Le règlement général sur la Protection des Données (RGPD) va entrer en vigueur dans les pays de l’union européenne à partir du 25 mai 2018.
L’objectif est un encadrement juridique plus strict afin de protéger les données personnelles des patients et d’obtenir le consentement en cas de collecte de données. Ainsi les structures devront dorénavant justifier leurs collectes de données, qui permettent directement ou indirectement d’identifier des personnes, auprès des malades et des autorités sous peine de sanctions.
Le RGPD différencie les droits de l’individu et les devoirs qui incombent aux entreprises, administrations ou collectivités assujetties. Ainsi, l’individu ou patient a le droit :
- A la vie privée,
- A la protection,
- A l’oubli,
- D’accès,
- A la rectification,
- A l’effacement,
- A l’erreur,
- A la transparence,
- A connaître,
- De se faire communiquer,
- Au déréférencement,
- A la portabilité,
- De faire rectifier,
- D’opposition,
- A la conservation,
- Au transfert
Par conséquent, les données de santé bénéficient de ce régime de protection renforcé. En effet, elles sont considérées comme sensibles. De plus, les obligations additionnelles prévues par le Code de la Santé Publique soulignent que celles-ci sont couvertes par le secret médical.
I. La préparation au RGPD
Le 25 mai 2018 à 00h01, de très nombreuses formalités auprès de la CNIL vont être transférées aux exploitants des données. Une mise en conformité des exploitants de données est à organiser pour une protection optimale des données et un respect des droits individuels. Ainsi la Commission Nationale de l’Informatique & des Libertés propose une mise en conformité en 6 étapes.
1. La nomination d’un délégué à la protection des données
Ce rôle est essentiel pour mettre en conformité la structure utilisatrice des données. Sur la base d’une lettre de mission, ce pilote sera chargé :
- D’informer et de conseiller le responsable de traitement,
- De contrôler le respect du règlement et du droit national,
- De conseiller l’organisme sur l’impact de la protection des données et de vérifier l’exécution,
- De coopérer avec l’autorité de contrôle et d’en être le principal contact.
Ainsi, le délégué à la protection des données est dans l’obligation de :
- Informer sur le contenu des nouvelles obligations,
- Sensibiliser les décideurs sur l’impact de ces nouvelles règles,
- Réaliser l’inventaire des traitements de données de l’URML
- Concevoir des actions de sensibilisation,
- Pilote la conformité de son organisme.
S’il est nécessaire, des moyens financiers et humains devront lui être accordés.
2. Cartographier les traitements de données personnelles
Afin de voir l’impact de RGPD, il est important de réaliser un registre de traitement des données pour dresser un état des lieux.
Il faut précisément lister :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées,
- Les objectifs poursuivis par les opérations de traitement de données,
- Les acteurs internes ou externes traitant les données,
- Les flux, s’il y a transferts de données d’un organisme à l’autre.
Dès lors, les interrogations suivantes sont à poser avant chaque traitement de données :
|
QUI ? |
|
|
QUOI ? |
|
|
POURQUOI ? |
|
|
OÙ ? |
|
|
JUSQU’À QUAND ? |
|
|
COMMENT ? |
|
3. Prioriser les actions
La réforme vise à apporter clarté et cohérence concernant les règles à appliquer et à rétablir la confiance entre les nombreux malades et les professionnels de santé.
La construction d’une chartre permet aux entreprises d’exercer leur activité de façons moins coûteuses. Les entreprises ou organismes établis en dehors de l’UE sont assujettis aux mêmes règles que les sociétés européennes.
En effet, la Commission Européenne souligne que les déclarations aux autorités de contrôle constituent une formalité qui représente un coût de 130 millions d’euros par an pour les organismes. Par conséquent, les notifications/demandes d’autorisation sont supprimées.
Afin d’assurer un respect absolu des nouvelles règles en matière de protection de données, la notification de violation des données personnelles à la Commission Nationale pour la Protection des Données (CNPD) sera envoyée 72h maximum après le constat de la violation.
4. Gérer les risques
Afin de gérer au mieux les risques liés à l’utilisation de données sensibles, principalement sur le secteur de la santé, des bonnes pratiques sont à déterminer en fonction de la proportion des risques identifiés.
Source : https://www.cnil.fr/sites/default/files/atoms/files/171002_fiche_risque_fr_cmjk.pdf
5. Organiser les processus internes
Pour garantir un haut niveau de protection des données en permanence, une procédure interne doit être mise en place. Cette procédure doit tenir compte de l’ensemble des événements de la vie de la base de données. Ces événements sont, par exemple, les failles de sécurité, les demandes de rectification des données ou de d’accès aux données enregistrées, une modification des données enregistrées voir un changement du prestataire exploitant les données.
