Nos services – Gestion des risques

Les risques relatifs à la protection des données personnelles et de la vie privée découlent de menaces dont la réalisation peut avoir des impacts importants, voire maximaux, sur votre organisme, d’une part, et sur les droits fondamentaux des personnes physiques dont les données personnelles sont traitées sous votre responsabilité, d’autre part.

Il est donc indispensable d’apprécier et de traiter ces risques de manière méthodique et objective.

En quoi consiste notre service de gestion des risques pour la protection des données ?

  • Nous nous plaçons en tant qu’observateur neutre et expérimenté pour vous permettre d’identifier vos risques, de les analyser et de les évaluer.
  • Nous vous apportons notre expertise pluridisciplinaire en matière de sécurité de l’information, de protection des données personnelles et de conformité juridique, afin d’assurer une approche globale pour l’identification de vos risques.
  • La législation européenne prévoit que les personnes physiques dont vous traitez des données sensibles (données de santé, données génétiques, en particulier) soient consultées quant à la nature des impacts et dommages potentiels d’une divulgation, d’un mésusage, d’une compromission ou de la perte de leurs données. Nous jouons le rôle d’intermédiaire de confiance entre vous et les associations de patients représentatives des populations inclues dans les études de votre plan de développement clinique, ou des usagers du système de santé, pour réaliser cette consultation. Les impacts potentiels ainsi déterminés, par type de population, pourront ainsi servir de support à vos Analyses d’Impact relatives à la Protection des Données (AIPD) à venir et en rationaliser le résultat.
  • Nous vous accompagnons dans le choix et la mise en œuvre de la méthode d’analyse de risques la plus pertinente pour vous.
Nous contacter

Une gestion de la protection des données et de la vie privée pilotée par les risques : la pierre angulaire de la conformité.

De quels risques parlons-nous ?

Les risques relatifs à la protection des données personnelles et de santé sont :

  • La perte de confidentialité résultant d’un accès illégitime aux données personnelles.
  • La perte d’intégrité résultant d’un défaut d’exactitude ou d’une modification non désirée des données personnelles.
  • La disparition des données personnelles résultant de leur destruction non désirée ou de leur indisponibilité temporaire ou définitive.
  • La violation du droit fondamental des personnes au contrôle sur leurs données personnelles : information, accès, rectification, droit à l’oubli, limitation ou opposition, ne pas faire l’objet d’une décision automatisée, etc.
  • La violation des obligations légales ou contractuelles auxquelles est tenu votre organisme.

 

De quelles menaces parlons-nous ?

Les sources de menaces peuvent être internes ou externes, agissant par malveillance, par inadvertance, ou encore par négligence, par méconnaissance ou sous-estimation des exigences légales et contractuelles auxquelles votre organisation est soumise, ou des règles qu’elle s’est elle-même fixée.

Toute vulnérabilité, qu’elle soit technique ou organisationnelle, peut permettre à une source de menace de l’exploiter ou de se manifester. Elle peut augmenter de façon significative le risque de porter atteinte aux données que vous détenez dans vos systèmes d’informations, dans ceux de vos sous-traitants, ou qui transitent ou résident dans l’infrastructure que vous avez mise en œuvre. Lorsque la vulnérabilité est de nature juridique, elle peut augmenter de façon significative le risque de violation de vos obligations légales ou contractuelles, vis-à-vis des personnes physiques dont vous traitez les données ou vis-à-vis de vos partenaires.

Pourquoi une approche de la conformité pilotée par les risques ?

Il est nécessaire d’identifier les menaces et les vulnérabilités qui peuvent entrainer la compromission des données personnelles et de santé que vous traitez ou des droits des personnes concernées, d’en analyser les impacts potentiels, et d’estimer la probabilité de leur occurrence.

Cet exercice vous permet ensuite de placer les priorités de votre plan d’action de conformité d’abord sur les risques dont les impacts sont les plus importants et la probabilité d’occurrence la plus élevée.

