WEB EDITIONS : sanction pécuniaire pour une atteinte à la sécurité et la confidentialité des données clients

Nous n'étions pas encore à l'heure du RGPD, mais à partir du mois de mai prochain cette infraction répondra au doux nom de défaut de security by design et security by default.

Fin 2017, la CNIL a prononcé une sanction d'un montant de 25000€ à l'encontre de l’éditeur de 4 sites de démarches administratives. Dans son article il est précisé que la sanction porte sur l’absence de mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés

"La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 25.000 euros, estimant que la société avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites, conformément à  l’article 34 de la loi Informatique et Libertés."

L'activation imminente du nouveau règlement européen de la protection des données met dans l’embarras de nombreuses structures. A l'heure où les centres hospitaliers luttent pour maintenir un équilibre financier précaire, les directions y voient une nouvelle contrainte (qui se traduit par un coût interne en ETP ou externe via de la prestation) plus qu'un gain de productivité.

Mais c'est une erreur car ce même règlement va leur fournir un outil redoutable de négociation avec leurs éditeurs. Il va devenir compliqué voire impossible à un éditeur de solution santé de continuer à piétiner les bases fondamentales de la sécurité s'il envisage de conserver des parts de marché. L'effet ciseau de la PSSI-MCAS et du RGPD devrait assainir l'offre.

Il y aura un gain réel sur le plan de la sécurité des systèmes d'information de santé. Hip hip hip...

Quand on sait que le RGPD embarque également les notions d'analyse de risques systématique sur les traitements sensibles et de co-responsabilité de l'éditeur, j'ai hâte de voir ce que cette union sacrée va produire dans les mois et années à venir...