Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ».
Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés les traitements à grandes échelles qui, en cas de violation de données, exposeraient les personnes concernées à des conséquences très importantes. Comment se positionnent les hôpitaux et cliniques, dans tout ça? Depuis les Lignes directrices concernant les DPD, les traitements relatifs aux patients sont considérés comme étant « à grande échelle ». Quant aux conséquences très importantes en cas de violation, il n’est pas même nécessaire de se référer à des cas d’école pour la présupposer. L’actualité suffit.
Bon, concrètement, cette nouvelle couche de réglementation (car même souple, cela reste du droit) n’aurait pour principal objectif que d’imposer des règles « de bon sens » : défense en profondeur, sécurité dans les projets, préférence des frameworks opensource, durcissement des mesures de sécurité « standard », etc.
Deux points retiennent plus particulièrement l’attention.
La très forte incitation de la CNIL à recourir à la certification ISO27701, déclinaison de la norme 27001 spécialement adaptée à la protection des données personnelles. Rien d’étonnant à cela, les services de la Commission ayant contribué à l’édiction de cette norme et poussant, depuis, à son adoption ([Webinaire] Établissements de santé : les référentiels en santé et la « gouvernance » de la protection des données). Petite difficulté technique : l’accès à la norme est payant, de sorte que la recommandation pourrait sur ce point être non conforme au principe de l’accès gratuit au droit.
Autre point délicat, la recommandation de soumettre à un accord explicite la modification de tout sous-traitant ultérieur. Compréhensible sur le principe, elle reste impraticable dans bon nombre de domaines. Le fournisseur d’un service d’informatique en nuage ne peut ainsi que difficilement accepter d’être bloqué par le refus d’un unique client.
A suivre, donc.