Memento DGOS RGPD
Publication : lundi 8 avril 2019

Sensibilisation au RGPD

La Direction Générale de l’Offre de Soins (DGOS) a publié un memento à l’usage des directeurs d’établissement de santé concernant le Règlement Général sur la Protection des Données (RGPD).

Il permet de préciser l’impact pour les dirigeants d’établissements de santé de ces nouvelles dispositions. Ce memento vient ainsi compléter le guide de la Cybersécurité qu’a publié la DGOS en 2017 et le guide de l'ASIP (Agence Française de la Santé Numérique) concernant le partage et l’échange de données de santé dans le secteur médico-social

De nouvelles obligations

L’offre de soins s’adapte en permanence aux besoins des patients. Les nouvelles technologies de l’information et de la communication participent à cette adaptation : télémédecine, …

Toutefois, le développement de la numérisation impose de gérer de nouveaux risques en lien avec les données produites, et donc d’évaluer et maîtriser ces risques.

Tout citoyen doit ainsi pouvoir contrôler l’utilisation de ses données personnelles. C’est ce que lui permet le RGPD (Règlement Général sur la Protection des Données), entré en vigueur le 25 mai 2018, et la loi concernant la protection des données personnelles promulguée le 20 juin 2018.

Ces nouveaux dispositifs législatifs et réglementaires imposent à chaque organisme gérant ce type de données de garantir une protection efficace de celles-ci à tout instant.

Un rappel des dispositions importantes

GPD Memento DGOS

Ce mémento revient dans un premier temps sur différentes notions clés.

Il rappelle ainsi à quoi correspond une donnée à caractère personnel (il s’agit de toute information concernant une personne physique identifiée ou qui peut l’être, que ce soit directement ou indirectement : nom, prénom, photo, vidéo, adresse mail nominative…).

Il convient en particulier d’être tout particulièrement vigilant sur la protection des DCP (données à caractère personnel) sensibles, que sont notamment les données de santé, données génétiques ou biométriques, opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle ou orientation, origine raciale ou ethnique. Le guide fait ainsi un zoom sur les données de santé.

Il revient ensuite sur la responsabilité du traitement au sein d’un établissement de santé.

Ce responsable du traitement peut être une personne physique ou morale, une autorité publique, service ou autre organisme, juridiquement responsable, qui définit quelle est la finalité du recueil de ces données et quels en sont les moyens de traitement.

Le memento précise que, par exemple en cas de GHT, ce sont à la fois l’établissement support et les établissements parties au GHT qui sont responsables conjointement du traitement, et qu’ils doivent donc formaliser cette coresponsabilité.

Dans un second volet, le memento revient sur le rôle du DPO (Data Protection officer, délégué à la protection des données).

Rappelons que la désignation d’un DPO est obligatoire notamment pour les autorités et organismes publics, ainsi que pour les organismes qui ont pour activité le traitement à grande échelle de données sensibles (données génétiques, données de santé, …).

Responsabiliser les acteurs

Le 3ème volet de ce guide concerne la responsabilisation des acteurs. Les différentes mesures, de nature techniques ou organisationnelles doivent être mises en place et réactualisées régulièrement par le responsable du traitement.

Il est également nécessaire pour l'établissement d’être à même de garantir et démontrer que le RGPD est respecté (transparence, minimisation des données, respect des droits, …) concernant le traitement des données.

La documentation interne pourra ainsi comprendre un registre, les preuves de recueil du consentement, …

Le registre des activités de traitement permettra le recensement exhaustif des différentes activités de traitement. Le guide revient sur le contenu de ce registre, et les modalités de renseignement de celui-ci.

Est ensuite abordée l’analyse d’impact sur la protection des données.Celle-ci est particulièrement nécessaire en cas de risque élevé pour les droits et libertés des personnes physiques (traitement à grande échelle de données de santé, traitement de données concernant des populations vulnérables, …).

Le guide revient également sur les exigences concernant les contrats des sous-traitants qui sont amenés à traiter des données pour le compte du responsable du traitement.

Le 4ème volet de ce guide concerne le contrôle et la sécurité des données. Le RGPD permet ainsi d’améliorer la transparence vis-à-vis des usagers quant à l’utilisation des données les concernant.Il renforce également le droit d’accès du patient sur la nature, l’exactitude et le type de traitement des données personnelles.

Le document revient ensuite sur les modalités de sécurisation pour limiter les possibilités de pertes de données ou de piratage.

Un mini quizz à la fin de ce mémento permet de disposer de repères pour se mettre plus facilement en conformité avec le RGPD.

Ce quizz porte sur la désignation d’un pilote, la cartographie des traitements, la gestion des risques des traitements de données à caractère personnel susceptibles d’engendrer des risques élevés pour la vie privée des personnes, l’organisation des processus internes, la documentation de la conformité.

 

Pour en savoir plus : Mémento RGPD à l’usage du directeur d’établissement