Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
884 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  RGPD et profession libérale

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

RGPD et profession libérale

n°157750
DoubleA0
Posté le 11-10-2018 à 22:08:19  profilanswer
 

Bonjour à tous,
 
Mon épouse se lance en libéral (psychomotricité). Elle devra gérer et partager ses dossiers patients (avec les parents voire des confrères).
 
Savez vous si Gsuite est bien conforme RGPD et HADS ? J'ai vu HIPAA (version US) mais rien sur la FR ?  
Sinon quelle solution conseilleriez vous pour ce type de profession ? (mail crypté, PJ crypté, stockage crypté) ?
 
Merci à vous !
 

mood
Publicité
Posté le 11-10-2018 à 22:08:19  profilanswer
 

n°157766
HPIR40
Posté le 12-10-2018 à 11:52:46  profilanswer
 

Il faut qu'elle se rapproche de son syndicat http://snup.fr/

 

C'est eux qui pourront lui donner toutes les infos à ce sujet et ce qu'ils ont validés.

 

Ma femme a eu les infos par le bais de son syndicat avec les bonnes pratiques à adopter dans ce cadre la; je n'ai plus eu qu'a les mettre en place.

 

Le minimum c'est quand même disque dur crypté + mdp de session fort.

 

Pour les mails, la sécu est en train de mettre en place une plateforme mail unifiée pour les échanges entre professionnels de santé


Message édité par HPIR40 le 12-10-2018 à 11:55:25
n°157799
billy06
Posté le 13-10-2018 à 19:15:48  profilanswer
 

Le RGPD, ce n'est pas seulement une histoire de chiffrement (on évite "cryptage" ). Et, dans l'ensemble, c'est seulement l'obligation de mettre en place ce qui a toujours été des bonnes pratiques.
Donc chiffrer ses supports oui, signer et chiffrer des emails confidentiels, signer mes emails dans tous les cas. Gsuite est bien plus conforme au RGPD que bon nombre de solution maison et la plupart des stockage cloud.
Mais surtout, il faut penser à la suppression des données dans le temps, à la suppression de données qui n'ont aucun raison d'être collectées, etc.

n°157805
rufo
Pas me confondre avec Lycos!
Posté le 13-10-2018 à 22:47:44  profilanswer
 

Confier des données médicales à Google via Gsuite qui dépend du droit américain ? C'est pas trop RGPD, ça. Et avec le Cloud Act qui est passé discrètement en avril de cette année aux USA, ça ne me rassure pas du tout les clouds des grosses boîtes américaines. Je recommanderais plutôt OVH si du cloud était nécessaire.
 
Mais c'est clair que pour un pro libéral travaillant dans le médical, être conforme à la RGPD, c'est vraiment galère :( Perso, je serais très intéressé de savoir ce que son syndical va lui recommander.
 
Y'a le site de la CNIL qui peut aussi fournir quelques pistes. Et l'ANSSI peut être aussi ?

Message cité 1 fois
Message édité par rufo le 16-10-2018 à 22:23:01

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°157809
HPIR40
Posté le 14-10-2018 à 11:07:11  profilanswer
 

rufo a écrit :

Confier des données médicales à Google via Gsuite qui dépend du droit américain ? C'est pas trop RGPD


 
ça l'est même pas du tout.
 
Ca va rigoler le jour où google aura une grosse faille et que les clients du liberal vont se retrouver avec des infos ultra perso sur le net.  
 
Si cloud indispensable +1 pour OVH sur un serveur en France, si cloud non indispensable, un bon libreoffice (même pas office 365 sauf si sauvegarde en local uniquement)
 
Quand à la partie mail, qu'elle utilise la boite fournie par son opérateur.

n°157810
ShonGail
En phase de calmitude ...
Posté le 14-10-2018 à 13:37:49  profilanswer
 

billy06 a écrit :


Gsuite est bien plus conforme au RGPD que bon nombre de solution maison et la plupart des stockage cloud.

 

Écrire cela le 13/10/18, soit une semaine après la révélation de la faille Google+ et le fait qu'Alphabet a tenu secret,  pour raisons financières, durant 6 mois le vol de données, c'est cocasse.
Les CNIL européennes n'ont pas l'air d'être sur la même longueur d'onde que toi, l'ANSSI non plus quand elle indique qu'il faut chiffrer tout ce qu'on place chez Google&co.

