WORLDLINE_DOCUMENT_REFERENCE_2017

Responsabilité sociétale d’entreprise Instaurer la confiance des clients avec des plates-formes entièrement disponibles et sécurisées

Conformité dans le secteur de la santé en France L’activité de Worldline dans le secteur de l’e-santé comprend des prestations qui incluent le développement de systèmes d’information traitant des données de santé à caractère personnel, ainsi que l’hébergement de ces données. Ce type de données revêt une importance toute particulière puisqu’il s’agit d’une information par définition confidentielle. Le Règlement général sur la protection des données (RGPD) de 2016 vient d’ailleurs d’en élargir la définition : il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Cette définition implique une conception plus large de la donnée de santé, qui aujourd’hui ne peut se limiter à la seule indication d’une maladie tant la prise en charge sanitaire d’une personne nécessite également la connaissance de sa situation familiale ou sociale et l’intervention de multiples acteurs : professionnels de santé et personnels sociaux. Plus généralement, ce nouveau règlement européen renforce la protection des personnes par rapport à la précédente directive de 1995. Les activités de développement logiciel et d’hébergement portant sur ces données sensibles imposent le respect d’un cadre normatif et réglementaire strict. Développement logiciel, interopérabilité et politique de sécurité En ce qui concerne le développement applicatif, l’Agence des systèmes d’information partagés en Santé (ASIP Santé) 2 a défini plusieurs référentiels permettant aux acteurs de l’e-santé d’adopter les « bonnes pratiques » en la matière. Dès leur mise en place en 2009, Worldline s’est régulièrement associé aux réflexions et aux concertations portant sur ces référentiels, en synergie avec l’ASIP. Il s’agit principalement du Cadre d’interopérabilité des systèmes d’information de santé (CI-SIS) 3 et de la Politique générale de sécurité des systèmes d’information en santé (PGSSI-S) 4 . En marge de ses contributions au CI-SIS, Worldline s’est par ailleurs activement investi dans plusieurs groupes de travail traitant de l’interopérabilité et, plus largement, dans celui de la « normalisation » des échanges et de la structuration des données de santé : Edisanté, Hprim/HL7 France, GS1 Healthcare France, IHE Europe. Depuis 2005, Worldline a participé plusieurs fois au « Connectathon », rencontre européenne annuelle qui permet de valider l’interopérabilité des solutions développées et qui, en termes de communication, permet de promouvoir une réelle expertise en matière d’interopérabilité. En ce qui concerne la sécurité, la PGSSI-S est systématiquement au cœur des projets e-santé dans lesquels Worldline intervient, notamment lorsqu’ils impliquent le développement de solutions traitant des données de santé à caractère personnel. Le cadre qu’elle définit s’adresse en effet aux professionnels et structures de santé et du secteur médico-social, mais aussi aux industriels du domaine pour lesquels elle a vocation à « structurer l’offre logicielle ». Le corpus documentaire de ces référentiels est par nature évolutif. Worldline procède par conséquent à une veille systématique qui lui permet d’intégrer toute modification dans ses propres analyses et dans les services et les outils qui en découlent. La mise en œuvre des principes et des règles qui sont décrites dans ces référentiels permet à Worldline de garantir à ses clients le respect de l’état de l’art.

La réglementation est en train de passer d’une vision bancaire à une vision plus large incluant l’ensemble de l’écosystème du paiement. A mesure que de nouveaux acteurs entrent sur le marché des paiements, la complexité et les interdépendances augmentent. Worldline assure à ses clients du secteur financier une conformité totale dans ce cadre réglementaire et juridique en pleine évolution. Dans le cadre de son mandat de surveillance, l’Eurosystème, qui regroupe la Banque centrale européenne (BCE) et les Banques centrales nationales (BCN) des Etats membres de l’Union européenne ayant adopté l’euro, encourage la sécurité et l’efficacité des systèmes de paiement, de compensation et de règlement. Le système joue un rôle important non seulement dans la stabilité et l’efficacité du secteur financier et de l’économie de la zone euro dans son ensemble, mais également dans le bon déroulement de la politique monétaire commune et dans la stabilité de la monnaie unique. La surveillance par l’Eurosystème des infrastructures des marchés financiers repose sur les principes CPSS-IOSCO internationalement reconnus pour les infrastructures des marchés financiers (PFMI). Ces derniers ont été adoptés Par le Conseil des Gouverneurs de la BCE en juin 2013 en tant que normes pour la surveillance de tous les types de FMI dans la zone euro sous la responsabilité de l’Eurosystème 1 . Worldline se conforme à ces principes dans tous les pays réglementés. En Belgique, aux Pays-Bas et en Lettonie, un régime de surveillance réglementaire est applicable. Dans les deux premiers pays, les exigences de surveillance sont également mentionnées dans la législation locale. Aux Pays-Bas, Worldline se trouve sous la supervision officielle de la Banque Nationale des Pays-Bas et de l’Autorité des marchés financiers depuis 2014. La Banque Nationale de Belgique a promulgué une loi relative à la surveillance des processeurs, entrée en vigueur en juillet 2017 et applicable à Worldline. Outre la supervision directe par les régulateurs dans certains pays, les fournisseurs des institutions financières sont confrontés à une augmentation des exigences réglementaires, en particulier sur le marché des paiements sur lequel opère Worldline. En Allemagne par exemple, l’Autorité fédérale de supervision financière a publié en octobre 2017 une mise à jour du MaRisk avec des contrôles et des exigences plus stricts pour l’externalisation. Le Règlement général sur la protection des données (RGPD) (Règlement n° 2016/679 (UE)) est un texte qui renforce et unifie la protection des données personnelles pour tous les individus au sein de l’Union européenne et qui traite du transfert des données personnelles hors de l’UE. Worldline sera en totale conformité avec le RGPD d’ici mai 2018. En tant qu’infrastructure des marchés financiers, Worldline assure la conformité avec les lois, règles et réglementations en vigueur mais répond également aux exigences de ses clients grâce à la normalisation des principales certifications. Les certifications concernant la sécurité de l’information (ISO 27001), la continuité des activités (ISO 22301), la qualité (ISO 9001) et la norme PCI-DSS ainsi que l’ISAE 3402, permettent à Worldline d’opérer comme tiers de confiance sur ses marchés en offrant ce niveau d’assurance élevé.

D

https://www.ecb.europa.eu/paym/pol/policies/html/index.en.html. 1 http://esante.gouv.fr/asip-sante. 2

http://esante.gouv.fr/services/referentiels/referentiels-d-interoperabilite/cadre-d-interoperabilite-des-systemes-d. 3 http://esante.gouv.fr/services/politique-generale-de-securite-des-systemes-d-information-de-sante-pgssi-s/en-savoir-plus-0. 4

95

Worldline Document de Référence 2017