S’il y a une date que tout dirigeant d’établissement social et médico-social doit noter en rouge sur son agenda ou sa tablette, c’est celle du 25 mai 2018. Ce jour-là, entre en vigueur le RGPD, qui est, pour ceux qui l’ignorent encore, le règlement général de protection des données personnelles, applicable dans toute l’Union européenne. Toute entreprise – quels que soient son statut, sa taille, son activité –, doit mettre en place un protocole et des procédures visant à protéger les données de ses collaborateurs, partenaires et clients contre les intrusions et les prédateurs numériques, communément appelés hackeurs. Le process est complexe, les obligations rigoureuses et les sanctions lourdes en cas de non-respect. Notre dossier « Management » (pages 20 à 23) donne toutes les clés pour faire face à ce véritable big bang gestionnaire et celui sur le juridique (pages 37 à 45) en explique les fondements.
Chargée de veiller à l’application de cette réglementation, jamais autant qu’à compter de ce fatidique quatrième vendredi de ce prochain mois de mai la CNIL (Commission nationale de l’informatique et des libertés) ne méritera son surnom de « gendarme des libertés ». C’est en effet la liberté et nos libertés qui sont au cœur de l’enjeu de cette révolution. Aujourd’hui, alors que tout ou presque passe par le Net et le numérique, les entreprises, les administrations, les associations, les structures sociales et sanitaires sont dépositaires d’une masse considérable d’informations sur chacun d’entre nous. Et en matière d’informations personnelles sensibles, le secteur social et médico-social est évidemment en première ligne par la nature même de ses activités. Comment éviter – pour paraphraser Jacques Prévert – que ces données s’envolent au vent mauvais de la Toile, ne s’agrègent et constituent des fichiers qui rendraient transparent tout individu ?
Le risque est réel et bien plus qu’on ne le croit. Les informations personnelles que chacun – en toute innocence – laisse sur le Net, en surfant sur des sites marchands, en dialoguant avec ses amis virtuels du bout du monde ou en gazouillant sur les réseaux sociaux, font la fortune des fameux GAFAM (Google, Amazon, Faceboof, Apple et Microsoft), sans parler de leurs homologues chinois. Il faut savoir que le monde de la Toile est tout sauf virtuel. Rien ne se perd, tout se récupère. C’est le contraire de la série Mission impossible : le document ne s’autodétruit pas dans les 5 secondes. A la manière des chalutiers qui, en haute mer, lancent leurs filets pour récupérer du poisson en grande quantité, les géants du Net déploient leurs algorithmes pour récupérer de l’information en gros. Selon les études internationales, la masse des informations circulant sur le Net représente chaque année des centaines de milliards de dollars. On imagine ce qu’il en serait si les données de santé et sociales s’ajoutaient aux informations consuméristes et comportementales. Il existe déjà des logiciels permettant, à partir des comptes Facebook, de déterminer la solvabilité des internautes, ce qui intéresse fortement les banques. Aux Etats-Unis, des assureurs santé proposent à leurs clients de faire séquencer leur ADN pour adapter leur contrat à leur profil ou peut-être les exclure s’ils sont un mauvais risque, mais cela n’est pas forcément exprimé.
Le RGPD est considéré comme la protection la plus élevée dans le monde. Sur le papier, sans doute, mais pour l’être dans la réalité, il faudrait ou il faudra que toutes les entreprises de l’Union européenne jouent le jeu. On souhaite du plaisir et… des moyens aux « gendarmes des libertés » des différents pays de l’Europe.