Le premier article que j’ai écrit sur le sujet du RGPD date du 1er janvier 2018 ; Je présentais alors dans la mise en application de ce règlement, une opportunité pour le secteur de se saisir de l’outil formidable que représente le numérique dans le décloisonnement du secteur médico-social et la coordination de tous les acteurs autour des projets de vie des personnes accueillies.
Cinq mois et plusieurs missions plus tard, ma conviction est renforcée : au travers de la mise en place du RGPD, c’est une véritable prise de conscience qui est en train de s’opérer dans les associations qui s’emparent du sujet.
Premièrement, tenter d’établir la cartographie des données dans le « Shadow IT » des associations permet de mesurer le manque d’harmonisation des pratiques et la difficulté dans ce cas de garantir une sécurisation des données personnelles.
Sans compter que les calculs de données obtenus par ces processus non harmonisées peuvent différer d’une structure à une autre d’où une incohérence des résultats globaux.
Ensuite, on s’aperçoit que dans la plupart du temps, les directions ignorent quels sont exactement les traitements de données réalisés par les personnes en charge de la production d’indicateurs tel que par exemple, les listes d’attente ou le nombre d’activités hebdomadaires de la structure.
Même dans le cas où la structure est équipée de progiciels, il se peut que des traitements supplémentaires sous Excel ou autres perdurent ; Ils ne sont jamais réalisés par hasard mais correspondent, soit à une fonctionnalité non existante dans le progiciel, soit à une mauvaise intégration du logiciel dans les pratiques de l’établissement ; Quand je dis mauvaise intégration, c’est souvent que les pratiques sont restées les mêmes sans tenir compte des capacités de l’outil informatique.
On maintien donc souvent des fichiers Excel en parallèle des progiciels ce qui est une perte de temps au quotidien, un risque d’erreur et un travail énorme de cartographie de ces fichiers. C’est dans ce cas un véritable « ménage » qui est réalisé afin de garder le moins de fichiers possibles.
Les éditeurs doivent aussi s’attendre à des demandes d’améliorations accrues de la part de leurs clients afin de couvrir l’intégralité des besoins.
Deuxièmement, en ce qui concerne la sécurité, la revue de la technique est souvent l'occasion de prendre conscience que les sauvegardes, lorsqu'elles sont réalisées, sont insuffisantes en durée de rétention et que leur "remontée" n'est quasiment jamais testée. Il est également indispensable qu'une sauvegarde soit conservée hors des locaux.
Le plan de reprise d'activité doit vous permettre, par exemple en cas de cambriolage, de redémarrer rapidement avec des données sauvegardées … sachant que les PC sont parmi les objets qui risquent de disparaître en cas de cambriolage.
Si les données se trouvent en clair sur les postes dérobés, se sera de plus constitutif d'une violation de données à déclarer à la CNIL.
Troisièmement, la prise en compte de la sécurité dans les mesures organisationnelles est aussi un enjeu dans cette mise en place.
Que chacun ait un identifiant et un mot de passe qui lui permettent d’accéder aux données qui correspondent à sa fonction est un minimum assez simple à mettre en place. Par contre, l’enjeu se déplace sur la clarification des fonctions ; Souvent la différence est artificielle puisqu’en pratique, la personne qui en théorie n’a pas les accès, possède les identifiants et mots de passe de sa collègue … au cas où !
C’est pratique certes, mais on se retrouve avec quelqu’un qui exerce de fait les fonctions d’une autre. Dans le cas où les personnes ne sont pas classées conventionnellement au même niveau c’est clairement prendre un risque de requalification des fonctions. Il me semble préférable de prévoir qu’occasionnellement un agent peut réaliser telle ou telle tâche sur demande expresse d'un autre qui en garde la responsabilité, et lui donner une possibilité de se connecter en toute transparence ; cela qui permettra de tracer les activités de chacun et de supprimer un identifiant commun.
Changement de pratique dans l’archivage !
L’analyse des durées de conservation des données a également pour conséquence de mettre en place des procédures différentes d’archivage, papier ou numérique, qui intègrent non seulement la date de production des archives, mais également leur date de destruction prévue. Finie la corvée de tri à postériori des archives pour savoir ce que l’on garde ou pas ; c’est d’ailleurs ce pensum qui fait que l’on recule toujours le moment d’apurer les archives.
Car il faut prendre conscience qu’un vol dans les archives papier, s’il parait anodin à première vue, constitue à la lecture du RGPD une violation de données et devra être déclaré à la CNIL.
Dans le même temps si d’anciens bulletins de paie ont été dérobés ou des dossiers d’anciens salariés, il faudra avertir les personnes concernées des risques qu’ils encoururent ; Quels peuvent être ces risques ? il me semble qu’un dossier du personnel (non purgé du RIB de surcroit) contient toutes les infos pour préparer efficacement une usurpation d’identité …
Alors bien sûr on peut voir la mise en œuvre du RGPD comme « un truc de plus » qui est tombé sur les acteurs du secteur médico-social et social déjà bien occupés … mais les effets peuvent bénéfiques et cela sans même attendre le moyen long terme.
Crédit photo Pixabay.
1 - Le Shadow IT désigne toute application ou processus de transmission d'information utilisé dans un processus métier sans l'aval de la direction des systèmes d'information. Le service informatique ignore fréquemment son existence, il ne l'a pas réalisé et il ne lui fournit aucun support. Un tel processus génère des données "officieuses", non contrôlées et qui peuvent contrevenir aux standards et réglementations en vigueur. (Wikipédia)