Ce processus suppose :
- Une protection dès la conception du traitement de la base de données,
- Une sensibilisation à la protection des données à l’ensemble du personnel de l’organisme,
- Une remontée d’informations lors de modifications éventuelles,
- Un traitement des réclamations et des demandes des patients, médecins, kinésithérapeutes, infirmiers, …
- Une anticipation de violation de données, en rédigeant un exemple de notification d’infraction à envoyer à l’autorité de protection et aux personnes concernées.
6. Documenter la conformité
Afin de prouver votre conformité, vous devez constituer un dossier documentaire permettant de démontrer que le traitement de données personnelles est conforme au règlement. Les mesures organisationnelles et techniques sont réexaminées et actualisées si nécessaire.
Votre dossier devra notamment comporter les éléments suivants :
- La documentation sur vos traitements de données personnelles :
- Le registre des traitements ou des catégories d’activités de traitements,
- Les analyses d’impact sur la protection des données pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes,
- L’encadrement des transferts de données hors de l’Union européenne (notamment les clauses contractuelles types ou les BCR).
- L’information des personnes :
- Les mentions d’information,
- Les modèles de recueil du consentement des personnes concernées,
- Les procédures mises en place pour l’exercice des droits des personnes.
- Les contrats qui définissent les rôles et les responsabilités des acteurs :
- Les contrats avec les sous-traitants,
- Les procédures internes en cas de violations de données,
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base
II. Les préconisations
Dans la mesure où les règles du RGPD doit être applicable dès le 25 mai 2018 à 00h01, les actions suivantes sont recommandées pour éviter les rappels à l’ordre.
A. Pour l’URML :
1. Sarbacane
Lors des diffusions d’information de masse, l’URML Martinique utilise un programme qui intègre la fonction de gestion d’inscription à la liste diffusion.
L’URML a déjà mis en place une gestion de la protection de données personnelles. En effet, ce programme intègre le droit à l’effacement des listes.
2. Les Bases de données
L’URML constituent de deux façons ses bases de données.
Lors de sa nouvelle installation sur le territoire, le professionnel de santé prend contact avec l’Ordre de Médecins ou l’URPS. Il transmet ainsi l’ensemble de ses coordonnées postale et téléphonique. Lorsque l’URML effectue une mise à jour de ses fichiers, elle prend contact avec l’Ordre des Médecins.
La deuxième façon de mette à jour la base de données est à l’initiative du professionnel de santé. Ce professionnel de santé prend contact avec l’URML et nous communique ses coordonnées postales et téléphoniques.
B. Pour l’ensemble des professionnels libéraux
Le Secteur de la santé est impacté par ce texte :
« Les données de santé bénéficient d’un régime de protection renforcé puisqu’elles sont considérées comme des données sensibles. A cela s’ajoutent les obligations additionnelles prévues par le Code de la Santé Publique, relatives aux données de santé couvertes par le secret médical. »
A partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur dans les pays de l’Union Européenne. A cette date, le règlement va s’appliquer à tous les acteurs traitant des données personnelles, particulièrement le secteur de la santé.
L’objectif poursuivi est un encadrement juridique plus strict afin de protéger davantage les données personnelles des citoyens et, en cas de collecte de données, obtenir leur consentement. Les structures devront dorénavant justifier leurs collectes de données, qui directement ou indirectement identifient des personnes, auprès des intéressés et des autorités, sous peine de sanctions.
Le secteur de la santé est impacté par le texte cité ci-dessus. Cette mise en conformité concerne principalement les établissements de santé et les opérateurs de santé. Cette protection optimale doit être justifiable avec un appui rédigé et lisible. En cas de contrôle, les mesures nécessaires à la sécurisation du système informatique doivent satisfaire cette nouvelle règlementation.
Dans cette nouvelle règlementation, une interdiction du traitement des données de santé est spécifiquement mentionnée, au regard du Code de la Santé Publique. Cependant, en cas de nécessité restrictivement définies, certaines exemptions sont prévues :
- Les appréciations médicales (médecine préventive, médecine du travail, diagnostic, prise en charge, etc…),
- La gestion des systèmes et des services de soins de santé ou de protection sociale
- La préservation de l’intérêt public dans le domaine de la santé publique tel que la prévention d’épidémies.
Conclusion
Exerçant une profession de santé, vous êtes amené à manipuler des données personnelles de santé de mes patients, données particulièrement sensibles. Vous êtes donc concerné par l’entrée en application du règlement européen sur la protection des données personnelles (RGPD) le 25 mai 2018.
Conscient des enjeux de la protection de ces données sensibles, Apicrypt est l’une des solutions clé en main adaptée à votre profession.
un temps est à consacrer à la description des traitements de données personnelles que vous effectuez dans le cadre de votre activité de manière à ce que soient prévus dans le logiciel Apicrypt des traitements de données types adaptés aux usages de la profession.
Des tests seront effectués afin de faire évoluer la solution pour une meilleure expérience client.
