{"id":8505,"date":"2015-11-09T16:00:14","date_gmt":"2015-11-09T15:00:14","guid":{"rendered":"http:\/\/www.solucominsight.fr\/?p=8505"},"modified":"2015-11-06T17:35:06","modified_gmt":"2015-11-06T16:35:06","slug":"big-data-dans-lassurance-gerer-les-risques-lies-aux-donnees-manipulees","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2015\/11\/big-data-dans-lassurance-gerer-les-risques-lies-aux-donnees-manipulees\/","title":{"rendered":"Big data dans l’Assurance : g\u00e9rer les risques li\u00e9s aux donn\u00e9es manipul\u00e9es"},"content":{"rendered":"

Initier un projet Big data, c\u2019est se poser la question de nouvelles donn\u00e9es \u00e0 collecter, stocker et manipuler pour de nouveaux usages. Autant de besoins qui font peser des risques sur les donn\u00e9es concern\u00e9es et la conformit\u00e9 vis- \u00e0-vis des lois de protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

Donn\u00e9es personnelles : le cadre r\u00e9glementaire<\/h2>\n

Un cadre l\u00e9gal existe d\u00e9j\u00e0 et repose sur la Loi informatique et libert\u00e9s du 6\u00a0janvier\u00a01978, plus particuli\u00e8rement l\u2019article 34 qui impose aux responsables de traitement de \u00ab\u00a0prendre toutes les pr\u00e9cautions utiles, au regard de la nature des donn\u00e9es et des risques pr\u00e9sent\u00e9s par le traitement, pour pr\u00e9server la s\u00e9curit\u00e9 des donn\u00e9es\u00a0\u00bb.<\/p>\n

Ce cadre est en \u00e9volution. Un projet de r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es devrait aboutir fin 2015, remettant au go\u00fbt du jour la Directive europ\u00e9enne 95\u00a0\/\u00a046 relative \u00e0 la protection des donn\u00e9es.<\/p>\n

Ces textes sont compl\u00e9t\u00e9s par des r\u00e9flexions du G29, groupe de travail des CNIL europ\u00e9ennes \u00e9mettant des opinions sur l\u2019approche par les risques (Article 29 Data Protection Working Party).<\/p>\n

Les principes de collecte, transmission, h\u00e9bergement et traitement des donn\u00e9es personnelles doivent suivre des exigences de protection l\u00e9gale tr\u00e8s strictes\u00a0: recueillir le consentement explicite; informer sur la finalit\u00e9 ; collecter uniquement les donn\u00e9es li\u00e9es et n\u00e9cessaires \u00e0 cette finalit\u00e9 ; d\u00e9truire les donn\u00e9es une fois la finalit\u00e9 atteinte ; respecter les droits \u00e0 l\u2019acc\u00e8s, la rectification et la suppression de ces donn\u00e9es ; s\u00e9curiser la collecte, le transfert, l\u2019h\u00e9bergement et le traitement des donn\u00e9es ; effectuer le traitement de fa\u00e7on loyale et licite.<\/p>\n

Ceci donne un cadre l\u00e9gal aux d\u00e9marches Big data avec un processus d\u2019am\u00e9lioration continue qui requiert parfois plusieurs it\u00e9rations pour parvenir \u00e0 un dispositif de protection de la vie priv\u00e9e acceptable. Il exige en outre une surveillance des \u00e9volutions dans le temps et des mises \u00e0 jour r\u00e9guli\u00e8res.<\/p>\n

Pour faciliter la mise en \u0153uvre concr\u00e8te de ce cadre juridique, la CNIL a publi\u00e9 le 2\u00a0juillet 2015 une m\u00e9thode pour mener une \u00e9tude d\u2019impacts sur la vie priv\u00e9e (EIVP). L\u2019objectif est d\u2019aider les responsables de traitement dans leur d\u00e9marche de conformit\u00e9, de leur permettre de justifier les mesures choisies et de montrer que les solutions ne portent pas atteinte \u00e0 la vie priv\u00e9e.<\/p>\n

Cette m\u00e9thode est compl\u00e9t\u00e9e par un guide d\u2019outillage et par un guide de bonnes pratiques. Cette d\u00e9marche de conformit\u00e9 se d\u00e9roule en 4 \u00e9tapes\u00a0: d\u00e9limitation et description du contexte du traitement consid\u00e9r\u00e9 et de ses enjeux ; identification des mesures existantes ou pr\u00e9vues pour respecter les exigences l\u00e9gales et traiter les risques sur la vie priv\u00e9e de mani\u00e8re proportionn\u00e9e ; appr\u00e9ciation des risques sur la vie priv\u00e9e pour v\u00e9rifier qu\u2019ils sont convenablement trait\u00e9s; d\u00e9cision de valider la mani\u00e8re dont il est pr\u00e9vu de respecter les principes de protection de la vie priv\u00e9e et de traiter les risques, ou bien de r\u00e9viser les \u00e9tapes pr\u00e9c\u00e9dentes.<\/p>\n

L’acc\u00e8s aux donn\u00e9es de Sant\u00e9<\/h3>\n

L\u2019article 47 du projet de loi de Sant\u00e9 de Marisol Touraine a \u00e9t\u00e9 adopt\u00e9 par les d\u00e9put\u00e9s le 11\u00a0septembre 2015. Il pr\u00e9voit la cr\u00e9ation d\u2019un syst\u00e8me national des donn\u00e9es de sant\u00e9 (SNDS), grande base de donn\u00e9es m\u00e9dicales centralis\u00e9es accessible au public, afin de faciliter l\u2019acc\u00e8s aux donn\u00e9es m\u00e9dicales issues des divers organismes du secteur.<\/p>\n

Suivant l\u2019avis favorable de la CNIL \u00e0 la cr\u00e9ation d\u2019un num\u00e9ro d\u2019identification unique, condition sine qua non de la cr\u00e9ation d\u2019une plateforme num\u00e9rique unique, le Num\u00e9ro d\u2019Inscription au R\u00e9pertoire National (NIR), plus commun\u00e9ment appel\u00e9 num\u00e9ro de s\u00e9curit\u00e9 sociale, deviendra l\u2019identifiant unique de sant\u00e9.<\/p>\n

Pour prot\u00e9ger la vie priv\u00e9e des patients et le secret m\u00e9dical, qui reste la principale critique apport\u00e9e par le Syndicat des M\u00e9decins Lib\u00e9raux \u00e0 cet article, de nombreuses garanties ont \u00e9t\u00e9 apport\u00e9es par le l\u00e9gislateur\u00a0:<\/p>\n