Mise en œuvre du RGPD
Le règlement européen sur la protection des données (appelé aussi RGPD, règlement général sur la protection des données) sera opposable à partir du 25 mai 2018.
Celui-ci vise au renforcement du droit des personnes et à la responsabilisation de chaque acteur hébergeant et traitant des données personnelles.
Une simplification mais aussi une plus grande responsabilisation
La CNIL a ainsi simplifié certaines formalités. A titre d’exemple, ne sont plus concernés par une demande préalable d’autorisation les traitements tels que les dossiers médicaux partagés, ou encore les dispositifs d’éducation thérapeutique ou de télémédecine.
On peut rappeler que ce règlement supprime nombre d’obligations des établissements et services auprès de la CNIL, avec toutefois un renforcement de leurs responsabilités.
Le RGPD concerne les différents établissements de santé. Chacun d’entre eux est en effet responsable du traitement de données personnelles.
Le RGPD concerne l’ensemble des données personnelles provenant de l’activité de l’établissement de santé, et ne se limite donc pas aux données de santé issues de la prise en charge des personnes.
Avec le RGPD, les organismes gestionnaires devront s’engager à garantir la protection des données, et être à même de prouver celle-ci. La loi de modernisation de notre système de santé avait par ailleurs rappelé l'obligation de signaler les incidents de sécurité informatique.
Le traitement des données de santé à caractère personnel doit faire l'objet d'une analyse précise. Petit tour d’horizon.
Une mise en œuvre en 6 étapes
La mise en œuvre de la RGPD au sein des établissements de santé repose sur 6 étapes.
- l'identification d'un pilote
- l'élaboration de la cartographie des données personnelles
- la priorisation des actions à conduire
- l'analyse des risques concernant les droits et libertés des personnes
- la définition de l'organisation des processus internes de protection des donnée
- la mise en place d'une documentation prouvant la conformité au RGPD
La désignation d’un pilote
Chaque structure doit identifier un pilote, le délégué à la protection des données, à même d’informer, conseiller, et contrôler le dispositif de gestion des données personnelles.
Il s’assurera ainsi du respect du règlement européen, et sera le point de contact avec l‘autorité de contrôle.
Parmi ses missions, on peut notamment citer la sensibilisation des décideurs sur les impacts de cette nouvelle réglementation. Il devra également inventorier les différents traitements des données de l’établissement/organisme, et assurer le pilotage en continu de la conformité.
La cartographie des données personnelles
Le recensement des traitements des données personnelles au travers d’un registre des traitements est un préalable à la démarche.
Ce recensement permettra d’apprécier comment le RGPD influe sur la protection des données traitées.
Le registre va ainsi recenser, pour chaque catégorie de données personnelles, quels sont les traitements réalisés, par quels acteurs (internes ou sous traitants).
Il va aussi permettre de préciser dans quels objectifs ces traitements sont réalisés, et quelles mesures de sécurité sont mises en place pour limiter les les risques d’accès non autorisés, et les flux de celles-ci.
Cette analyse doit notamment vérifier que la collecte et le traitement des données se limite à celles qui sont strictement nécessaires.
La priorisation des actions à conduire
Le recensement effectué sur le registre des traitements va ensuite permettre d’identifier les actions de mise en conformité vis-à-vis de la réglementation.
L’analyse des risques concernant les droits et libertés des personnes va faciliter la priorisation des actions à mettre en œuvre.
Il s’agira également de vérifier les base juridiques fondant les traitements des données (contrats, obligations légales, …) et la possibilité pour les personnes d’exercer leurs droits (droits d’accès, de rectification, …).
La mise en œuvre de leurs obligations (sécurité, confidentialité, …) par les sous traitants doit aussi être vérifiée.
La gestion des risques
Dans le cas ou il existe pour un traitement de données, un risque important concernant les droits et libertés des personnes, une analyse d’impact sur la protection des données doit être réalisée (PIA, Data protection impact assessment ou Privacy Impact Assessment).
L’analyse d’impact sur la protection des données permet de garantir le respect de la vie privée et la conformité des traitements des données au RGPD.
Le PIA décrit le traitement concerné, ses objectifs, évalue la nécessité et la proportionnalité du traitement au regard de ces objectifs, et apprécie les risques pour les droits et libertés des personnes et les actions à mettre en place pour réduire ces risques.
Mises en œuvre régulièrement, ces analyses doivent aussi être conduites lors de changements des modalités de traitement des données.
Organisation des processus internes
Il sera nécessaire d’élaborer des procédures internes garantissant que la protection des données est assurée en toutes circonstances (par exemple en cas de failles de sécurité, de demande d’accès ou de rectification, de changements de sous traitant, …).
L’organisation des processus passe notamment par :
- la prise en compte de la protection des données personnelles dès la conception d’un traitement,
- la sensibilisation et l’organisation de la remontée d’informations,
- le traitement des réclamations et des demandes des personnes concernées,
- et l’anticipation des violations de données.
La documentation de la conformité
La documentation prouvant la conformité au règlement doit être constituée et regroupée : registre des traitements, analyse d’impact sur la protection des données, procédures (de recueil du consentement, exercice des droits, en cas d’accès non autorisé aux données, …), contrats avec les sous traitants, …
Par ailleurs, toutes les actions et documents élaborés lors de chacune des étapes doivent faire l‘objet d’un réexamen et d’une actualisation régulière. Il s’agit ainsi de protéger les données en continu.
Pour faciliter la démarche de mise en conformité au RGPD des établissements de santé, l'ASIP Santé a publié des fiches pratiques en partenariat avec la CNIL.
Pour en savoir plus : Établissements de santé : préparez-vous au règlement européen sur la protection des données personnelles (RGPD)