3 jours dédiés aux acteurs de la santé

  • Suivez-nous sur Linkedin
  • Suivez-nous sur Youtube
  • Suivez-nous sur Spotify
  • Suivez-nous sur Deezer

1820mai 2021

Paris Expo - Porte de Versailles - Hall 1

Découvrir le contenu

RGPD : un accompagnement avant les sanctions

Par Mailyz Marchaland, le 17 novembre 2018

Entré en vigueur le 25 mai dernier, le Règlement général européen relatif à la protection des données personnelles (RGPD) s’applique dans tous les États de l’Union européenne. Tous les établissements de sante? sont, bien sûr, concerne?s en tant que responsables de traitement de donne?es personnelles pour leur propre compte mais… Read More

Entré en vigueur le 25 mai dernier, le Règlement général européen relatif à la protection des données personnelles (RGPD) s’applique dans tous les États de l’Union européenne. Tous les établissements de sante? sont, bien sûr, concerne?s en tant que responsables de traitement de donne?es personnelles pour leur propre compte mais aussi, parfois, comme sous-traitants, notamment lorsqu’ils agissent pour un tiers dans le cadre d’un GHT. La quasi-totalité a pris la mesure de ces exigences. On en est au stade de la mise en place et, pour les plus studieux, du peaufinage. Avant que la Cnil ne se mette à sévir.

Le RGPD s’applique à toutes les donne?es personnelles issues de l’ensemble des activite?s de l’e?tablissement de sante? (donne?es de ressources humaines…) et non pas uniquement aux donne?es de sante? ge?ne?re?es par la prise en charge des personnes. Les actions à entreprendre dans le cadre du RGPD visent à ame?liorer la qualité et la se?curite? des données personnelles. Ce qui nécessitait d’initier des proce?dures de mise en conformite? de l’e?tablissement et de gérer de manière optimale les risques se?curitaires inhérents aux Syste?mes d’information (SI).

Les hôpitaux bien meilleurs élèves que les autres

Plus de six mois après l’application effective du RGPD, les hôpitaux sont tous à pied d’œuvre même si leur état d’avancement varie en particulier selon l’envergure et les moyens logistiques de chacun. Néanmoins, le temps presse. Certes, comme le laisse entendre la Cnil, en la matière, les hôpitaux sont de bien meilleurs élèves que les autres acteurs de l’économie et s’étaient davantage préparés à cette échéance normative.

Il n’en demeure pas moins que le temps presse quand bien même la Cnil est-elle, pour l’heure, dans une optique d’accompagnement plus que dans une posture de gendarme. Elle a clairement annoncé « une période de souplesse » avant de prendre des sanctions en cas de non-conformité au Règlement. Si, pour l’instant, la priorité n’est pas de punir les manquements aux obligations nouvelles liées au RGPD, la mansuétude de l’instance ne sera pas éternelle.

D’autant que ses pouvoirs de contrôle demeurent importants. Rappelons qu’elle peut procéder à des vérifications dans les locaux des établissements mais aussi en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent également les mêmes : la décision de réaliser un contrôle s’effectue sur la base du programme annuel des contrôles, des plaintes reçues par la Cnil, des informations figurant dans les médias ou encore, pour faire suite à un précédent contrôle.

Des contrôles opérés pour accompagner les établissements

La Cnil demeure, dans un premier temps, nettement plus pointilleuse en ce qui concerne les principes fondamentaux de la protection des données (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données etc.), lesquels existaient avant l’édiction du RGPD. En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits (droit à la portabilité, analyses d’impact etc.) résultant du RGPD, les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les établissements « vers une bonne compréhension et la mise en œuvre opérationnelle des textes, assure la Cnil. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la Cnil, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »

Toujours est-il que le RGPD est désormais bel et bien opposable. La preuve, au Portugal où le Centre hospitalier Barreiro-Montijo, proche de Lisbonne, a inauguré la liste des hôpitaux sanctionnés financièrement pour cause de non-respect du RGPD. Il a écopé d’une amende de 400 000 euros infligée par la CNPD (Comissão Nacional de Proteção de Dados), l’équivalent lusitanien de la Cnil, suite à une alerte émise par l’ordre des médecins. La CNPD a en effet constaté que plusieurs personnels administratifs avaient accès à des données réservées aux médecins. Sans compter le fait que 985 médecins avaient des habilitations pour accéder au dossier médical des patients alors que l’établissement ne comprend que… 296 médecins.

