Les formulaires de votre portail de services enfreignent probablement les exigences en matière de traitement des données de santé.

En bref

• Les cases de consentement pré-cochées violent l'exigence de "libre consentement" du GDPR, invalidant le traitementultérieur desdonnées.

• Les politiques de confidentialité doivent apparaître dans toutes les langues prises en charge par votre portail de services, afin d'aider les utilisateurs à comprendre ce à quoi ils consentent.

• Le traitement des "dark patterns" (astuces de conception manipulant les décisions des utilisateurs) permet de réduire le consentementtrompeur ou obscur des utilisateurs.

• Le consentement granulaire permet aux utilisateurs d'accepter, de rejeter ou de retirer des types dedonnées spécifiques.

• Maintenir de bonnes pistes d'audit du consentement qui montrent qui a consenti, quand et à quoi.

Les portails de services de santé collectent des données personnelles chaque fois que les utilisateurs soumettent des tickets. Des informations telles que le nom de la personne, l'adresse électronique, le service, les informations sur le responsable et la description des problèmes sont transmises aux plateformes degestion des services informatiques (ITSM).Ces tickets peuvent contenir des données de santé de catégorie spéciale en vertu de l'article 9 du GDPR, y compris des détails liés à un handicap, à des médicaments ou à une application de santé mobile. Dans l'Union européenne, les "données de santé" sont définies comme "toutes les données relatives à l'état de santé d'une personne concernée qui révèlent des informations relatives à l'état de santé physique ou mental passé, actuel ou futur de la personne concernée".

Le GDPR exige que le consentement au traitement des données de catégorie spéciale soit librement donné, spécifique, informé et sans ambiguïté. La plupart des portails de services de santé ne respectent pas cette norme. Malheureusement, les manquements au consentement ne sont pas simplement des violations techniques. Lorsque le consentement des portails de services ne répond pas aux normes GDPR, chaque ticket créé, chaque flux de travail déclenché et chaque rapport généré à partir de ces données devient un traitement non conforme.

Une étude analysant les pratiques de confidentialité dans les applications de santé a révélé que 44 % des applications partagent des informations personnelles avec des tiers sans que les politiques de confidentialité ne soient correctement divulguées. Les environnements ITSM du secteur de la santé présentent des lacunes similaires en matière de consentement. Les organisations supposent à tort que les conditions de service standard des portails de services constituent un consentement adéquat.

Les organismes de santé qui mettent en œuvre un portail de services conforme au consentement font état d'une amélioration mesurable des résultats d'audit, d'une meilleure compréhension par les utilisateurs de l'utilisation des données, d'une réduction des risques juridiques liés aux violations du consentement et de pistes de consentement documentées qui attestent de la conformité lors des enquêtes.

L'obtention d'un consentement conforme nécessite six contrôles de mise en œuvre portant sur les points suivants

1. les mécanismes d'acceptation,
2. les informations multilingues sur la protection de la vie privée,
3. l'élimination des schémas sombres,
4. les options de consentement granulaire, et
5. les pistes d'audit du consentement.
   

Chacun de ces éléments est traité en détail dans les chapitres suivants.

Les mécanismes de consentement explicite remplacent les cases pré-cochées

La violation du consentement la plus courante dans les portails de services est la case pré-cochée. Les utilisateurs rencontrent des formulaires avec des cases déjà cochées pour accepter le traitement des données, les politiques de confidentialité ou les conditions de service. Pour refuser, les utilisateurs doivent activement décocher les cases.

Violations du GDPR concernant les cases pré-cochées

• Les cases pré-cochées supposent un consentement avant que les utilisateurs ne fassent des choixdélibérés.

• Les utilisateurs peuvent ne pas remarquer les cases pré-cochées et soumettre les formulaires sans consentementconscient.

• Les autorités chargées de la protection des données déclarent systématiquement que les cases pré-cochées ne constituent pas un consentementvalable.
• Plusieurs amendes GDPR ont été émises spécifiquement pour des cases deconsentement pré-cochées.

