Concilier maintien de l'activité, protection des salariés et des données, et sécurité des systèmes d'information. Face à ce défi et dans un contexte de crise sanitaire, les structures médico-sociales ont une obligation de moyens, indique Ressourcial.La crise sanitaire liée au Covid-19 conduit les établissements et services du secteur social et médico-social à une accélération, forcée, du virage numérique. Entre maintien de l'activité, sécurisation des salariés et des usagers et protection des données personnelles, les structures doivent arbitrer et trouver le bon équilibre. Dans ce contexte, les gestionnaires ont une obligation de moyens, explique Christian Viallon, président du groupement social de moyens Ressourcial lors d'un webinaire organisé ce 7 avril.

Le manque d'anticipation contraint les établissements et services à fonctionner en mode dégradé et à se réorganiser avec les moyens dont ils disposent, ajoute-t-il. Cette situation exceptionnelle ne doit pas pour autant être l'occasion de "mettre en quarantaine" la protection des données personnelles, d'ordre constitutionnel, souligne Ressourcial.

Protéger les données et répondre à l'urgence

La protection des données doit être d'autant plus forte que celles liées au Covid-19 sont des données de santé. "Il faut s'efforcer de limiter l'identification", d'être "dans une démarche de confidentialité", reprend Christian Viallon. Cette injonction se confronte à une autre, celle de la protection des salariés, possiblement exposés au coronavirus. Dès lors, les structures doivent veiller à la confidentialité des échanges, "autant que faire se peut", éviter les mails non sécurisés, se conformer au plus près aux principes de proportionnalité et de minimisation du règlement européen général sur la protection des données (RGPD). Elles ne doivent traiter que les données personnelles dont elles ont réellement besoin, insiste le président du groupement. "Le RGPD ne peut être ni une entrave ni mis entre parenthèse."

Les conditions de la télémédecine ont été assouplies pour répondre à l'urgence (lire notre article) et cette pratique est largement préconisée pour limiter la propagation du virus. Pour certains établissements, le passage à la téléconsultation doit se faire à marche forcée. Certaines solutions, qui jusque-là n'étaient pas qualifiées, peuvent être utilisées, note Christian Viallon. Comme pour le télétravail (lire notre encadré), il préconise d'utiliser en priorité des solutions sous licence. Là encore les structures vont devoir arbitrer entre l'urgence de la situation, l'accompagnement des usagers et la protection des données. Les dérogations sont en tout état de cause provisoires, souligne Ressourcial dans une note d'information consacrée au RGPD. "Il est donc recommandé de se tourner vers des plateformes conformes et de bien veiller à ne pas pérenniser les usages dérogatoires au-delà [du 30 avril 2020]."

La cybercriminalité en hausse

"La cybercriminalité explose", lance Christian Viallon, qui rappelle la nécessité de "réfléchir avant de cliquer". "Les salariés aujourd'hui sont beaucoup plus isolés, ils peuvent se retrouver en difficulté ou dans l'angoisse", reconnaît-il. Il alerte toutefois : "Nous ne sommes jamais dans un tel niveau d'urgence qu'on ne doit pas vérifier". Ressourcial recense plusieurs attaques, mails exploitant les mesures préventives contre le virus, faux communiqué de l'Organisation mondiale de la santé (OMS) qui cache une campagne de phishing, extorsions financières sur le darknet, vente de fausses attestations de déplacement dérogatoire.

D'autres pratiques d'ingénierie sociale sont également constatées. Les structures peuvent aussi être confrontées à une "arnaque au président", soit un contact par des groupes organisés, qui se font passer pour des fournisseurs habituels de masques et de gels hydroalcooliques. Le groupement appelle enfin à la vigilance au regard des différents sites qui se prétendent solidaires et qui se multiplient.

Préparer l'après crise

L'après-crise se prépare dès maintenant. Sur le sujet des systèmes d'information, cela veut dire documenter ce qui s'est passé en matière de traitement des données, indique Christian Viallon, mais "au niveau de ce que nos forces nous permettent de faire". Ressourcial propose aussi aux établissements et services de réfléchir collectivement à un protocole de retour. Pour les professionnels du secteur qui ont dû changer de lieu de travail, la réintégration de leur structure devra être anticipée. Mise en quarantaine des ordinateurs, scan des équipements, activation des antivirus... Ressourcial propose quelques pistes d'organisation.