Le domaine des assurances est particulièrement sensible au regard du RGPD, en raison de la nature des données collectées et traitées. Les données médicales, notamment, mais pas seulement, font partie des données dites sensibles au sens du RGPD. Ainsi, leur protection est essentielle, tant au regard de la relation client qui l’exige de plus en plus, que pour garantir la conformité au RGPD.

Or mettre en place une politique de protection des données médicales ou personnelles des assurées nécessite un vrai plan d’action. Différentes facettes du problème doivent être envisagées et anticipées en amont de l’implémentation des solutions. Quelles sont les données collectées et sont-elles sensibles ? Comment bien protéger les données médicales dans l’entreprise ?

Données médicales, données sensibles et RGPD

La première étape consiste à établir un diagnostic de la collecte des données effectuée par la compagnie d’assurance. Toutes les données ne se valent pas et certaines, les données sensibles au sens du RGPD, impliquent un niveau de vigilance supplémentaire. Les données médicales sont considérées comme sensibles puisqu’elles portent sur des informations privées voire intimes et particulièrement importantes pour l’individu qu’elles concernent.

Une fois ces données identifiées, encore faut-il établir un mapping précis de leur utilisation au sein de la structure. Précisément, quelles équipes utilisent ces données, et quelles équipes en ont besoin ? L’idée du RGPD n’est pas de considérer qu’il est mauvais a priori d’opérer un traitement des données médicales. Il s’agit plutôt de pouvoir limiter l’accès à la donnée aux seules personnes concernées par elles.

Ce n’est qu’une fois ce travail d’audit interne effectué que le déploiement de solutions adaptées peut être envisagé.

Comment bien protéger les données médicales ?

La protection des données médicales passe nécessairement par un protocole de chiffrement des données, ainsi la sécurité des données est assurée : seules les personnes autorisées y ont accès. Cela signifie notamment qu’en cas de compromission du stockage ou du transfert de la donnée, résultant en une fuite de données, celles-ci seront protégées. Les fichiers volés ou récupérés seront illisibles, à moins de disposer de l’autorisation adéquate.

La solution Seald va plus loin. En effet, il permet de sécuriser les communications internes entre toutes les équipes associées, à un moment ou à un autre, au traitement des données sensibles. Il peut s’agir des équipes commerciales, équipes marketing, fonctions juridiques, audit interne, etc. À toutes les étapes du parcours de la donnée dans l’entreprise, celle-ci est protégée.

En installant une solution de chiffrement dès la captation, la donnée est protégée dès sa communication par le client. Le client communique une information en clair, et celle-ci est automatiquement chiffrée avant d’être reçue par son interlocuteur dans l’entreprise. La confidentialité de la donnée est assurée dès sa collecte. Cette fonctionnalité est également efficace en sens inverse, c’est-à-dire pour une information transmise par un membre des équipes à un client ou partenaire. Le parcours de la donnée est assuré de bout en bout.

La gestion des données médicales au-delà du chiffrement

Au-delà du seul chiffrement des données, la CNIL et le RGPD imposent un certain nombre de mesures pour encadrer le parcours de la donnée médicale dans l’entreprise. Pour rappel, une entreprise peut être tenue responsable si elle ne prend pas toutes les mesures de sécurité qui conviennent.

Parmi elles, on peut citer le contrôle d’accès à la donnée dont on a déjà parlé. Au niveau physique, cela implique un accès sécurisé aux locaux. Au niveau informatique dont on traite ici, cette dimension signifie de limiter l’accès à la donnée médicale ou sensible aux seules personnes concernées dans l’entreprise.

Celles-ci peuvent être très diverses et doivent être identifiées à l’étape d’audit. Seald permet en effet une autorisation et une révocation en temps réel des autorisations, en fonction par exemple des mobilités internes des personnes dans l’entreprise. Ainsi, seules les équipes réellement impliquées dans le traitement des données peuvent y accéder. Cela limite d’autant le risque de faille de sécurité en empêchant une diffusion des données médicales dans l’entreprise.

Ensuite, Seald permet de paramétrer une durée de conservation maximale de la donnée. Après ce délai, les autorisations seront caduques et les accès à la donnée perdus. La durée de conservation des données des salariés, mais aussi des clients, notamment lorsqu’il s’agit de données sensibles comme les données médicales, doit être limitée. Le délai de conservation dépend de la nature de la donnée et de la finalité de son traitement, mais une bonne pratique est de le limiter au maximum, là encore pour éviter les failles de sécurité et pour respecter la vie privée des personnes concernées. Seald peut vous y aider !

Better Seald than sorry.

Découvrez Seald avec votre équipe !