Message cité 1 fois
Message édité par ShonGail le 14-10-2018 à 15:29:27
n°157811
sohiermdp
Posté le 14-10-2018 à 15:24:18  profilanswer
 

Si tu fais héberger tes données de santé par un tiers, celui ci doit être hébergeur de données agréé de santé. c'est une obligation légale.
en tant que professionnel de santé, regarde si tu ne peux pas prétendre à une adresse de messagerie sécurisée de type MSSanté (asip). Il te faudra ton RPPS. si tu échanges des données de santé tu es obligé d'utiliser une messagerie sécurisée de santé.


Message édité par sohiermdp le 14-10-2018 à 15:26:21
n°157813
DoubleA0
Posté le 14-10-2018 à 19:26:20  profilanswer
 

Merci pour les infos. J'avais effectivement vu que la messagerie devait être sécurisée. Je vais regarder mssante plus en détail.

n°157823
billy06
Posté le 15-10-2018 à 11:59:20  profilanswer
 

Euh... vous pensez très franchement qu'OVH et consorts sont davantages sécurisés que GSuite ? En quoi Google+, un réseau social est-il comparable à GSuite ?
Pour OVH, combien de fois ont-ils eu des pertes de données importantes, avec backup foireux et recovery fait en douce (au moins une, j'étais dedans :)) ?
 
Ce qui me semble évident, c'est de chiffrer les données avant leur stockage. C'est quand même la base ! Ensuite, on préfèrera la France et l'UE mais, comme je le disais, entre bien faire les choses sur Gsuite ou faire à l'arrache, sans chiffrement, avec une boite qui fait du stockage parce que ça rapporte mais qui sous-loue du serveur Online sans bien comprendre l'admin web, y'a pas photo.
 
Sinon, pour ma part, stocker soi-même sur du C14 de online (https://www.online.net/fr/c14) en chiffrant en amont.

n°157824
billy06
Posté le 15-10-2018 à 12:01:17  profilanswer
 

ShonGail a écrit :


 
Écrire cela le 13/10/18, soit une semaine après la révélation de la faille Google+ et le fait qu'Alphabet a tenu secret,  pour raisons financières, durant 6 mois le vol de données, c'est cocasse.
Les CNIL européennes n'ont pas l'air d'être sur la même longueur d'onde que toi, l'ANSSI non plus quand elle indique qu'il faut chiffrer tout ce qu'on place chez Google&co.


 
Déjà répondu au-dessus et déjà parlé de chiffrement en indiquant que c'était la base.

mood
Publicité
Posté le 15-10-2018 à 12:01:17  profilanswer
 

n°157826
ShonGail
En phase de calmitude ...
Posté le 15-10-2018 à 12:33:51  profilanswer
 

Tu as suivi qu'Alphabet a tenu secret la faille et le vol de données pendant 6 mois ?
C'est pas de la technique ça mais du RGPD non compliant.
 
Ensuite une faille sur un service Google, c'est une faille sur un service Google. Aujourd'hui c'est Google+, demain cela peut être Gsuite.
Donc le coté hyper-sécu infaillible c'est du marketing.
 
Enfin, niveau RGPD, Google est soumis aux lois américaines (dont le très récent Cloud Act) qui contreviennent au RGPD.

n°157926
sohiermdp
Posté le 18-10-2018 à 14:13:43  profilanswer
 

Je persiste et réitère : impossible de te faire héberger par n'importe quel hébergeur qui ne serait pas agréé hébergeur de données de santé. C'est la loi.
OVH a une offre mais très chère vis-à-vis de ton besoin.

n°157933
clockover
That's the life
Posté le 18-10-2018 à 15:34:42  profilanswer
 

As-tu le texte de loi ?
Peut-être existe-t-il une faille genre en hébergeant à l'étranger ?
 
:??: simple curiosité


---------------
-----
n°157946
HPIR40
Posté le 18-10-2018 à 17:46:42  profilanswer
 

voila:
http://www.lagbd.org/index.php/H%C [...] _2016_(fr)

 

Maintenant rien ne t'empêche de jouer les bandits en hébergeant ses dossiers chez google en californie, mais en cas de contrôle il faut en assumer les conséquences qui sont très lourdes. C'est comme conduire avec 1g d'alcool rien n'empêche physiquement de le faire, mais en cas de contrôle les conséquences sont lourdes et c'est normal.


Message édité par HPIR40 le 18-10-2018 à 17:53:46
n°157947
rufo
Pas me confondre avec Lycos!
Posté le 18-10-2018 à 17:48:28  profilanswer
 

clockover a écrit :

As-tu le texte de loi ?
Peut-être existe-t-il une faille genre en hébergeant à l'étranger ?
 
