Le RGPD (Règlement Général pour la Protection des Données) encadre le traitement des données personnelles sur le territoire de l’Union Européenne. Chaque entreprise collectant ou traitant des données sur le sol de l’UE doit s’y soumettre.
On trouve dans ce règlement l’obligation pour les entreprises qui collectent des données sensibles comme les données de santé, de réaliser une analyse d’impact (ou DPIA). Cela a pour but d’évaluer le niveau de risques pour les droits et libertés des utilisateurs.
L’analyse d’impact de Sunrise a été menée par François, QA/RA Manager chez Sunrise.
En tant que Responsable de la qualité et des affaires réglementaires, quelles sont tes missions quotidiennes chez Sunrise ?
Mon rôle est de m’assurer que de la conception à la livraison des produits Sunrise
chez l’utilisateur, nous respectons nos standards ainsi que ceux imposés par les différentes réglementations afin de mettre à disposition des produits sûrs et performants.
Cela passe par la libération de produit, des analyses de risques, la revue de protocoles et rapports de test ainsi que beaucoup, beaucoup de documentation pour assurer une traçabilité de bout en bout.
Pourquoi avons-nous entrepris de réaliser une analyse d’impact cette année ?
En fait, il s’agit d’ une des obligations imposées par le RGPD. Nous avions bien sûr déjà pris en compte les risques liés à la confidentialité des données dans le développement du Sunrise. Cette gestion de la confidentialité est cruciale lorsqu’on développe un logiciel médical. Mais cette analyse n’avait pas été formalisée selon les attentes du RGPD. C’est pourquoi cette année, nous avons décidé d’y remédier et cela a aussi permis de repasser tout en revue pour avoir un état des lieux actualisé.
À quoi sert l’analyse d’impact prévue par le RGPD ? Quelle autorité ?
L’analyse d’impact prévue par le RGPD doit permettre de déterminer si les contrôles et la protection des données personnelles que nous avons mis en place sont suffisants pour préserver la confidentialité et l’intégrité des données de nos utilisateurs.
Comment se déroule-t-elle ?
Pour réaliser ce DPIA, nous avons utilisé un logiciel mis à disposition par la CNIL, l’autorité indépendante française qui est chargée de toutes les problématiques liées à la protection des données personnelles.
En collaboration avec l’équipe de développement software, on commence d’abord par décrire le processus analysé : quelles données sont utilisées, pourquoi, comment, combien de temps, etc.
Puis on s’assure qu’on utilise les données de manière proportionnelle et nécessaire. Pour résumer, on ne collecte que ce dont on a besoin pour offrir le service à nos utilisateurs et que l’on a tout mis en place pour assurer aux utilisateurs le contrôle de leur données. Les utilisateurs peuvent retrouver toutes ces explications dans notre politique de confidentialité qu’ils doivent accepter pour utiliser notre produit.
Enfin, on réalise une analyse de risques en détaillant quelles sont les menaces qui reposent sur les données (accès non autorisés, suppression) mais aussi les différentes mesures de protection qui ont été mises en place, qu’elles soient techniques (authentification, chiffrement,..) ou organisationnelles (Contrôles des accès, gestion des risques,...). Il faut bien avoir conscience que le risque zéro n’existe pas. Cependant, nous mettons tout en place pour qu’il soit le plus réduit possible.
Une fois cette analyse terminée, elle est revue par notre Data Protection Officer qui donne son approbation pour le traitement des données.
Concrètement, qu’est-ce qui change pour les utilisateurs ?
Pour les utilisateurs, cela ne change rien dans leur utilisation de Sunrise.
Et pour l’équipe Sunrise ?
Suite à ce DPIA, nous avons identifié des points d’amélioration au niveau organisationnel qui vont permettre de renforcer encore un peu plus la protection des données de nos utilisateurs. Il va y avoir certaines procédures ou formations à améliorer dans les prochains mois. Merci François !
