La protection et la sécurité des données : au cœur des enjeux réglementaires européens

Publié le
SCS

RGPD, Cybersecurity Act, Security by Design et Privacy by Design

 

Pas facile de s’y retrouver dans les divers règlements en vigueur, dans les notions de protection des données ou de « Security by Design » selon le RGPD, de certification dans le « Cybersecurity Act » ou encore dans le secteur de la e-santé avec l’entrée en vigueur du nouveau Règlement concernant les dispositifs médicaux y compris ceux intégrant du logiciel, qui renforce la protection du consommateur et de ses données. Faisons le point ensemble !

 

Avec l’explosion des objets connectés et des plateformes web, la protection et la sécurité des données sont devenues nécessité

 

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 mai 2018.
Très synthétiquement, son objectif est d’obliger les acteurs du numérique, petits ou grands, à protéger les données personnelles des individus et à veiller au plus grand respect de leur utilisation ou monétisation le cas échéant.

Au cœur de ce Règlement, le législateur européen a intégré une notion fondamentale et globale de protection des données dès la conception des produits. Ceci introduit à la fois le « Security by design » pour limiter les risques de failles de sécurité d’un produit tel qu’un objet connecté par exemple et le « Privacy by design », focalisé sur la notion de protection des données personnelles des utilisateurs notamment en termes de stockage et de partage à des tiers.

S’il est nécessaire d’avoir des réglementations imposant des pratiques de sécurité et de protection digitales, encore faut-il avoir des cadres de référence et des mécanismes permettant de valider et accréditer un niveau de sécurité.

C’est dans cette optique que le Parlement Européen a également adopté le 12 mars 2019, le Règlement « Cybersecurity Act ». Il définit le cadre européen de certification de cyber sécurité pour harmoniser les méthodes d’évaluation et les niveaux d’assurances de certification.
En effet, il est indispensable de pouvoir s’entendre sur les garanties à apporter aux citoyens européens quel que soit le pays, dans la mesure où les logiciels n’ont pas de frontières.
Ce règlement prévoit notamment l’adoption de schémas de certification pour les produits, les services ou les processus notamment en termes d’évaluation de sécurité de l’IoT (Internet of Things) ou du Cloud y compris dans des secteurs dits critiques comme celui de la santé.

 

 

Focus sur les dispositifs médicaux avec l’entrée en vigueur du Règlement 2017/745 et les recommandations en termes de cyber sécurité

 

Le secteur de la e-santé connait de grands bouleversements. Les exigences en matière de sécurité numérique sont renforcées dans un contexte grandissant de cyber criminalité et de vulnérabilité accrue des nombreux objets connectés ou logiciels contenant des données sensibles de santé.

Au niveau mondial, les projections de croissance des marchés de la santé et du bien-être sont évaluées à plus de 160 Milliards de $ en 2022, en croissance de 20% par an, selon Technavio, Research&Market. En termes de « Wearables » incluant les dispositifs portés sur soi comme les « quantify yourself », cela représente 471 Milliards d’unités en 2021 selon Strategy Analytics.

A la vue de ces chiffres vertigineux, la vigilance sur les objets intelligents à usage de santé ou de bien-être mais également sur les logiciels de e-santé (téléconsultation, télé expertise, etc..) est de mise pour préserver les données personnelles et sensibles des utilisateurs/patients.

L’esprit de ce nouveau règlement va dans le même sens pour plus de protection des consommateurs ou utilisateurs et pour plus de sécurité des Dispositifs Médicaux y compris de cyber sécurité.
Ainsi, les entreprises développant et/ou commercialisant des logiciels médicaux seront dorénavant dans l’obligation de mettre en place et faire auditer leur système qualité et la documentation technique du logiciel par un organisme indépendant. L’auto-déclaration avant mise sur le marché ne sera plus suffisante.
Par voie de conséquence, les délais de mise sur le marché s’en trouveront impactés et les points d’attention sur le RGPD, le « Privacy By Design » ou la cyber sécurité renforcés.
L’Agence Nationale de la Sécurité du Médicament et des produits de santé (ANSM) a mené sur ce sujet une consultation afin de publier des recommandations de cyber sécurité à destination des fabricants.
En savoir plus ICI

 

Pour vous aider à y voir clair et être accompagné !

 

Comme nous avons pu le voir, les différents règlements sont fortement imbriqués. Les enjeux de protection des données et de sécurité/cyber sécurité sont fondamentaux pour des solutions plus fiables, plus sécurisées et plus respectueuses de la vie privée.

Au sein de SCS, les acteurs de la sécurité numérique mettent tout en œuvre pour innover et développer des briques de sécurité ou cyber sécurité de plus en plus sophistiquées.
Le rôle de SCS est d’accompagner toutes les entreprises du numérique à intégrer cette sécurité pour garantir la protection des données de leurs produits et services.
C’est pour cela que nous proposons aux startups et aux PMEs des accompagnements sur mesure et individualisés pour l’évaluation de la conformité au RGPD et pour analyser les risques de cyber sécurité. Et très bientôt, un nouvel accompagnement sera proposé pour accompagner l’intégration des démarches de « Security By Design » dans les produits et solutions.

Pour les acteurs de la santé avec l’entrée en vigueur du nouveau Règlement sur les Dispositifs Médicaux et la préparation amont pour l’audit du système qualité et du dossier technique, ils peuvent obtenir conseil auprès du cabinet Ergomontis, membre de SCS.
N’hésitez pas à nous demander une mise en relation personnalisée avec son dirigeant.

 

Stéphanie Schohn
Direction Animation & Écosystème SCS

 

Plus d’informations

 

Découvrez le détail de nos accompagnements :

 

  1. Notre Offre RGPD
  2. Notre Offre Cybersécurité

Retour aux actus