:??: simple curiosité


La RGPD n'est pas fan du stockage de données perso à l'étranger. Alors des données persos médicales, type de donnée classé "sensible", n'y pense même pas :o


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Cantine Calandreta : http://sourceforge.net/projects/canteen-calandreta
n°157949
sohiermdp
Posté le 18-10-2018 à 18:35:10  profilanswer
 

clockover a écrit :

As-tu le texte de loi ?
Peut-être existe-t-il une faille genre en hébergeant à l'étranger ?
 
:??: simple curiosité


 
Voici les principales sources à lire :


etc...

n°157955
san marco
la pouissance de la Fonk
Posté le 18-10-2018 à 21:50:42  profilanswer
 

sohiermdp a écrit :

Je persiste et réitère : impossible de te faire héberger par n'importe quel hébergeur qui ne serait pas agréé hébergeur de données de santé. C'est la loi.
OVH a une offre mais très chère vis-à-vis de ton besoin.


 
actuellement on passe d'une transition "agrément" à "certification" HDS.
 
pour l'agrément, il n'y a pas de vérification si les solutions correspondent à ce qui a été décrit dans le dossier. L'asip n'a pas le temps ni les ressources pour vérifier.
Le dossier d'agrément est articulé autour d'exigences juridiques et techniques.  
la certification HDS, nécessite que l'hébergeur soit certifié iso27001, qu'il passe avec succès un audit sur des chapitres iso 20000 (pas d'audit s'il est certifié iso20000).  
l'hébergeur est également concerné par un audit s'il a une offre cloud.
 
Concernant le doute sur OVH et les services d'hébergement : l'offre HDS n'a rien à voir avec l'offre d'hébergement "standard" (il n'y a qu'à comparer les tarifs ^^ 1000€/mois la première offre HDS)
Mais derrière, il y a PCA/PRA, chiffrement, flux dédiées chiffrés etc ....
 
Faire héberger ses données personnelles de santé chez un hébergeur non HDS est très risqué. En cas d'incident de sécurité, c'est le début de GROS GROS problèmes. (non conformité réglementaire + défauts sécurité). sans compter les personnes concernées qui peuvent engager des procédures judiciaires par dessus.
 
 
Par contre, rien n’empêche d'héberger soi même ses données de santé, et pas besoin d'être HDS pour le faire.
Mais là, je conseillerai vivement de s'inspirer des exigences de l'ASIP pour sécuriser sa solution.
 
La réglementation HDS n'est pas là que pour aborder l'aspect sécurité technique des données de santé, elle cadre :  
- la façon de formuler les contrats pour protéger les parties signataires (hébergeur/hébergé). les exigences convergent avec la réglementation EU sur les services d'hébergement
- engagements de services
- répartition des responsabilités / obligation (ATTENTION à ce point, ce n'est pas parce que vous faites héberger que vous reportez tout sur l'hébergeur :) )
- les obligations réglementaires (droits des personnes concernées, informations etc ...)
- la traçabilité des actions sur les données
- continuité de service (PCA/PRA)
- les politiques de sécurité (gestion des accès, gestion des identités et des droits .....)
- les relations fournisseurs/sous-traitants (là aussi ça rentre en convergence avec la réglementation européenne client/fournisseur)
 
bref, il ne faut pas imaginer qu'il suffise de chiffrer les données pour s'en tirer :D
 
Si les données ne sont pas des données de santé, et bien ça soulage de la certification/agrément. Il faut tout de même respecter les exigences liées à la réglementation RGPD :
DPD (ou DPO :) ), droits des personnes, registres des traitements, aspects contractuels, communication/information, traçabilité, stockage/archivage ....
 
 

n°158019
clockover
That's the life
Posté le 21-10-2018 à 07:32:59  profilanswer
 

san marco a écrit :


 
actuellement on passe d'une transition "agrément" à "certification" HDS.
 
pour l'agrément, il n'y a pas de vérification si les solutions correspondent à ce qui a été décrit dans le dossier. L'asip n'a pas le temps ni les ressources pour vérifier.
Le dossier d'agrément est articulé autour d'exigences juridiques et techniques.  
la certification HDS, nécessite que l'hébergeur soit certifié iso27001, qu'il passe avec succès un audit sur des chapitres iso 20000 (pas d'audit s'il est certifié iso20000).  
l'hébergeur est également concerné par un audit s'il a une offre cloud.
 
