L’an dernier, la plate-forme de santé, qui gère plus de 2 millions de flux par an assortis de données personnelles, a décidé de prendre à bras le corps la problématique de la gestion de la donnée privée. « Très peu d’acteurs de l’assurance y sont déjà mobilisés ; il est pourtant temps. »
C. C. (Code Courtage) : Quelle est la légitimité de Carte Blanche à parler de respect de la vie privée dans la gestion des données ?
Jean-François Tripodi (J.F.T.) : Carte Blanche est au cœur de la gestion des données personnelles à travers ses activités qui portent sur le monde de la santé : gestion de réseaux de soins, accompagnement et prévention santé et tiers payant. Nous gérons par exemple les données relatives aux corrections visuelles de nos clients. La CNIL reste très vigilante sur les méthodes que nous appliquons afin de veiller à la protection des données personnelles.
Au-delà du rôle de la CNIL, l’Europe a pris le relais en publiant le Règlement sur la gestion des données personnelles (GRDP) qui sera applicable en mai 2018. Pour être prêt, les travaux doivent être menés dès maintenant si l’on veut être apte à traiter, stocker et gérer les données de santé conformément aux exigences de la nouvelle réglementation.
C. C. : Quelles mesures avez-vous déjà prises sachant que la transposition en France est loin d’être finalisée ?
J. F. T. : Nous avons pensé que l’information par les faits est la meilleure façon de sensibiliser nos partenaires et leurs clients. Au-delà d’informer, nous avons déjà engagé des mesures concrètes avec nos partenaires. Ainsi, toutes nos données de santé sont hébergées chez Docapost, qui a obtenu l’agrément à cette fin.
C. C. : Héberger les données dans un environnement sécurisé ne suffit pas pour respecter la GRDP. Qu’avez-vous prévu pour leur traitement ?
J. F. T. : Nous identifions les postes de travail qui gèrent les données personnelles de nos clients et sommes connectés au logiciel de chaque partenaire qui traite les flux de santé. Nous avons mis en place un serveur spécifique qui stocke, telle une boîte noire, les données personnelles. Dans ce dispositif, un logiciel décisionnel santé développé avec Suadeo est chargé de traiter les données nominatives pour les rendre anonymes et établir nos tableaux de bord pour nous et nos clients.
C. C. : Où en êtes-vous concrètement dans la prise en compte du règlement sur la GRDP ?
J. F. T. : Nous prévoyons de finaliser notre projet d’informatisation du respect de GRDP sur l’optique le 1er avril 2017. A la même date tout le périmètre des chirurgiens-dentistes et des audioprothésistes sera dans le même environnement, le processus manuel sera ainsi arrêté.
C. C. : Que pensez-vous du courtage dans la prise en compte de cette réglementation ?
J. F. T. : En tant que délégataire de gestion, le courtier est concerné par cette norme. Dans le cadre du règlement européen, la responsabilité est partagée entre l’entreprise et son prestataire. Les courtiers ont tout intérêt à conduire un projet à la fois informatique et organisationnel pour se mettre en conformité. Concernant le dernier point, nous devons passer par le responsable d’hébergement de données de santé, plus précisément le Data Protection Officer (DPO) pour accéder à celles-ci. Il est donc impératif pour le courtier d’en avoir un.
Propos recueillis par Emmanuel Mayega
