L’AFNOR SPEC 2217 représente un tournant significatif dans l’approche de la protection des données dans le domaine de la santé et de la sécurité au travail. Ce référentiel, élaboré dans le cadre de la législation française et en accord avec les principes du RGPD, offre une perspective enrichissante sur la manière dont la conformité au RGPD peut être intégrée dans les pratiques quotidiennes des entreprises.
Une des recommandations majeures de l’AFNOR SPEC 2217 concerne la mise en place d’une messagerie cryptée. Bien que cette mesure ne soit pas obligatoire, elle s’aligne parfaitement avec l’esprit du RGPD qui privilégie la sécurisation des échanges de données personnelles. Cette approche préventive à la protection des données dans la communication interne est un exemple probant de la manière dont le RGPD influence les pratiques en matière de sécurité informatique, même au-delà de ses exigences légales.
Critère |
Apicrypt | MS Santé | Enovacom Secure Messaging Online |
| Cible | Professionnels de santé | Professionnels de santé | Professionnels de santé |
| Usage | Messagerie cryptée pour échanges de données de santé | Espace de confiance pour échanges de données de santé via messagerie | Messagerie sécurisée en mode SAAS, compatible avec MS Santé et Apicrypt |
| Interopérabilité | Compatibilité limitée avec d’autres systèmes, compatible MSSanté | Facilite les échanges interprofessionnels | Compatible avec Exchange Office 365 et utilisateurs de MS Santé |
| Infrastructure | Sur Serveur HDSApicrypt est HDS | Dépend du système de santé national | Hébergée sur HDS Orange, respectant ISO 27001 |
| Conformité | Conforme aux exigences du Décret n° 2022-1434 et AFNOR SPEC 2217 | Conforme aux exigences de sécurité du secteur de la santé et par conséquent : Conforme aux exigences du Décret n° 2022-1434 et AFNOR SPEC 2217 | Conforme aux exigences du Décret n° 2022-1434 et AFNOR SPEC 2217 |
| Restriction d’Usage | Réservé aux professionnels de santé | Réservé aux professionnels de santé | Pas explicitement réservé aux professionnels de santé |
En termes de gestion documentaire, le référentiel insiste sur la nécessité d’une actualisation régulière des dossiers individuels, en respectant les directives du RGPD ainsi que les recommandations de la CNIL. Cette procédure vise à garantir que les informations personnelles des salariés sont non seulement à jour, mais aussi protégées conformément aux normes les plus strictes de confidentialité et de sécurité des données.
L’AFNOR SPEC 2217 va plus loin en proposant la création d’un espace personnalisé pour chaque entreprise adhérente. Cet espace doit permettre la gestion transparente et sécurisée des contrats, des fiches d’entreprise et d’autres documents sensibles. Cette initiative reflète l’importance accordée à la gestion responsable et sécurisée des données, un principe fondamental du RGPD.
Enfin, la liberté laissée aux entreprises dans le choix de leurs outils numériques, particulièrement en ce qui concerne la gestion des risques et la production des DUERP, résonne avec l’aspect du RGPD qui prône l’autonomie et la responsabilisation des entités dans la protection des données. Cette approche garantit que les entreprises ne sont pas contraintes par des solutions uniques mais peuvent choisir les outils les plus adaptés à leurs besoins spécifiques, tout en restant conformes aux exigences du RGPD.
Les principaux point de la SPEC2217 et le RGPD
Mise en Place des Organisations et Structures : Il est nécessaire d’établir des organisations et des structures appropriées pour assurer la conformité. Cela inclut, par exemple, la définition des politiques de qualité et l’élaboration d’organigrammes.
Engagement de la Direction : La direction doit s’engager à ce que toutes les activités soient conformes aux exigences légales et réglementaires, y compris celles liées à la protection des données.
Définition d’un Projet de Service : Un projet pluriannuel de service doit être défini, comprenant des objectifs clairs en matière de conformité et de protection des données.
Gestion Documentaire : Il est recommandé d’adopter une approche rigoureuse en matière de gestion documentaire, y compris l’actualisation régulière des dossiers individuels dans le respect des directives du RGPD.
Espaces Personnalisés pour les Entreprises : Les entreprises doivent disposer d’espaces personnalisés permettant la gestion transparente et sécurisée des contrats, des fiches d’entreprise, et d’autres documents sensibles.
Choix des Outils Numériques : Les entreprises doivent avoir la liberté de choisir leurs outils numériques, particulièrement pour la gestion des risques et la production des documents évaluant les risques professionnels, tout en garantissant la conformité aux normes de protection des données.
Système de Messagerie Cryptée : Bien que non obligatoire, l’adoption d’un système de messagerie cryptée est recommandée pour renforcer la sécurité des échanges de données personnelles.
Ces actions, prises dans leur ensemble, visent à assurer que les organisations non seulement respectent les directives du RGPD, mais adoptent également une approche proactive et responsable dans la gestion et la protection des données personnelles.
Nos liens connexes
DPO PARTAGE : L’expertise RGPD au service des SPSTi à Paris(S’ouvre dans un nouvel onglet)
Mise en place de politiques internes spsti de gestion des données(S’ouvre dans un nouvel onglet)
Inscription organisme certificateur(S’ouvre dans un nouvel onglet)
