RGPD et les établissements de santé

La protection des données personnelles comme fer de lance de cette réglementation

Quoi, RG… quoi ? qu’est-ce que c’est encore que cet acronyme ?
Le RGPD (ou « GDPR » en anglais), c’est le Règlement général sur la protection des données, c’est l’ensemble du monde numérique des établissements, des éditeurs logiciels, hébergeurs et prestataires associés qui sont concernés. Lien vers texte officiel en fin d’article (sources) [1] Ce règlement publié au JO de l’UE 4 mai 2016 entrera en vigueur dans les Etats membres de l’Union Européenne à compter du 25 mai 2018.
C’est une démarche globale de gestion des risques, afin d’améliorer la qualité et la sécurité des soins. Le RGPD s’intègre notamment aux procédures de conformité de l’établissement, tout particulièrement dans le cadre de la gestion des risques de sécurité de système d’information.

L’aspect essentiellement positif reste la protection des données personnelles qui apparaît comme le fer de lance de cette réglementation.

ok ok mais tout ça ça donne quoi de plus concret ?

 

Dans le domaine de la santé, qui est concerné ?

Tous les établissements de santé sont concernés par le RGPD en tant que responsables de traitement de données personnelles dans leur organisme, également comme sous-traitants (dans le cadre d’un groupement par exemple).
Si votre établissement informatise le dossier des personnes accueillies, vérifiez avec votre éditeur de logiciel que vos contrats sont en conformité avec le RGPD.[2]

 

Les sous traitants et établissements partagent désormais les responsabilités

C’est un des grands changement apporté par le RGPD concernant les sous-traitants.[3] Ils ont la responsabilité :

  • De conseiller et d’aider au respect du RGPD
  • D’assurer la sécurité des données qui leurs sont confiées

Que vous soyez sous-traitant ou responsable de traitement, vos contrats doivent comporter les clauses exigées par le RGPD. [4]

 

Quelles sont les données concernées par le RGPD ?

Le RGPD porte sur toutes les données personnelles issues des activités de l’établissement de santé. Soit toute information se rapportant à une personne physique identifiée ou identifiable.
Les données concernées et périmètre d’application se veulent le plus large et exhaustives possible (exemple : fichiers patients, historiques médicaux, contacts pour newsletter, fichiers fournisseurs, fichiers RH, etc). [5]

 

Et la CNIL dans tout ça ?

La CNIL est un des organismes le plus en avance sur la question des données personnelles.   Elle a anticipé en allégeant notamment les formalités préalables :
les traitements tels que les dossiers médicaux partagés, les dispositifs de télémédecine ou d’éducation thérapeutique ne font dorénavant plus l’objet de demandes d’autorisation.[6]

Le RGPD va libérer la CNIL de la gestion des déclarations et lui permettre de recentrer ses ressources sur le cœur de ses missions : l’information et le contrôle.
La CNIL documente particulièrement bien la transition vers le RGPD.
Elle propose avec l’ASIP un focus sur les cadres de référence applicables au domaine de la santé [7]

 

Les principes du RGPD à respecter

Principe de responsabilité/accountabilité

Vous devez être en mesure de justifier qui fait quoi ? quand ? et comment ? une cartographie hiérarchisant qui est responsable de quoi. [8] Ayez également ce même niveau d’exigence avec vos éditeurs logiciels.  

 

Principe de finalité

Par exemple, dans le cadre de la gestion du dossier patient : les données  doivent être collectées pour “des finalités déterminées explicites et légitimes”.
Il reste assez simple d’indiquer que la collecte des antécédents médicaux déterminera entre autres la mise en œuvre d’actes de soins, traitements médicamenteux, etc.

 

Principe  de proportionnalité

Toutes les données collectées doivent justifier d’une utilité. Vous n’utilisez que celles nécessaires aux finalités déterminées. [8] Exemple : se servir dans un EHPAD du recueil des habitudes de vie pour déterminer la mise en ouvre de services à but uniquement commercial serait typiquement en opposition à une démarche d’adaptation d’accompagnement thérapeutique.

 

Principe de protection dès la conception

Pour les établissements :
Assurez-vous que vos solutions de gestion sont en règle avec les aspects de protection des données [8], autant dans la conception que dans le cadre de la maintenance évolutive.

Pour les éditeurs :
Assurez vous de la prise en compte de la protection des données [8] dès la conception et tout au long du cycle de vie des produits.
Vos clients vous le demanderont et voudront des garanties.

 

En synthèse, 6 étapes à réaliser

Comment se traduisent ces éléments sur le terrain et plus particulièrement dans un établissement de santé ? [4]
Pour être en conformité, La CNIL propose et outille une démarche en 6 étapes synthétisée > ici < 

 

Les points clés

En complément du tableau ci-dessus, nous développons ci-dessous des points incontournables.

1. Désignation du « DPO » (Data Protection Officer) ou en français DPD (Délégué à la protection des données)

Si vous aviez déjà un Correspondant Informatique et Liberté (CIL), il devrait naturellement évoluer vers le poste de délégué à la protection des données (DPO). [10] Cependant, les missions du DPO sont plus étendues que celles du CIL (cf ci-dessous). Le délégué à la protection des données ou data protection officer (DPO) peut-être membre du personnel ou prestataire de service. C’est le chevalier servant de la protection des données.

Son rôle :

  • C’est l’interlocuteur des personnes concernées par le traitement des données
  • Implication dans l’ensemble des questions associées à la protection des données
  • Contrôler, informer et conseiller sur les obligations découlant du RGPD
  • Coopérer avec l’autorité de contrôle
  • Accessoirement sauver le royaume du maléfice de l’exploitation des données

Info/ astuce : Le RGPD permet la mutualisation du DPO. Ce principe est tout à fait adapté au contexte des GHT.  Egalement, en termes de coûts, cette mutualisation peut être intéressante pour les petites structures.


2. Mise en place d’un Registre des traitements [11]

Il s’agit de tracer l’ensemble des traitements des données à caractère personnel. Qui, quoi, quand, comment ?
La CNIL a communiqué un modèle de registre conforme au règlement. [12]

 

3. Droit à la portabilité : la révolution dans le monde des progiciels [13]

Les organisations évoluent et parfois les établissements passent d’un logiciel à un autre. Cependant sur ce marché concurrentiel, les éditeurs sont parfois peu enclins à transmettre dans les règles les données à ceux qui vont prendre leur place.
Un établissement doté d’un dossier patient informatisé, à travers les personnes à qui appartiennent les données, pourra exiger d’obtenir « la restitution de l’ensemble des données dans un format électronique structuré et couramment utilisé et lisible par machine ».

 

4. Démontrer la mise en œuvre d’une politique de sécurité conforme au RGPD [14] (pseudonymisation, anonymisation, confidentialité, disponibilité)

Cette politique de sécurité implique également la preuve de tests réguliers.
Les établissements et leurs sous traitants (éditeurs logiciels, fournisseurs, etc.) devront procéder à des simulation de hacking et attaques diverses sur leur système afin de démontrer leur efficacité.
En dehors de ces tests, il y a obligation de signaler toute violation de données à caractère personnel auprès de la CNIL dans les 72 heures.
Ainsi, la CNIL mettra en oeuvre son rôle de conseil et de contrôle pour vous aider à garantir la protections des données personnelles que vous gérez.

 

5. Droit à l’oubli

C’est le droit d’exiger la cessation de la diffusion d’information et l’effacement de l’ensemble des données personnelles.[15]
Le droit à la portabilité et le droit à l’oubli ne sont pas les seules droits du propriétaire des données : le droit à la rectification et le droit de s’opposer à la collecte sont maintenus et s’ajoute le droit à la limitation de la collecte des données.
Un usager peut exiger la modification, l’arrêt de la diffusion et/ou la suppression des  données qui le concerne. Egalement, il peut exiger la restitution de ses données dans un format électronique structuré et couramment utilisé et lisible par machine.
Si votre système d’information ne permet pas ces modes de fonctionnement, il devra évoluer en ce sens.

 

Les sanctions

Dès le 25 mai 2018, la CNIL est en droit de sanctionner sur le périmètre ci-dessous :

  • Prononcer un avertissement
  • Mettre en demeure
  • Limiter temporairement ou définitivement un traitement
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l ‘effacement des données

Concernant les amendes administratives, selon l’infraction, elles pourront s’élever jusqu’à 20 millions d’€.
Dans le cas d’une entreprise : de 2% jusqu’à 4% du chiffre d’affaires annuel mondial. Le montant le plus élevé étant retenu.
Nul doute que le RGPD a la volonté de fournir un bouclier de protection des données personnelles. Cependant, c’est un nouveau lot de contraintes, sans pour autant de nouveaux moyens pour les appliquer.
Reste à évaluer si ces contraintes apporteront sur le long terme les objectifs visés et comment tous les acteurs concernés arriveront à s’entourer des bons interlocuteurs pour les atteindre.

 

Article à télécharger en .pdf > ici <

Merci de « liker » et partager svp sur linkedin > ici < 


Sources & Remerciements

________________________________________________

Merci au cabinet Lexing Bensoussan et la FICME pour leur très bon guide.
Merci à la CNIL qui documente, informe et outille de façon claire et intuitive.
Merci à SIH solutions et Charles Cardine pour la parution de ce dossier dans leur numéro de mai 2018.
Merci à Félicie Debackere-Keignan, Avocate en e-santé, associée fondateur de Novaejuris, pour sa relecture et corrections.

Comme vous avez eu la patience de descendre jusque là nous avons préparé un best-of des sources et liens :

[1] Lien vers texte officiel : https://drive.google.com/file/d/1mqP2uczgALCxRetYr9f38UpJDLdTJsVi/view?usp=sharing

[2] Guide Asip & CNIL pour les étbts de santé : https://www.cnil.fr/sites/default/files/atoms/files/rgpd_-_etablissements_de_sante.pdf

[3] L’article 28 du RGPD- indique que le traitement par un sous-traitant est régi par un contrat : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28

[4] Exemple de clauses :  

> https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
>https://www.cnil.fr/sites/default/files/typo/document/20111027_MOD_CLAUSE%20CONFIDENTIALITE%20MAINTENANCE_VD.pdf

Guide du sous traitant : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

Le cabinet Lexing Bensoussan et la Ficime proposent également un très bon guide avec une structure standard des clauses de sous-traitance. https://www.alain-bensoussan.com/avocats/guide-rgpd-ficime/2017/12/26/ > Guide disponible auprès du cabinet Lexing Benssoussan ou de la Ficime.


[5]
Sécurité des données personnelles :

Lien CNIL : https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles
Guide en ligne : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
Guide en pdf : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

[6] Traitement des données de santé : https://www.cnil.fr/fr/traitement-des-donnees-de-sante-une-logique-de-simplification-et-de-responsabilisation-accrue-des

[7] Formalités pour les traitements de données : https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel

[8] Article 25 du Règlement UE 2016/679 du 27-4-2016 “règlement général sur la protection des données” > https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25

[9] 6 étapes guide CNIL :  en pdf : http://www.cil.cnrs.fr/CIL/IMG/pdf/pdf_6_etapes_interactifv2.pdf
en ligne : www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

[10] Guide DPO :  en ligne : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
en pdf : https://www.cnil.fr/sites/default/files/typo/document/Guide_pratique_Prise_de_fonction_CIL.pdf

[11] Article 30 du Règlement UE 2016/679 du 27-4-2016 « règlement général sur la protection des données” > https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

[12] Modèle de registre de règlement (.xlsx) >  ttps://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

[13] Article 20 du Règlement UE 2016/679 du 27-4-2016 “ règlement général sur la protection des données” > https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article20

[14] Article 32 du Règlement UE 2016/679 du 27-4-2016 “règlement général sur la protection des données” > https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

[15] Article 17 du Règlement UE 2016/679 du 27-4-2016 “règlement général sur la protection des données“ > https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17