Quels sont les impacts potentiels des risques ?

 

Pour les personnes physiques concernées par la protection de leurs données à caractère personnel, les impacts potentiels peuvent être d’autant plus critiques qu’il s’agit de personnes vulnérables : classe d’âge, type de maladie, bénéfices et risques éventuels à participer à l’étude, nature et profondeur historique ou prospective des données collectées, dépendance éventuelle vis-à-vis de proches ou aidants, capture de données en ambulatoire, de données génétiques, etc.

Les impacts liés aux risques sur les données personnelles sont le plus souvent matériels ou moraux, par exemple par suite du vol d’identité ou de l’utilisation de données de santé pour refuser l’accès à un emploi ou à un logement, ou pour du cyber harcèlement.

 

Pour votre organisme, les risques sont de nature financière (sanction administrative et/ou réparation de dommages causés), opérationnelle (injonction d’arrêter des opérations de traitement de données par une autorité de protection des données), ou réputationnels (image endommagée auprès des patients, de vos partenaires ou de vos investisseurs).

Quelles sont les méthodes d’analyse de risques sur la protection des données ?

Voici quelques méthodes de référence en matière d’analyse des risques sur la sécurité de l’information :

  • La norme ISO 27005 :2022, Sécurité de l’information, cybersécurité et protection de la vie privée ; préconisations pour la gestion des risques liés à la sécurité de l’information.
  • La méthode EBIOS Risk Manager, référence française préconisée par l’Agence Nationale de la Sécurité des systèmes d’information (ANSSI), méthode qui accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres.
  • La méthode de la CNIL en France, basée sur EBIOS et adaptée au contexte spécifique du PIA (Privacy Impact Assessment), ou AIPD (Analyse d’Impact relative à la Protection des Données).

Pourquoi choisir ?

 

Nous proposons un service de gestion des risques clé en main : mise à disposition de l’expertise, des outils adaptés, de nos bases de connaissance, intermédiaire de confiance avec les personnes concernées par vos traitements de données, accompagnement sur mesure.

L’approche que nous proposons permet de rationaliser et d’optimiser le processus d’analyse de risques, de façon à répondre aux exigences réglementaires tout en gagnant du temps en capitalisant sur la construction de votre base de connaissance propre au fur et à mesure de vos analyses.

Alcoam by Design est un cabinet de conseil dédié aux services de DPO, d’audit et de conseil en protection des données dans le domaine de la santé. Nous n’avons pas d’autre intérêt que de délivrer ces services. Notre croissance est basée exclusivement sur le « bouche à oreille », ce qui nous impose de mener chaque mission avec professionnalisme.

Alcoam by Design a établi des règles internes dans la gestion de son portefeuille de clients et des services, afin de prévenir toute possibilité de conflits d’intérêts ou de conflits d’obligations

Nos autres services pour la protection des données de santé

Audit interne ou de sous-traitant

En savoir plus >

Formation aux données personnelles de santé & vie privée

En savoir plus >

DPO/DPD

Délégué à la protection des donnéesDPD/DPO

En savoir plus >

Et d’autres services à découvrir

Nous faire confiance pour votre besoin de conformité en protection des données personnelles et de la vie privée en santé :

Vous avez une question ponctuelle de protection des données en santé ? Posez-nous votre question, nous y répondrons volontiers et sans frais pour vous.
Vous souhaitez être mis en contact avec une personne de notre réseau de clients ou de partenaires pour avoir un retour d’expérience de nos services, en toute confidentialité ?
Vous avez besoin d’en savoir plus sur notre entreprise : nos méthodes de travail, outils et bases de connaissance du métier, notre capacité à répondre à vos besoins et à vos projets ?

Entrer en contact

Toutes les modalités de nos échanges avec vous sont régulées par notre politique de confidentialité et de protection des données personnelles.

31 Av. Mirabeau, 78000 Versailles
+33 (0)1 84 73 20 89

Contactez-nous
Linkedin-in