2123

Mai

2019

Paris Expo
Porte de Versailles
Hall 7.2/7.3

Save the date pour la prochaine édition 2019

Comment se conformer aux nouvelles obligations européennes (RGPD) ?


Le nouveau Règlement européen sur les données personnelles, adopté en 2016, entrera en vigueur le 25 mai prochain. Celui-ci crée de nouveaux droits pour les individus et de nouvelles obligations pour les structures qui collectent et traitent ces données.

Le règlement européen, qui renforce la protection des données personnelles, entre en vigueur le 25 mai 2018. La collecte et le traitement des données personnelles dites sensibles restent interdits sauf exceptions, par exemple, en cas de consentement libre et exprès des personnes concernées, de traitement pour motifs d’intérêt public dans le domaine de la santé publique ou encore aux fins de recherche, de la médecine préventive ou de la médecine du travail. Parmi les données dites sensibles figurent les données révélant l’origine raciale ou ethnique, les opinions politiques et les convictions religieuses mais aussi, bien entendu, les données de santé.

Un délégué à la protection des données

Toutes les structures de santé, sans exception, sont concernées par ce nouveaux règlement. De nouvelles obligation s’imposent à elles, au premier rang desquelles la nomination, en leur sein, d’un Délégué à la protection des données (DPO). Ce dernier est responsable de la conformité de sa structure avec le règlement. Pour accompagner les responsables de traitement des données dans la mise en place de cette nouvelle fonction et pour assister les délégués dans l’exercice de leurs missions, le G29, groupe des « Cnil » européennes, a adopté des lignes directrices consultables en ligne (lien).

L’obligation de rendre compte

Par ailleurs, le concept d’« accountability » ou obligation de rendre compte, fait son apparition. Les établissements de soins doivent désormais justifier de l’existence et de la fiabilité de leurs procédures relatives à la collecte, l’usage, la protection, le stockage, l’anonymisation ou encore, à la suppression des données à caractère personnel. Ils doivent également pouvoir démontrer à tout moment leur respect des obligations du règlement.

Le renforcement des droits des personnes

Enfin, le règlement européen crée un certain nombre de droits pour les individus. Parmi eux, le « droit à l’effacement » et le « droit à la portabilité » des données, lequel permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable et, le cas échéant, de les transférer ensuite à un tiers. Il prévoit le droit pour les personnes d’être informées « de façon compréhensible et aisément accessible » sur l’utilisation de leurs données et de l’être également en cas de violation de leurs données.

Prendre la mesure de l’enjeu

On l’aura compris, l’objectif est de prendre à bras le corps le problème. En l’occurrence, de mettre en place des procédures écrites, de former les personnels à la sécurisation des données (mot de passes etc.), de nommer un DPO et de cartographier les risques dans le cadre d’une analyse d’impact relative à la protection des données (Privacy impact assessment » ou PIA). Sur ce point, la Cnil a élaboré un guide méthodologique, disponible en ligne. Enfin, pour vous aider dans votre démarche, de nombreuses solutions et services vous serons présentés lors de la Paris Healthcare Week.

 

1 Règlement européen 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Orientation non prise en charge

Pour une meilleure expérience,
veuillez tourner votre appareil en mode portrait.