relations avec leurs partenaires.

Les fuites de données, conséquences d'erreurs ou de malintentions, surviennent essentiellement à ce stade des flux d'information: lorsque la donnée "ressort" de son écosystème sécurisé. Ici aussi, le résumé du rapport indique qu'il est difficile d'évaluer les pratiques actuellement mises en oeuvre auprès des assureurs.


Tout cela laisse supposer qu'il y a "conscience", ce qui est déjà mieux que le stade "ignorance". Mais nous ne savons toujours pas s'il y a "action" ni même "évaluation" ou encore "amélioration" (des mots qui sonneront certainement à l'oreille des pratiquants CMM).


Mon optimisme est dominant en arrivant aux conclusions du rapport de l'étude. L'OFSP et le PFPDT préconisent aux assureurs un guide d'amélioration composé de cinq éléments dont:
- la formalisation des flux de données sensibles et des mesures techniques mises en oeuvre pour les protéger.
- la conduite d'audits indépendants sur la protection des données, dont les résultats sont à soumettre aux autorités.

Lorsque ces deux éléments seront vérifiables et que l'on saura dans quelle mesure ils sont appliqués, les assurés suisses auront peut être enfin le droit de s'attendre à ce que leurs données personnelles sont entre de bonnes mains! D'ici là, nous restons toujours dans le flou.


Pour aller plus loin dans le débat, il sera également intéressant de voir dans quelle mesure l'initiative OFSP/PFPDT sera élargie à d'autres acteurs jouant un rôle tout aussi crucial dans le cadre des données personnelles des assurés suisses.

Je pense ici entre autres à Swisscom et son service de dossier médical en ligne Evita (www.evita.ch), actuellement en phase de test.

Lorsque l'on sait que ce site conservera en ligne des données sur les personnes telles que leur profil médicamenteux, leurs allergies et autres sensibilités physiologiques et leur historique relationnel médical, sans pour autant disposer d'un statut d'assureur, les données destinées à être accessibles via ce service constitueront elles bien évidemment un souci en matière de protection des données.

Bonne nouvelle: la fonction d'auditeur en sécurité informatique a encore quelques beaux jours devant elle ;)]]>
blog-acerberos@nospam.org http://www.monblog.ch/acerberos/?p=200906170924143#comments http://www.monblog.ch/acerberos/?p=200906170924143#c200906221552566 http://www.monblog.ch/acerberos/?p=200906170924143#comments Mon, 22 Jun 2009 13:52:56 GMT