Concernant le doute sur OVH et les services d'hébergement : l'offre HDS n'a rien à voir avec l'offre d'hébergement "standard" (il n'y a qu'à comparer les tarifs ^^ 1000€/mois la première offre HDS)
Mais derrière, il y a PCA/PRA, chiffrement, flux dédiées chiffrés etc ....
 
Faire héberger ses données personnelles de santé chez un hébergeur non HDS est très risqué. En cas d'incident de sécurité, c'est le début de GROS GROS problèmes. (non conformité réglementaire + défauts sécurité). sans compter les personnes concernées qui peuvent engager des procédures judiciaires par dessus.
 
 
Par contre, rien n’empêche d'héberger soi même ses données de santé, et pas besoin d'être HDS pour le faire.
Mais là, je conseillerai vivement de s'inspirer des exigences de l'ASIP pour sécuriser sa solution.
 
La réglementation HDS n'est pas là que pour aborder l'aspect sécurité technique des données de santé, elle cadre :  
- la façon de formuler les contrats pour protéger les parties signataires (hébergeur/hébergé). les exigences convergent avec la réglementation EU sur les services d'hébergement
- engagements de services
- répartition des responsabilités / obligation (ATTENTION à ce point, ce n'est pas parce que vous faites héberger que vous reportez tout sur l'hébergeur :) )
- les obligations réglementaires (droits des personnes concernées, informations etc ...)
- la traçabilité des actions sur les données
- continuité de service (PCA/PRA)
- les politiques de sécurité (gestion des accès, gestion des identités et des droits .....)
- les relations fournisseurs/sous-traitants (là aussi ça rentre en convergence avec la réglementation européenne client/fournisseur)
 
bref, il ne faut pas imaginer qu'il suffise de chiffrer les données pour s'en tirer :D
 
Si les données ne sont pas des données de santé, et bien ça soulage de la certification/agrément. Il faut tout de même respecter les exigences liées à la réglementation RGPD :
DPD (ou DPO :) ), droits des personnes, registres des traitements, aspects contractuels, communication/information, traçabilité, stockage/archivage ....
 
 


 
Merci c'est intéressant. :jap:  
 
"Par contre, rien n’empêche d'héberger soi même ses données de santé, et pas besoin d'être HDS pour le faire."  
Voila donc un moyen de contourner.


---------------
-----
n°158021
sohiermdp
Posté le 21-10-2018 à 10:31:16  profilanswer
 

En effet, rien ne t'interdit d'héberger toi même tes données mais tu dois répondre aux règles de sécurité édictées par l'ANSSI, PGSSI de l'ASIP ( politique générale de sécurité des systèmes d'information) comme l'a bien détaillé clockover (et si tu n'as pas les compétences nécessaires ça peut vite devenir compliqué)

n°158025
san marco
la pouissance de la Fonk
Posté le 21-10-2018 à 13:41:36  profilanswer
 

la problématique n'est pas d'être HDS ou non, mais bien de protéger les données :D

 

de toutes manières si vous êtes perdu dans toutes ces réglementations, elles sont toutes en train de converger vers de l'ISO 27001/27002, sauf que ce sont les organismes qui vont décider des exigences à appliquer.
En temps normal, c'est l'entreprise qui choisit quelles exigences et sur quelle partie il les applique.

 

Donc en gros si tu veux pas passer par un hébergeur il faut que tu respecte quand même :

 

Autour des données:
- PGIA (Politique de Gestion des Identité et des Accès), exigences renforcées depuis HDS / RGPD
- protection des données (sécurité, sureté, tracabilité etc...)
- protections des flux et échanges (chiffrement, controles, protocoles)
- protection de la manipulation des données (identification des rôles, traçabilité, contrôle flux/scripts/applis)
- stockage/archivage (rétention, protection ..)

 

Autour des droits :
- droit des personnes concernées (informer, traiter les demandes, restitution ..)

 

Autour des applis/environnements :
- authentification forte conforme (PGSSI-S si données de santé)
- anonymisation des données (pendant dev, test, etc..)
- sécurisation du développement (revue de code/OWASP etc ..)

 

Autour de l'éthique/juridique :
- clausier (responsabilités, obligations, exigences, confidentialité, ....)
- encadrement sous-traitance (là c'est même la réglementation européenne)
- encadrement des engagements (SLA, PCA/PRA, oragnisation et moyens mis en oeuvre ....)
- certification/agréments si nécessaires
- communication incidents de sécu .

