2123

Mai

2019

Paris Expo
Porte de Versailles
Hall 7.2/7.3

Save the date pour la prochaine édition 2019

RGPD : un accompagnement avant les sanctions


Entré en vigueur le 25 mai dernier, le Règlement général européen relatif à la protection des données personnelles (RGPD) s’applique dans tous les États de l’Union européenne. Tous les établissements de santé sont, bien sûr, concernés en tant que responsables de traitement de données personnelles pour leur propre compte mais aussi, parfois, comme sous-traitants, notamment lorsqu’ils agissent pour un tiers dans le cadre d’un GHT. La quasi-totalité a pris la mesure de ces exigences. On en est au stade de la mise en place et, pour les plus studieux, du peaufinage. Avant que la Cnil ne se mette à sévir.

Le RGPD s’applique à toutes les données personnelles issues de l’ensemble des activités de l’établissement de santé (données de ressources humaines…) et non pas uniquement aux données de santé générées par la prise en charge des personnes. Les actions à entreprendre dans le cadre du RGPD visent à améliorer la qualité et la sécurité des données personnelles. Ce qui nécessitait d’initier des procédures de mise en conformité de l’établissement et de gérer de manière optimale les risques sécuritaires inhérents aux Systèmes d’information (SI).

Les hôpitaux bien meilleurs élèves que les autres

Plus de six mois après l’application effective du RGPD, les hôpitaux sont tous à pied d’œuvre même si leur état d’avancement varie en particulier selon l’envergure et les moyens logistiques de chacun. Néanmoins, le temps presse. Certes, comme le laisse entendre la Cnil, en la matière, les hôpitaux sont de bien meilleurs élèves que les autres acteurs de l’économie et s’étaient davantage préparés à cette échéance normative.

Il n’en demeure pas moins que le temps presse quand bien même la Cnil est-elle, pour l’heure, dans une optique d’accompagnement plus que dans une posture de gendarme. Elle a clairement annoncé « une période de souplesse » avant de prendre des sanctions en cas de non-conformité au Règlement. Si, pour l’instant, la priorité n’est pas de punir les manquements aux obligations nouvelles liées au RGPD, la mansuétude de l’instance ne sera pas éternelle.

D’autant que ses pouvoirs de contrôle demeurent importants. Rappelons qu’elle peut procéder à des vérifications dans les locaux des établissements mais aussi en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent également les mêmes : la décision de réaliser un contrôle s’effectue sur la base du programme annuel des contrôles, des plaintes reçues par la Cnil, des informations figurant dans les médias ou encore, pour faire suite à un précédent contrôle.

Des contrôles opérés pour accompagner les établissements

La Cnil demeure, dans un premier temps, nettement plus pointilleuse en ce qui concerne les principes fondamentaux de la protection des données (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données etc.), lesquels existaient avant l’édiction du RGPD. En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits (droit à la portabilité, analyses d’impact etc.) résultant du RGPD, les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les établissements « vers une bonne compréhension et la mise en œuvre opérationnelle des textes, assure la Cnil. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la Cnil, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »

Toujours est-il que le RGPD est désormais bel et bien opposable. La preuve, au Portugal où le Centre hospitalier Barreiro-Montijo, proche de Lisbonne, a inauguré la liste des hôpitaux sanctionnés financièrement pour cause de non-respect du RGPD. Il a écopé d’une amende de 400 000 euros infligée par la CNPD (Comissão Nacional de Proteção de Dados), l’équivalent lusitanien de la Cnil, suite à une alerte émise par l’ordre des médecins. La CNPD a en effet constaté que plusieurs personnels administratifs avaient accès à des données réservées aux médecins. Sans compter le fait que 985 médecins avaient des habilitations pour accéder au dossier médical des patients alors que l’établissement ne comprend que… 296 médecins.

La prochaine Paris Healthcare Week, qui se tiendra du 21 au 23 mai 2019, sera l’occasion, pour les établissement, de découvrir les solutions informatiques et organisationnelles qui existent sur le marché pour les aider à s’approprier encore plus pleinement le RGPD.

 

Rappel des principales obligations du RGPD

Concernant plus précisément les données de santé, l’établissement est soumis à plusieurs obligations relatives à la mise en œuvre de leur traitement. Il doit notamment respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité et respect des droits des personnes).

Pour cela, l’établissement est tenu d’adapter ses procédures à l’entrée en vigueur du RGPD. Il lui faut se conformer à sept règles principales :

  1. Désigner un Délégué à la protection des données (DPD ou DPO). Et ce, sachant que les établissements publics de santé sont tous concernés par cette obligation tandis que les établissements privés de santé le sont potentiellement selon qu’ils mettent ou non en œuvre un traitement de données sensibles à grande échelle. A noter que la mutualisation d’un DPD entre plusieurs établissements est possible.
  2. Tenir une documentation interne décrivant les traitements mis en œuvre et les mesures de mise en conformité de ces traitements. Dans certains cas, notamment pour ce qui est des traitements liés à la recherche, il est nécessaire de solliciter préalablement l’autorisation de la Cnil.
  3. Assurer le respect des droits des personnes dans la mesure où le RGPD renforce les droits traditionnels des personnes concernées par un traitement (droit à l’information sur le traitement, droit d’accès, de rectification, de suppression ou encore, droit d’opposition pour motif légitime). De nouveaux droits ont été introduits par le Règlement, notamment celui à la portabilité des données et celui à l’oubli, lesquels ont conduit certains établissements à revoir les fonctionnalités de leur SI.
  4. Analyser, avant de mettre en œuvre certains traitements, notamment ceux portant sur des données de santé à grande échelle, les risques sécuritaires et techniques ainsi que les risques juridiques pour les personnes.
  5. Veiller à l’encadrement contractuel des prestations des tiers fournisseurs de services à l’établissement (description précise du contenu des prestations, clauses garantissant le respect, par le prestataire, des principes de la loi Informatique et libertés).
  6. Instaurer des procédures permettant de garantir la sécurité et la confidentialité des données dans le respect de la Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) mais aussi le respect des obligations liées à la conservation des données (fixer une durée de conservation, organiser les modalités d’archivage, assurer la capacité de restitution des données de santé).
  7. Signaler, auprès de la Cnil, les incidents de sécurité impliquant des données personnelles.

 

Soyez informé de l’ouverture des inscriptions visiteurs, en cliquant ici

Orientation non prise en charge

Pour une meilleure expérience,
veuillez tourner votre appareil en mode portrait.