Protection des données
La protection des données personnelles est inscrite dans le droit français depuis le 6 janvier 1978 par la promulgation de la loi informatique et libertés. Ce cadre juridique s’est renforcé et adapté en 2004, puis plus récemment en mai 2018 avec l’entrée en vigueur du Règlement Général européen pour la Protection des Données dit "RGPD". A compter de cette date, tous les citoyens Européens bénéficient d’une protection renforcée de leurs droits vis-à-vis du traitement de leurs données personnelles, quel qu’en soit l’origine.
Les établissements du secteur sanitaire, médico-social et social sont tout particulièrement concernés car les données personnelles et médicales traitées et échangées avec les partenaires sont d’une grande sensibilité.
Le fait de ne pas appliquer ces dispositions légales expose le responsable de traitement à des sanctions, graduées en fonction de la gravité du manquement à la protection de la vie privée.
Le Règlement Général sur la Protection des Données "RGPD" intègre les principes de responsabilisation et de transparence des structures qui doivent mettre en œuvre les mesures organisationnelles et techniques afin de garantir la protection des données personnelles.
Les établissements du secteur sanitaire, médico-social et social sont tout particulièrement concernés car les données personnelles et médicales traitées et échangés avec les partenaires sont d’une grande sensibilité.
En principe, sauf exception, le traitement de données de santé est interdit (art.9 du RGPD et art.8 de la loi informatique et liberté). Le recueil du consentement, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, le respect d’un motif d’intérêt public… font partie des exceptions permettant la mise en œuvre de ces traitements.
Le fait de mettre en œuvre un traitement de "données sensibles", par exemple des données de santé des personnes dites "vulnérables", peut imposer de réaliser préalablement une analyse d’impact. Les mesures de sécurité définies et nécessaires à la protection des données doivent être mise en œuvre.
Rôle du GIP e-Santé Centre-Val de Loire
Pour vous aider dans votre mise en conformité, le GIP e-Santé Centre Val de Loire vous propose un accompagnement au sein d’un réseau régional des Référents ou Délégués à la protection des données pour les acteurs du sanitaire, du social et du médico-social.
Vous y trouverez notamment :
- Une veille sur l’actualité RGPD,
- Des échanges d’expérience avec vos collègues,
- Des ressources documentaires utiles,
- Des conseils pour votre mise en conformité.
Vous souhaitez en savoir plus ? Contactez-nous via le formulaire de contact du GIP e-Santé Centre-Val de Loire.
Ressources
- La finalité du traitement doit être définie et être légale, légitime et explicite
- Seules les données nécessaires à la réalisation de la finalité doivent être collectées (principe de minimisation)
- Les données sensibles doivent faire l’objet d’une attention particulière (formalités spécifiques pour les données de santé)
- Des mesures de sécurité adaptées doivent être mise en œuvre dès la conception
- Les destinataires des données doivent être identifiés
- Les droits des personnes doivent être respectés (transparence, consentement, accès, rectification, opposition…) principe de protection des données par défaut
- La durée de conservation des données doit être définie et limitée (durée utile à la réalisation du traitement et éventuellement durée de l’archivage)
- Les traitements donnés personnelles doivent être inscrits dans un registre et la conformité doit être documentée.
- Les relations avec le sous-traitant doivent être établies (clauses relatives à la protection des données)
- Les incidents de sécurité ou violations de données personnelles doivent être signalés au responsable de la structure et au référent ou DPO, et notifiés à la CNIL si nécessaire.
- En cas de traitement de données sensibles ou à grande échelle, une Analyse d’impact (AIPD* ou PIA**) doit être réalisée.
* Analyse d'Impact relative à la Protection des Données
** Privacy Impact Assessment
Le directeur de l’organisme est responsable des traitements mis en œuvre au sein de sa structure. Il doit planifier le projet « conformité RGPD » et élaborer un plan d’action contenant les points suivants :
- Désigner un référent ou un DPO qui sera formé aux fondamentaux du RGPD, il aura un rôle de conseil en interne et de relai avec les partenaires sur le thème de la protection des données.
- Identifier les traitements de données personnelles et réaliser une cartographie
- En cas de traitement de données sensibles ou à grande échelle une Analyse d’impact doit être réalisée avant la mise en œuvre du traitement.
- Sensibiliser les collaborateurs
- Tenir un registre – exemple de modèle et documenter la conformité des traitements.
- Définir et appliquer les mesures de sécurité afin de garantir la confidentialité des données personnelles
- Informer les personnes sur les traitements que vous mettez en œuvre, éventuellement recueillir le consentement et répondre aux demandes d’accès, de modification, de suppression…
- Les contrats des sous-traitants doivent intégrer des clauses pour le respect du RGPD
- S’assurer que les sous-traitants mettent en place les mesures de sécurité prévues
- Mettre en œuvre un processus de détection des incidents et de correction des vulnérabilités. Signaler les violations pouvant impacter les données personnelles (perte, modification non désirée, piratage…) En cas de risque avéré au regard de la vie privée, l’incident doit être notifié dans les 72h à la CNIL
- Se préparer à un contrôle de la CNIL
Il peut s’appuyer sur des publications, par exemple :
- Mémento RGPD à l’usage du directeur d’établissement
- Infographie : Les données à caractère personnel sont entrées dans l'ère du RGPD, proposée par le Club de la sécurité de l’information français "CLUSIF"
- Guide de la sécurité des données personnelles de la CNIL.
