Protection des données personnelles : l’engagement sans faille de La Mutuelle Générale

La protection de vos données personnelles constitue depuis toujours une priorité pour La Mutuelle Générale. À tous les niveaux, technique, organisationnel et humain, tout est mis en œuvre pour assurer la sécurité et la confidentialité de vos données de santé. À l’occasion du second anniversaire de la mise en application du Règlement Général sur la protection des données (RGPD), nous avons rencontré Claude Dijols, délégué à la protection des données (DPO) de La Mutuelle Générale.
 

Le RGPD fête ses 2 ans. Pouvez-vous nous rappeler de quoi il s’agit ?

Claude Dijols : En France, ce règlement relatif à la protection des données des personnes physiques est venu renforcer la loi Informatique et Libertés qui datait de 1978, une époque très peu dématérialisée. Avec l’avènement du numérique, ce texte était devenu insuffisant. En outre, le RGPD harmonise la réglementation au niveau européen, une harmonisation rendue nécessaire par la digitalisation et l‘explosion de la circulation des données.
 

Ce règlement est-il vraiment contraignant ?

Il l’est beaucoup plus que la loi Informatique et Libertés et représente une avancée pour les citoyens qui sont mieux protégés. Auparavant, les entreprises ne se conformant pas à la législation risquaient jusqu’à 300 000 euros d’amende, ce qui à l’échelle de certaines multinationales n’était pas nécessairement très dissuasif. Au fond, la principale inquiétude de ces entreprises, c’était le risque d’image lié à la possibilité de rendre publique la sanction. Avec le RGPD, les choses ont changé. Non seulement les sanctions encourues peuvent toujours être rendues publiques, mais surtout elles peuvent atteindre 4 % du chiffre d’affaires mondial. Google, par exemple, a été condamné à une amende de 50 millions d’euros par la France en janvier 2019, ce qui est nettement plus dissuasif ! L’autre point fort du RGPD, c’est d’avoir mis le consommateur au centre du dispositif. Ses droits ont été renforcés et il peut les exercer à tout moment.
 

Concrètement, comment cela se traduit-il ?

Avant de traiter des données personnelles, par exemple, les entreprises sont désormais tenues de s’assurer du consentement écrit, clair et explicite de leurs clients. Ces derniers peuvent avoir accès à leurs données, s’opposer au traitement de certaines d’entre elles, etc. Les entreprises ont, par ailleurs, l’obligation d’indiquer à leurs clients comme à leurs prospects ce qu’elles vont faire des données collectées, pourquoi elles les collectent, combien de temps elles vont les conserver… Le RGPD instaure une transparence qui n’existait pas auparavant.
 

Les données de santé sont, par essence, des données « sensibles ». Le RGPD a-t-il poussé La Mutuelle Générale à accroître ses mesures de sécurité ?

La Mutuelle Générale n’a pas attendu le RGPD pour sécuriser les informations de ses adhérents. Cela fait des années que les entreprises font l’objet de cyberattaques, et nous avons toujours pris très au sérieux ce risque. Néanmoins, le RGPD nous a amenés à réévaluer l’ensemble de nos processus de sécurité, ce qui nous a permis de relever encore le niveau de sécurisation des données de nos adhérents. Cela ne concerne pas seulement le traitement des données réalisé en interne, mais également les transferts et le traitement réalisés par des prestataires tels que les opérateurs de tiers payant. Cela concerne aussi les adhérents eux-mêmes lorsqu’ils accèdent à leurs données. Tous les ans, par exemple, nos sites internes, en particulier l’Espace Adhérent, sont soumis à des tests d’intrusion. Si nécessaire, le service informatique apporte un correctif de sécurité sans délai.
 

Les collaborateurs de La Mutuelle Générale sont-ils sensibilisés à cette problématique ?

Avoir les bons outils techniques pour garantir une sécurité maximale, c’est indispensable, mais ça ne suffit pas. En matière de sécurité, nous sommes tous acteurs, nous avons tous un rôle à jouer, les adhérents comme les collaborateurs. Et ces derniers sont bien entendu sensibilisés.
 

De quelle façon ?

Comme toutes les entreprises, nous disposons d’une charte informatique et de protection des données que nous avons remise à jour pour l’adapter aux réalités du numérique. Elle ne contient pas moins de 200 articles qui couvrent de très nombreuses situations : que faire si je constate une tentative d’intrusion informatique, quelles sont mes autorisations d’accès aux données selon ma fonction au sein de La Mutuelle Générale… Tout cela se traduit par des règles strictes que les salariés doivent respecter dans le but de protéger les données des adhérents. Nous faisons également des campagnes régulières de sensibilisation en interne sur des thématiques de sécurité, comme le « phishing », une attaque très fréquente qui consiste à envoyer à un salarié un courrier électronique reprenant la charte graphique d’une entreprise connue pour lui dérober son mot de passe et/ou lui soutirer des informations.
 

Les adhérents ont eux aussi un rôle à jouer pour sécuriser leurs données, disiez-vous. Comment ?

Chacun doit faire preuve de vigilance et s’interroger. Par exemple, mes mots de passe sont-ils suffisamment robustes, mon ordinateur est-il bien protégé, lorsque je transmets des données sur des sites Internet, ces derniers sont-ils fiables, sécurisés… ? De même que nous sensibilisons nos salariés, il est nécessaire d’aider nos adhérents à acquérir les bons réflexes en matière de sécurité (lire ci-contre). La protection des données, c’est l’affaire de tous !
 

ZOOM

8 conseils pour protéger vos données personnelles

1. Adoptez un mot de passe robuste. Formez une phrase facile à mémoriser et utilisez les premières lettres de chaque mot. Par exemple, « Mon fils s’appelle Arthur et joue au football 2 heures par semaine ! » deviendra « MfsaAejaf2hps! ». Un bon mot de passe doit contenir au moins 8 caractères et mixer majuscules, minuscules, chiffres et caractères spéciaux (%, !, #…).

2. N’effectuez jamais de paiement sur un site non sécurisé. Vérifiez systématiquement que l’adresse Internet est précédée de « https » au lieu de « http ». Le « s » indique que les données transmises sont cryptées.

3. Évitez les réseaux Wi-Fi publics. Lorsque vous échangez des données personnelles, n’utilisez que les réseaux privés ou le réseau mobile de votre smartphone.

4. Soyez vigilant avec les emails. N’ouvrez jamais les pièces jointes des courriels provenant d’expéditeurs inconnus. Idem si le message d’un proche vous semble impersonnel : sa messagerie a pu être piratée.

5. Méfiez-vous des mails « officiels ». Si un courriel semblant venir de l‘Assurance maladie, de la mutuelle ou de votre banque vous invite à cliquer sur un lien ou à remplir un formulaire, supprimez-le. Aucun organisme officiel ne vous demandera de saisir vos données personnelles ni vos coordonnées bancaires de cette façon !

6. Faites des mises à jour régulières. Les systèmes d’exploitation, logiciels et applications peuvent présenter des failles de sécurité qui, une fois repérées, sont corrigées par les mises à jour.

7. Installez un antivirus, un antispyware et un pare-feu pour protéger votre ordinateur contre les virus, les logiciels espions et les intrusions.

8. Ne divulguez pas d’informations personnelles sur les réseaux sociaux. Avec les forums, ils font partie des terrains de jeux favoris des pirates.