1. Accueil
  2. OnLib'Infos

La newsletter OnLib'Infos

Des articles dédiés à toutes les professions libérales

Sécurité des données personnelles : quels enjeux pour les professions libérales à l’ère de l’intelligence artificielle ?

Toutes professions libérales
Sécurité des données personnelles : quels enjeux pour les professions libérales à l’ère de l’intelligence artificielle ?
Sécurité des données personnelles : quels enjeux pour les professions libérales à l’ère de l’intelligence artificielle ?

Données sensibles et cyberattaques : les professionnels libéraux sont en première ligne.  Jérôme Deroulez, avocat associé chez Aumans Avocats, fait le point sur les risques et les mesures de protection d’informations parfois hautement sensibles. Avec un enjeu crucial à la clé, celui de la pérennité de l’activité.

La numérisation du quotidien des professions libérales va de pair avec une explosion du nombre de données recueillies et traitées, qu’il s’agisse de données de santé, financières ou liées au suivi des clients. Cette évolution majeure s’accompagne aussi du recours à de nouveaux outils (notamment dans le domaine de l’IA) qui facilitent encore la collecte et le traitement de données personnelles, en matière de ressources humaines, de gestion de la facturation ou de la communication.

La protection de ces données est aujourd’hui encadrée par de nombreuses obligations légales et règlementaires, dont le Règlement Général sur la Protection des Données personnelles (RGPD) et la loi Informatique et libertés en France, obligations qui doivent se caractériser par la formalisation de procédures et la prise en compte du principe de responsabilité.

Ces obligations connaissent par ailleurs une actualité accrue, dans le contexte de la montée en puissance des sanctions prononcées par la CNIL (notamment via sa procédure simplifiée, à l’encontre de professions libérales) ou du fait de la menace cyber. Cette dernière doit tout particulièrement être prise en compte pour assurer une sécurité des données effective et pérenne.

L’article 32 du RGPD : une disposition clé

Le RGPD, en son article 32, impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées aux risques. Pour les professions libérales, cela implique notamment de déployer :

  • Le chiffrement et la pseudonymisation des données sensibles, conformément aux dispositions applicables en la matière ;
  • La mise en œuvre de garantie de la confidentialité, de l’intégrité et de la disponibilité des systèmes, en fonction de la sensibilité des données en cause ;
  • L’anticipation et la mise en place de sauvegardes sécurisées régulièrement testées ;
  • L’évaluation régulière des mesures de sécurité pour adapter les dispositifs aux nouvelles menaces.

De telles mesures ont ainsi été reprises dans le guide pratique rédigé par l’Ordre national des médecins et la CNIL de juin 2018, qui propose une série de mesures pratiques, notamment en matière de sécurité.

Ces exigences prennent une dimension particulière lorsqu’il s’agit de données de santé qui bénéficient d’une protection renforcée au regard des dispositions de l’article 9 du RGPD (données sensibles) et dont le traitement doit s’inscrire dans le cadre légal et règlementaire prévu par le droit français. Où lorsqu’il s’agit de données couvertes par un secret professionnel et devant faire l’objet d’une confidentialité renforcée.

Cet article 32 doit aussi être interprété de concert avec les dispositions de l’article 28 du RGPD sur les relations entre responsable de traitement et sous-traitant. Ces dernières dispositions imposent notamment de prendre en compte, par exemple lors du choix d’un prestataire informatique ou d’un logiciel de traitement de données, le niveau de sécurité présenté par le prestataire identifié. À défaut et en cas de lacunes de sécurité, la responsabilité du responsable de traitement comme de son sous-traitant pourraient être engagées conjointement.
Enfin, le RGPD souligne également la nécessité de faire respecter ces obligations par l’ensemble des salariés et collaborateurs tout en mettant en place les outils de formation et de sensibilisation adaptés, pour faciliter la diffusion de bonnes pratiques.

La menace cyber : un risque concret pour les professions libérales

Les professions libérales ne sont pas épargnées par la montée en puissance de cette menace. Au contraire et faute de ressources cyber importantes, ces dernières représentent des cibles privilégiées. Les chiffres de l’ANSSI dans le Panorama de la cybermenace 2024 en témoignent :

  • 4 386 événements de sécurité traités en 2024, soit une hausse de 15 % par rapport à l’année précédente ;
  • 3 004 signalements d’incidents reçus, pour 1 361 incidents confirmés ;
  • Les rançongiciels touchent fortement les structures de taille réduite : 37 % des victimes sont des TPE, PME ou ETI ;
  • Le nombre d’attaques par déni de service distribué (DDoS) contre des cibles françaises a doublé entre 2023 et 2024

Ces données confirment que la menace est généralisée et évolutive et qu’elle concerne les professions libérales. Pour ces dernières, une cyberattaque peut aussi signifier non seulement une interruption d’activité, mais également des conséquences économiques en termes de clientèle, en plus des risques juridiques inhérents en cas de violation de données personnelles au sens du RGPD. 

Le recours à des outils d’IA : quelle sécurité des données ?

L’usage d’outils d’intelligence artificielle s’étend rapidement aux professions libérales, au vu des bénéfices présentés : assistance à la rédaction, analyse de données, aide au diagnostic ou au conseil… Ces outils offrent des perspectives de productivité considérables mais soulèvent également des questions cruciales :

  • Risque de fuite si des données sensibles sont saisies dans des IA ouvertes ;
  • Manque de garanties quant à la localisation, au stockage et à l’usage des données par les fournisseurs ;
  • Absence de contrôle sur la réutilisation possible des informations traitées ;
  • Perte de confidentialité en cas de partage de données sensibles, sans garanties appropriées.

Pour répondre à ces enjeux, il est indispensable, dans la perspective d’une protection des données adaptée, de mettre en place les mesures suivantes :

  • Évaluation des solutions d’IA avant leur adoption (conformité RGPD, localisation des serveurs, chiffrement) ;
  • Conduite d’une analyse d’impact si nécessaire (PIA) ;
  • Encadrement de l’usage des outils d’IA par des chartes internes opposables aux salariés et aux collaborateurs ;

La sécurité des données personnelles constitue aujourd’hui un enjeu particulièrement important pour les professions libérales. Obligation légale et réglementaire, elle doit s’accompagner aussi de la mise en œuvre de dispositifs techniques spécifiques, qui doivent être adaptés à l’activité en cause et à son niveau de risque. Évolutions qui sont aujourd’hui d’une actualité pressante face à des menaces multiformes.

Contactez-nous
onlib
Inscrivez-vous à notre newsletter
dédiée à toutes les professions libérales
Je m'abonne