www.fgks.org   »   [go: up one dir, main page]

ISM 2020 - RGPD, Parole d'Expert

Page 1

RGPD

PAROLES D’EXPERT

LE RGPD : c’est quoi ?

L

e RGPD - Règlement général sur la protection des données du 27 avril 2016 est le cadre juridique de l’Union européenne qui gouverne la collecte, le traitement et la circulation des données à caractère personnel. Il est entré en vigueur le 25 mai 2018.

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : - qu’elle est établie sur le territoire de l’Union européenne, - ou que son activité cible directement des résidents européens.

66

01FORMATION SANTÉ MAGAZINE - JANVIER 2020

DPO Manager accompagne/forme les organismes dans leur mise en conformité RGPD. La fondatrice de DPO Manager propose un rappel sur le RGPD pour 01FORMATION SANTÉ MAGAZINE.

Licéité loyauté Transparence

Intégrité et confidentialité

Limitation des finalités

LE RGPD les 6 principes Limitation de la conservation

Minimisation des données

Exactitude

Qu’est-ce qu’une donnée à caractère personnel ?

U

ne donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

Une personne physique peut être identifiée directement ou indirectement. C’est à dire que l’identification d’une personne physique peut être réalisée à partir d’une seule donnée ou à partir du croisement d’un ensemble de données :

- Un nom - Une photo - Une empreinte - Une adresse postale - Une adresse mail - Un numéro de téléphone - Un numéro de sécurité sociale - Un matricule interne, - Une adresse IP - Un identifiant de connexion informatique - Un enregistrement vocal, - etc...

S’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.

01FORMATION SANTÉ MAGAZINE - JANVIER 2020

67

- Les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.

Les données santé sont dites à caractère sensible Selon l’article 4 du RGPD, Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. Cette donnée est dite à caractère sensible. La CNIL a déterminé 3 catégories de données qui entrent dans cette nouvelle définition, ce qui permet d’avoir un éclairage intéressant sur l’étendue de la notion : - Les données qui sont par nature des données de santé : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicaps, etc.

68

01FORMATION SANTÉ MAGAZINE - JANVIER 2020

- Les données qui deviennent des données de santé en raison de leur destination c’est-à-dire de l’utilisation qui en est faite au plan médical. Enfin, elle indique que cette définition est à apprécier au cas par cas, compte-tenu de la nature des données recueillies.

Les données santé bénéficient d’un régime de protection renforcée Le principe est celui de l’interdiction du traitement des données de santé relatives à une personne identifiée ou identifiable et de leur commercialisation Toutefois, leur exploitation est possible si la personne concernée, bien informée de la finalité du cadre dans lequel ses données seront utilisées, donne son consentement « clair et explicite » Ils s’ajoutent aux règles édictées par le code de la santé publique et relatives à l’hébergement externalisé des données de santé couvertes par le secret médical, à la pratique de la télémédecine, à l’identifiant national de santé

5 actions clés pour débuter sa mise en conformité : - Mettre en place un registre des traitements Le registre mentionne notamment le nom et les coordonnées de l’entreprise responsable du traitement et du DPD/DPO, les finalités du traitement, la description des catégories des personnes concernées, les délais prévus pour l’effacement des données, la description des mesures de sécurité pour les protéger. Il décrit les traitements et documente leur conformité au règlement et à la loi nationale afin de pouvoir en justifier, à tout moment, en cas de contrôle de la Cnil.

- Mener des analyses d’impact pour les traitements considérés comme présentant « un risque élevé » pour les personnes. - Veiller à encadrer l’information des personnes concernées (patients, fournisseurs, étudiants, usagers, etc.) et s’assurer de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.). - Désigner un délégué à la protection des données – DPO - lorsque cela est obligatoire. - Renseigner les actions menées pour garantir la sécurité des données

L’HÉBERGEMENT DES DONNÉES SANTÉ : Le statut hébergeur de données de santé est précisé dans le Code de la santé publique en son article L1111-8 ; 3 conditions sont donc requises : • Le recueil de données de santé à caractère personnel • Dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social • Pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même En revanche, il n’est pas nécessaire pour un hébergement de courte durée pour un traitement de saisie, de mise en forme, de matérialisation de ces données, il n’est pas nécessaire d’obtenir le statut d’hébergeur de données Le décret n°2018-137, 26 février 2018, JO 28 février précise que les conditions de délivrance d’un certificat (Lorsque les données sont hébergées sur un support numérique hors cas d’archivage électronique) ou d’un agrément (Lorsque les données sont hébergées sur un support papier ou sur un support numérique dans le cadre d’un service d’archivage électronique) sont fixées par décret en Conseil d’Etat, après avis de la CNIL et des conseils nationaux des ordres des professions de santé.

Focus : Le dossier papier est également concerné ? Le RGPD s’applique à tout support qui traite de données personnelles de santé. Il reste quelques cabinets qui se servent encore des documents papier,– l’informatisation est une forte exigence de la part des jeunes professionnels de la filière santé. Ces structures sont soumises aux mêmes exigences de sécurité, fût-ce par d’autres moyens (armoire fermant à clé, usage d’une correspondance garantissant la confidentialité).

DPO Manager - Formation/Accompagnement RGPD www.dpo-manager.fr

01FORMATION SANTÉ MAGAZINE - JANVIER 2020

69

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.