La prochaine Paris Healthcare Week, qui se tiendra du 21 au 23 mai 2019, sera l’occasion, pour les établissement, de découvrir les solutions informatiques et organisationnelles qui existent sur le marché pour les aider à s’approprier encore plus pleinement le RGPD.

 

Rappel des principales obligations du RGPD

Concernant plus précisément les donne?es de sante?, l’établissement est soumis a? plusieurs obligations relatives à la mise en œuvre de leur traitement. Il doit notamment respecter les principes de protection des donne?es de sante? (finalite?, pertinence et proportionnalite?, conservation limite?e, se?curite? et confidentialite? et respect des droits des personnes).

Pour cela, l’e?tablissement est tenu d’adapter ses proce?dures a? l’entre?e en vigueur du RGPD. Il lui faut se conformer à sept règles principales :

  1. De?signer un De?le?gue? a? la protection des donne?es (DPD ou DPO). Et ce, sachant que les e?tablissements publics de sante? sont tous concerne?s par cette obligation tandis que les e?tablissements prive?s de sante? le sont potentiellement selon qu’ils mettent ou non en œuvre un traitement de donne?es sensibles a? grande e?chelle. A noter que la mutualisation d’un DPD entre plusieurs e?tablissements est possible.
  2. Tenir une documentation interne de?crivant les traitements mis en œuvre et les mesures de mise en conformite? de ces traitements. Dans certains cas, notamment pour ce qui est des traitements liés à la recherche, il est nécessaire de solliciter préalablement l’autorisation de la Cnil.
  3. Assurer le respect des droits des personnes dans la mesure où le RGPD renforce les droits traditionnels des personnes concerne?es par un traitement (droit a? l’information sur le traitement, droit d’acce?s, de rectification, de suppression ou encore, droit d’opposition pour motif le?gitime). De nouveaux droits ont été introduits par le Règlement, notamment celui a? la portabilite? des donne?es et celui a? l’oubli, lesquels ont conduit certains établissements à revoir les fonctionnalite?s de leur SI.
  4. Analyser, avant de mettre en œuvre certains traitements, notamment ceux portant sur des donne?es de sante? a? grande e?chelle, les risques se?curitaires et techniques ainsi que les risques juridiques pour les personnes.
  5. Veiller a? l’encadrement contractuel des prestations des tiers fournisseurs de services à l’établissement (description pre?cise du contenu des prestations, clauses garantissant le respect, par le prestataire, des principes de la loi Informatique et liberte?s).
  6. Instaurer des proce?dures permettant de garantir la se?curite? et la confidentialite? des donne?es dans le respect de la Politique ge?ne?rale de se?curite? des syste?mes d’information de sante? (PGSSI-S) mais aussi le respect des obligations lie?es a? la conservation des donne?es (fixer une dure?e de conservation, organiser les modalite?s d’archivage, assurer la capacite? de restitution des donne?es de sante?).
  7. Signaler, aupre?s de la Cnil, les incidents de se?curite? impliquant des donne?es personnelles.

 

Soyez informé de l’ouverture des inscriptions visiteurs, en cliquant ici

Partagez sur Twitter Partagez sur LinkedIn Partagez sur facebook

Annulation de l'édition 2020 du salon SANTEXPO

Les dernières évolutions de la situation sanitaire liée à la pandémie du COVID-19 ont de nouveau contraint le Premier Ministre le 13 août 2020, par la publication d’un décret, à interdire la tenue d’événements de plus de 5 000 personnes et ce jusqu’au 30 octobre 2020.