 

Toutes ces exigences sont là pour imposer non seulement une démarche de protection technique, mais aussi des droits et engagements contractuels. Ces 2 dernières étant trop souvent "oubliées", c'est ce qu'à apporté RGPD, HDS. D'autres réglementations amènent d'autres sujets de préoccupations spécifiques (LPM, PCI-DSS, ...).

 


En cas d'incident de sécurité, de vol de tes données, ou de plainte d'une personne sur la non conformité, va falloir bien se justifier ! (même si la responsabilité ne règle pas le problème que les données sont dans la nature :) )

 



Message édité par san marco le 21-10-2018 à 13:43:40
n°158036
clockover
That's the life
Posté le 22-10-2018 à 12:45:05  profilanswer
 

Je suis l'évolution car j'héberge des données de santé (mais pas en France).
merci


Message édité par clockover le 22-10-2018 à 12:55:41

---------------
-----
n°158091
Mysterieus​eX
Chieuse
Posté le 23-10-2018 à 18:11:47  profilanswer
 

https://www.conseil-national.medeci [...] ins_57.pdf
 
Je fouillai pour un tout autre sujet et je suis tombée la dessus (à partir de la page 26)

n°158100
xtrexx
Posté le 24-10-2018 à 06:18:56  profilanswer
 

Google héberge aussi en Europe non ? D'ailleurs Gmail & Co sont certifié ISO 27001 ou bien ?

n°158101
ShonGail
En phase de calmitude ...
Posté le 24-10-2018 à 06:44:44  profilanswer
 

Google peut héberger en Europe ou aux USA.
Voir le CLUF de Gsuite https://gsuite.google.com/intl/fr/t [...] terms.html :

Citation :

Dans le cadre de la fourniture des Services, Google peut transférer, stocker et traiter les Données du Client aux États-Unis ou dans tout autre pays dans lequel Google ou ses agents gèrent des installations. En utilisant les Services, le Client consent à tout transfert, stockage et traitement de ce type

 

Également les conditions d'utilisation des services Google https://policies.google.com/terms?g [...] oc-content :

Citation :

Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d'utilisation, d'hébergement, de stockage, de reproduction, de modification, de création d'œuvres dérivées (des traductions, des adaptations ou d'autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d'affichage public ou de distribution publique desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l'exploitation, la promotion ou à l'amélioration de nos Services, ou au développement de nouveaux Services. Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d'utiliser nos Services (par exemple, pour une fiche d'entreprise que vous avez ajoutée à Google Maps). Certains Services vous proposent le moyen d'accéder aux contenus que vous avez soumis à ce Service et de les supprimer. Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d'utilisation des contenus que vous avez soumis aux Services en question. Assurez-vous que vous disposez de tous les droits vous permettant de nous accorder cette licence concernant les contenus que vous soumettez à nos Services.

 

Nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer des fonctionnalités pertinentes sur les produits, telles que des résultats de recherche personnalisés, des publicités sur mesure et la détection des spams et des logiciels malveillants. Cette analyse a lieu lors de l'envoi, de la réception et du stockage des contenus.

 

Et je n'ai jamais vu que les services de Google étaient certifiés par une ISO.


Message édité par ShonGail le 24-10-2018 à 06:46:49
n°158104
xtrexx
Posté le 24-10-2018 à 08:44:28  profilanswer
 

Alors je sais pas faudrait voir dans le détail concernant Google et les certifications
https://support.google.com/analytic [...] 7084?hl=fr

 

Merci pour les infos


Message édité par xtrexx le 24-10-2018 à 08:44:54
n°158518
flash_gord​on
Posté le 07-11-2018 à 11:58:14  profilanswer
 

Pour info : https://www.lemondeinformatique.fr/ [...] 73347.html
 
Donc office 365 et ses prix attractifs sont dispos pour la santé depuis hier.


Message édité par flash_gordon le 07-11-2018 à 11:58:54

---------------
Survivre à sa migration WP->Android
n°158583
san marco
la pouissance de la Fonk
Posté le 10-11-2018 à 08:54:55  profilanswer
 

l'option hds, ca va douiller

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  RGPD et profession libérale

 

Sujets relatifs
RGPD Outils accès aux fichiersRGPD éditeur de logiciel
Accès à distance à un seveur client (RGPD)RGPD - Projet - licence
VPN, check IP source et RGPDCiel compta libérale
Plus de sujets relatifs à : RGPD et profession libérale


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR