Qualité / Process / Organisation

RGPD : mettons nous en route ensemble !

  • 16 mai 2018
Publié le
  • 16 mai 2018

Chères clientes, chers clients,

Le RGPD (Règlement Général de la Protection des Données) entre en vigueur le 25 mai. Nous vous recommandons de mettre en place les actions qui vous incombent. Nous sommes considérés comme votre sous-traitant. A ce titre nous vous proposons de vous informer et de mettre en place une collaboration pour améliorer votre conformité. Nous vous proposerons également des évolutions logicielles pour faciliter votre travail.

Pour commencer, nous vous proposons un résumé de cette loi et des actions à mettre en œuvre en priorité

Qu’est-ce que le RGPD ?

C’est un règlement Européen qui vient renforcer et unifier la protection des données des personnes physiques de l’Union européenne.

Le RGPD remplace-t-il d’autres lois ?

Non, le RGPD complète et renforce la loi informatique et liberté, loi en vigueur depuis janvier 1978.

Les données de santé sont des données à caractère personnel particulières car considérées comme sensibles.

Elles font à ce titre l’objet d’une protection particulière par les textes (règlement européen sur la protection des données personnelles, loi Informatique et Libertés, code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes.

Globalement ces lois obligent à prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. 

Quand est-ce que le règlement s’appliquera ?

Le règlement sera applicable à partir du 25 mai 2018 (article 99.2) dans tous les pays de l’Union européenne

Des sanctions sont-elles prévues

Oui, en cas de non-respect du règlement, les autorités affiliées prévoient des sanctions financières avec des amendes pouvant atteindre 4% du chiffre d’affaire ou 20 millions d’euros selon le profil de l’entreprise.

La CNIL distinguera deux types d’obligations s’imposant aux professionnels.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points

A qui s’applique le RGPD ?

Il s’applique à tous les établissements, entreprises, administrations et associations qui traitent des données à caractère personnel de citoyens de l’Union européenne : les établissements de santé et les centres de radiologie sont donc particulièrement concernés.

Quels sont les principes autour desquels s’articule le RGPD ?

Le RGPD se base sur 4 principes majeurs à faire respecter :

  • Le consentement : dans le cas où la finalité d’une collecte de données ne rentrerait pas dans le cadre du parcours de soin, elle nécessite un accord sans ambiguïté des personnes concernées, qui pourront les effacer ou interdire leur exploitation, et les traitements allant être réalisés leur doivent être expliqués ;
  • Les nouveaux droits des personnes : dont le droit à la portabilité et une réduction à un mois (non plus deux désormais) pour supprimer les données en cas de requête d’effacement de la part des personnes concernées ;
  • La transparence : les personnes concernées devront être informées de façon claire et précise des traitements auxquels leurs données vont être soumises ;
  • La responsabilité : les organismes seront davantage responsabilisés sur le traitement de données à caractère personnel qu’elles réalisent à travers la mise en place d’une documentation, des mesures et procédures de sécurité.

Quels sont les modifications majeures vis-à-vis des lois déjà en vigueur en France ?

Le RGPD vient renforcer les lois en vigueur et y apporte quelques modifications majeures :

  • Obligation de nommer un Délégué à la Protection des Données (DPD) ;
  • Recueillir le consentement explicite et disposer d’un enregistrement du consentement du patient dans le cadre de la collecte de ses données à caractère personnel si les finalités du traitement de celles-ci ne correspondent pas à celles du parcours de soin ;
  • Assurer la portabilité des données ;
  • Assurer le droit à l’oubli et la modification de ses données.

Qu’en est-il de l’archivage légal ?

Dans le cas où vous entreriez dans le cadre d’application d’une obligation légale de traitement des données, le droit à l’oubli ne s’applique pas (article 17 du RGPD). (Par exemple : vous avez opté pour l’archivage légal 5 ans des examens d’imagerie médical, l’obligation du droit à l’oubli ne s’applique pas.)

Quels sont les points à mettre en œuvre en priorité ?

  • Nommer un DPD et le déclarer à la CNIL (formulaire disponible en ligne) ;
  • Mettre en place des solutions quant à la portabilité des données, leur effacement et modification ;
  • Rédiger des contrats de sous-traitance en conformité avec le RGPD ;
  • Tenir informé les personnes concernées en cas de violation ou d’atteinte à la sécurité des données.

Le délégué à la protection des données est-il considéré comme responsable ?

Le Délégué n’est pas responsable en cas de non-respect du Règlement européen : le respect de la protection des données relève de la responsabilité de l’organisme qui a désigné le Délégué.

Comment nos produits et services peuvent vous aider à être conformes ?

Le groupe e-MEDIA est considéré comme entreprise  » sous-traitante » car elle traite des données personnelles de santé pour votre compte dans le cadre de ses activités :

  • Au travers des ventes et installations de produits sur votre site ;
  • Au travers des actions de Support et mise à jour des produits livrés.

Nous nous proposons de vous aider en vous apportant du conseil, mais également en faisant évoluer nos logiciels afin de faciliter votre travail (recueil et enregistrement des consentements, gestion des demandes de rectification ou d’accès, modification des données collectées… mais aussi pour vous aider à prouver votre conformité.

Veuillez trouver ci-après le lien vers le texte du RGPD

Le Service Qualité (qualite@e-media.fr) et la Direction du Groupe e-MEDIA se tiennent à votre disposition pour toutes informations complémentaires.

0