Nous sommes fiers d'annoncer que Clinia a reçu pour la seconde fois le rapport d'audit SOC 2 Type II, marquant ainsi une étape importante dans notre engagement continu envers la confidentialité et de la sécurité. Afin d'aider nos lecteurs à mieux comprendre ce que cette réussite signifie, nous avons discuté avec les membres de notre équipe Gouvernance, Risque et Conformité (GRC).

Qu'est-ce que la norme SOC 2 Type II en termes simples ?

GRC: La norme SOC 2 Type II est un rapport qui montre comment une entreprise protège les données de ses clients et prouve que ses contrôles de sécurité fonctionnent réellement. « SOC » signifie Service Organization Control (contrôle des organisations de services) et le rapport se concentre sur la sécurité, incluant aussi possiblement la disponibilité, la confidentialité, l'intégrité du traitement et la protection de la vie privée.

Alors que le Type I vérifie si les bons systèmes sont en place à un moment donné, le Type II teste ces contrôles sur plusieurs mois afin de confirmer qu'ils fonctionnent de manière cohérente. En résumé :

• Type 1 = « Vous disposez de la bonne configuration de sécurité. »

• Type 2 = « Vous disposez de la bonne configuration, et celle-ci fonctionne correctement dans la pratique au fil du temps. »

Pourquoi Clinia a-t-elle décidé de demander cette attestation maintenant ?

GRC: Nous avons choisi de nous conformer à la norme SOC 2 Type II de manière volontaire afin de démontrer notre engagement fort en matière de sécurité et de confidentialité. Ces principes font partie intégrante de la culture de Clinia: nous les intégrons dans toutes nos activités. La protection des données étant essentielle pour nos clients, cette attestation nous aide à prouver que nos contrôles sont non seulement bien conçus, mais également efficaces dans le temps.

Qui a réalisé l'audit et en quoi consiste le processus ?

GRC: Un audit SOC 2 Type II est réalisé par un tiers indépendant. Les auditeurs évaluent la manière dont une entreprise gère les accès, protège les données et surveille les systèmes. Ils testent ces contrôles pendant plusieurs mois afin de s'assurer qu'ils respectent les principes de confiance SOC 2 en matière de sécurité, de disponibilité, de confidentialité et de respect de la vie privée.

Pourquoi l’attestation SOC 2 Type II est-elle importante pour Clinia et nos clients ?

GRC: Elle est particulièrement importante, car Clinia opère dans un environnement hautement réglementé et traite des données de santé sensibles. Elle montre que nous respectons des normes strictes et vérifiées de manière indépendante en matière de sécurité et de confidentialité des données. Elle soutient également notre approche « privacy and security by design » (confidentialité et sécurité dès la conception), qui garantit que des protections sont intégrées à nos systèmes dès le départ.

Pouvez-vous donner un exemple simple de ce que cela confirme dans la pratique ?

GRC: L’attestation SOC 2 Type II ne change pas notre façon de travailler au quotidien, elle confirme que les processus que nous suivons déjà sont solides, cohérents et efficaces. Elle montre que nous gérons l'accès avec soin, surveillons nos systèmes en permanence et testons au moins une fois par an les contrôles clés tels que les politiques en matière de mots de passe, les sauvegardes et le cryptage des données.

Quelles parties des opérations de Clinia ont été incluses dans l'audit et quels types de contrôles ou de processus ont été évalués ?

GRC: L'audit SOC 2 Type II a examiné les contrôles et les processus utilisés par Clinia pour protéger les données et garantir la fiabilité des opérations dans les domaines suivants :

• Contrôles de sécurité : comment nous empêchons l'accès non autorisé aux systèmes et aux données;

• Contrôles de disponibilité : comment nous garantissons que les systèmes fonctionnent de manière fiable et restent accessibles en cas de besoin;

• Contrôles de confidentialité : comment nous protégeons les informations sensibles contre toute divulgation non autorisée;

• Contrôles de protection de la vie privée : comment nous traitons et protégeons les informations personnelles conformément aux principes de confidentialité.

Notre rapport SOC 2 couvre les critères de services de confiance (TSC) en matière de sécurité, de disponibilité, de confidentialité et de protection de la vie privée.

Cela affecte-t-il la manière dont les clients utilisent la plateforme Clinia ?

GRC: Pas directement. Les clients continuent à utiliser la plateforme comme avant, mais avec désormais la certitude supplémentaire que leurs données sont gérées dans un environnement fiable et bien contrôlé. Cela aide également les clients à respecter leurs propres exigences en matière de conformité et de réglementation en s'associant à un fournisseur conforme à la norme SOC 2.

Que devons-nous faire pour maintenir cette conformité ?

GRC: Pour rester conformes à la norme SOC 2 Type II, nous devons intégrer la sécurité et la confidentialité dans notre travail quotidien. Nous continuons à surveiller les accès, à protéger les données, à mettre à jour nos politiques et à former nos équipes. Des audits réguliers garantissent que nos contrôles restent solides et efficaces.

Selon vous, quelle a été la partie la plus difficile du processus d'audit ?

GRC: La partie la plus difficile de l'audit SOC 2 Type II a été de prouver la cohérence dans le temps, c'est-à-dire de montrer que des contrôles rigoureux existent bel et bien, mais qu'ils fonctionnent efficacement chaque jour, pendant des mois. Cela a nécessité la collecte de preuves, le suivi des activités et la coordination entre les équipes. Mais chez Clinia, cette cohérence fait tout simplement partie de notre travail quotidien; nos systèmes et nos habitudes sont conçus dans un souci de sécurité et de confidentialité, ce qui permet d'en apporter naturellement la preuve.

Enfin, quelle est la prochaine étape dans l'engagement de Clinia en matière de confidentialité et de confiance ?

Dans la prochaine phase de notre programme de conformité, nous mettons en place un cadre consolidé de gestion des risques d'entreprise. Ce changement stratégique renforcera notre alignement sur les réglementations internationales en matière de confidentialité et garantit une protection cohérente et sécurisée des données dans l'ensemble de notre organisation et de nos juridictions.