Exigences de mise en œuvre

Remplacer toutes les cases pré-cochées par des mécanismes d'acceptation :

1. Les cases ne sont pas cochées au départ - Les utilisateurs doivent cocher activement les cases pour donner leur consentement.
2. Étiquettes claires sur les cases à cocher - Les étiquettes expliquent exactement ce à quoi les utilisateurs consentent lorsqu'ils cochent les cases.
3. Séparer le consentement des autres actions - Ne pas lier le consentement à la création d'un compte ou à l'accès à un service.
4. Pas de consentement par défilement ou clic - Les actions passives ne constituent pas un consentement valable.
5. Placement visible du consentement - Les utilisateurs doivent être confrontés à des choix de consentement avant de soumettre des informations sensibles.

Certaines organisations s'inquiètent du fait que le consentement par opt-in réduit les taux d'achèvement. La recherche montre cependant qu'un consentement clair et honnête augmente la confiance des utilisateurs. Les utilisateurs qui donnent consciemment leur consentement sont plus susceptibles de fournir des informations exactes et moins susceptibles de se plaindre du traitement des données par la suite.

L'avis de confidentialité multilingue assure le consentement éclairé

Le consentement éclairé exige que les personnes aient accès à toutes les informations nécessaires sur le traitement des données : qui y a accès, à quoi elles servent, où elles sont stockées. Les personnes doivent comprendre qu'elles ont le droit de révoquer leur consentement, et le retrait doit être aussi simple que l'octroi du consentement.

Cependant, les portails de soins de santé échouent souvent à cause des barrières linguistiques. Bien que de nombreux portails proposent plusieurs langues, les politiques de confidentialité peuvent être disponibles principalement en anglais.

Les échecs multilingues les plus fréquents

• Politiques de confidentialité disponibles uniquement en anglais malgré un portailmultilingue

• Boutons "Google Translate" permettant aux utilisateurs de traduire eux-mêmesles règles de confidentialité

• Avis de confidentialité abrégés dans les langues locales avec "tous les détails en anglais".

Recommandations pour la mise en œuvre du multilinguisme

Créer des politiques de confidentialité dans toutes les langues prises en charge :

1. Traduction professionnelle - Faire appel à des traducteurs qualifiés, et non à des traducteurs automatiques.
2. Révision juridique dans chaque langue - Veiller à ce que les traductions soient juridiquement exactes.
3. Adaptation culturelle - Adapter les exemples et les explications au contextelocal
4. Terminologie cohérente - Utiliser la même terminologie en matière de protection de la vie privée dans toutes les langues.
5. Mises à jour simultanées - Mettre à jour toutes les versions linguistiques en même temps lorsque les politiques sont modifiées.
6. Changement de langue évident - Faire en sorte que le choix de la langue soit évident et facile.

Certaines organisations se demandent si de brefs résumés de consentement suffisent. Le GDPR exige des informations "concises, transparentes, intelligibles et facilement accessibles". Les résumés sont utiles mais ne remplacent pas les politiques complètes. Les utilisateurs bénéficient d'un accès à des informations complètes sur la protection de la vie privée dans des langues qu'ils comprennent.

Éliminer les schémas sombres (Dark Patterns) pour empêcher la manipulation du consentement

Les "dark patterns" sont des caractéristiques de conception créées intentionnellement pour tromper les utilisateurs et les amener à prendre une décision involontaire à leurs dépens. Les portails de services utilisent ces techniques pour obtenir un consentement sans en avoir une compréhension totale.

Les schémas sombres les plus courants consistent à dissimuler des informations en petits caractères, à limiter les options par une conception qui rend le refus difficile, et à utiliser un langage confus. Un portail peut dissimuler l'option "refuser" en bas de page. Un autre portail peut mettre en évidence l'option "accepter tout" tout en rendant l'option "gérer les préférences" presque invisible.

Principes de conception d'un consentement conforme

Créer des interfaces de consentement honnêtes et claires :

1. Poids visuel égal - Les boutons d'acceptation et de refus sont de la même taille et de la même importance.
2. Langage clair - Expliquer clairement les finalités du traitement sans utiliser de langagemarketing.
3. Nécessité honnête - Ne signaler que lestraitements réellement nécessaires.
4. Facilité de refus - Rendre le refus du consentement aussi simple que l'acceptation.
5. Pas de moyens de pression - Éliminer l'urgence artificielle ou les choixforcés.
6. Conséquences claires - Expliquer ce qui se passe avec ou sans le consentement.

Le consentement granulaire permet à l'utilisateur d'exercer un contrôle significatif

Le consentement "tout ou rien" va à l'encontre de l'exigence du GDPR selon laquelle le consentement doit être "spécifique". Lorsque les portails de services présentent un consentement unique couvrant toutes les activités de traitement, les utilisateurs ne peuvent pas accepter le traitement nécessaire tout en refusant le traitement facultatif.

