Professionnels de santé, êtes-vous en conformité avec le RGPD?

Les professionnels de santé détiennent et exploitent nombre de données sensibles. L'innovation en santé, les évolutions technologiques (big data, objets connectés, intelligence artificielle) ou la mutualisation des systèmes d'informations peuvent comporter des risques importants  pour la protection des données.

C'est pourquoi, ces évolutions requièrent une protection renforcée des données traitées.

Telle est la finalité poursuivie par le Règlement général européen sur la protection des données personnelles, le RGPD, qui entrera directement en vigueur le 25 mai 2018 (il remplacera l'actuelle Directive de 1995) [1].

Ce règlement s'inscrit dans le cadre d'une réforme complète du cadre européen relatif à la protection des données personnelles initiée en 2012. Adapté à l'ère du numérique, il poursuit plusieurs objectifs:

• créer un niveau élevé et uniforme de protection des données, tout au long du processus de traitement (de la collecte à l'archivage). 
• renforcer les droits des personnes 
• responsabiliser les responsables de traitements et les sous-traitants

Les professionnels de santé devront prendre les mesures appropriées afin de se conformer au Règlement et prévenir tout risque lié à l'exploitation des données de santé.

En cas de contrôle, ils devront  être en mesure d'apporter la preuve que les mesures  organisationnelles et techniques appropriées ont été prises en vue d'assurer un niveau élevé de protection à tous les stades du processus de traitement.

A quelques semaines de l'entrée en application du Règlement européen, les responsables de traitements doivent donc intégrer les nouvelles obligations issues du RGPD et mesurer leurs implications à plusieurs niveaux :

• Au niveau de l'organisation :recenser de façon précise les différents traitements de données personnelles;  identifier les actions et mesures techniques à mettre en place  pour se mettre en conformité avec le RGPD et assurer un niveau élevé de protection, tout au long du processus de traitement (analyse d'impact en cas de traitement de données à risque, tenue du registre des traitements, désignation d'un délégué à la protection des données, sécurisation du système d'information, notification d'une violation etc.), élaboration d'une documentation interne .

• Dans le cadre des relations avec les sous-traitants : contractualiser et sécuriser les relations avec les sous traitants. Le RGPD encadre la possibilité de recours  a un sous traitant et définit une responsabilité conjointe dans le traitement. Il est donc important d'encadrer les relations avec les sous traitants et de sécuriser les contrats.

• Renforcement des droits des personnes concernées par le traitement: Le RGPD accroît le niveau d'information et créé de nouveaux droits : droit à l'oubli, droit à la portabilité, droit à la limitation du traitement.

• Du point de vue de leur responsabilité : Le RGPD généralise l'obligation de notifier une violation de données à la CNIL et dans certains cas, d'en informer les personnes concernées. Outre des sanctions administratives, pécuniaires et pénales encourues en cas de violation, le RGPD ouvre la voie à des actions de groupe en réparation de dommages subis, consécutifs à une violation.

Sources :

[1] RGPD 2016/79 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle remplacera la Directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil.

[2] Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés  qui sera toilettée par la future loi. Un projet est actuellement en cours de discussions à l'Assemblée Nationale.
Projet de loi n°110 adopté en nouvelle lecture par l'Assemblée Nationale le 12 avril 2018.