Le consentement granulaire résout ce problème. Au lieu d'une seule case à cocher, les utilisateurs voient des options distinctes pour chaque objectif de collecte. Cela permet de respecter l'autonomie tout en maintenant la qualité du service. L'utilisateur qui signale des erreurs peut consentir à ce que les journaux de bord et les messages d'erreur lui soient communiqués, mais refuser de partager son emplacement physique. La demande fournit tout de même suffisamment d'informations pour permettre une enquête.

Mise en œuvre d'un consentement granulaire

Proposez des options de consentement distinctes pour des objectifs de traitement distincts:

Traitement essentiel (en général, aucun consentement n'est nécessaire, les intérêts légitimes sont pris en compte)

• Création et suivi d'unticket

• Résolution de problèmes et assistance

• Fourniture de services et provisionnement

• Sécurité et prévention de lafraude

Traitement facultatif (nécessite un consentement explicite)

• Analyse et suivi pardes tiers

• Recherche sur l'amélioration des services

• Partage de données avec des fournisseursexternes

• Communicationmarketing
• Formation auxmodèles d'IA/ML

Les organismes de santé qui mettent en œuvre le consentement granulaire signalent que les utilisateurs acceptent plus facilement le traitement lorsqu'ils comprennent les finalités spécifiques et peuvent refuser les utilisations non souhaitées. Les taux de réussite augmentent souvent car les utilisateurs se sentent respectés plutôt que manipulés.

Les pistes d'audit du consentement démontrent la conformité

Lorsque les autorités chargées de la protection des données enquêtent sur les pratiques en matière de consentement, elles demandent des preuves que le consentement a bien été obtenu, et non simplement revendiqué dans les politiques. Les pistes d'audit du consentement fournissent ces preuves.

Le portail de services doit enregistrer chaque décision dans une base de données avec l'identifiant de l'utilisateur, le type de consentement, l'horodatage, le statut (accordé ou retiré) et la langue spécifique utilisée. Lorsque les utilisateurs retirent leur consentement, il convient d'enregistrer cette action avec un nouvel horodatage plutôt que de supprimer l'enregistrement original.

Les organismes de santé doivent conserver les pistes d'audit des consentements aussi longtemps qu'ils traitent les données sur la base de ces consentements, plus une période raisonnable pour les réclamations légales (généralement 3 à 7 ans après la fin du traitement).

Un consentement conforme protège les organisations et respecte les individus

La question du consentement commence par votre ITSM mais ne s'arrête pas là. La recherche montre que 44 % des applications de santé partagent des informations personnelles avec des tiers sans les divulguer correctement. Votre portail se connecte probablement à plusieurs systèmes : votre CMDB, vos outils d'analyse, votre base de connaissances, les plateformes de vos fournisseurs. Chacun d'entre eux reçoit les données que les utilisateurs ont consenti à partager par l'intermédiaire de votre portail. Si le consentement initial n'était pas valide, toute activité ultérieure viole les protections de l'article 9 du GDPR.

Les organismes de santé qui mettent en œuvre un portail de services conforme au consentement se protègent contre les violations de la réglementation et font preuve de respect à l'égard des personnes qui soumettent des informations personnelles. Ils éliminent les cases pré-cochées nécessitant un consentement actif. Ils fournissent des informations sur la confidentialité dans toutes les langues prises en charge. Ils éliminent les schémas obscurs qui manipulent les décisions de consentement. Ils offrent un consentement granulaire permettant des choix spécifiques. Ils conservent des pistes d'audit complètes.

Commencez à mettre en œuvre un consentement conforme dès cette semaine. La liste de contrôle de Matrix42 pour la conformité au GDPR de l'ITSM des soins de santé fournit des conseils détaillés. Téléchargez-la pour mettre en place des mécanismes de consentement conformes qui protègent votre organisation tout en respectant la vie privée des utilisateurs.

Comment votre organisation se comporterait-elle si les mécanismes de consentement de votre portail de services faisaient l'objet d'un audit de conformité au GDPR ?

Téléchargez notre liste de contrôle ITSM complète, pour vous aider à garantir la conformité GDPR de vos données de santé.

Foire aux questions (FAQ)