RGPD-CNIL Données de santé Analyse d’impact obligatoire

En France nous sommes friands des acronymes, en voici un découlant du RGPD, c’est l’AIPD, entendez ici :  Analyses d’Impact relatives à la Protection des Données ou DPIA (Data Protection Impact Assessment).
Dans une délibération publiée le 6 novembre 2018 au Journal Officiel (1), la Commission nationale de l’informatique et des libertés (Cnil), liste les opérations qui nécessitent la réalisation d’une analyse d’impact relative à la protection des données. Qui a la responsabilité de cette analyse d’impact ?
Quand faut t’il la réaliser, dans quelles conditions et avec quelles méthodes ?
A vos marques, prêts ? Lisez !

Le Règlement général de protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Le RGPD prévoit que les traitements d’informations « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées » doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD). La CNIL rappelle que “Les AIPD sont avant tout l’occasion de mener une réflexion interne, spécifique à chaque traitement, de nature à garantir de manière opérationnelle le respect des principes relatifs à la protection des données et de pouvoir, le cas échéant, le démontrer. “

 

Traitements soumis à la réalisation d’une AIPD

Ci-dessous la liste des types d’opérations de traitement pour lesquelles, une analyse d’impact relative à la protection des données est requise, via les critères issus des lignes directrices du Comité européen de la protection des données (CEPD). Les données de santé figurent en tête de liste.

 

Qui doit faire quoi, quand et comment ?

La CNIL accompagne les responsables de traitement dans la démarche d’analyse d’impact en leur proposant différents outils et modèles tels que des guides méthodologiques ainsi qu’un logiciel d’aide à la rédaction des AIPD, disponible sur son site (2). Nous vous proposons une synthèse ci-dessous.

 

Quand mener l’analyse d‘impact ?

L’AIPD doit être démarré le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement des données. La CNIL précise également : il est nécessaire de revoir une AIPD de manière régulière pour s’assurer que le niveau de risque reste acceptable tout au long de la vie du traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.

 

Qui intervient dans la réalisation ?

  • Le responsable de traitement : il est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.
  • Le DPO (Data Protection Officer) : si il y a un, le responsable de traitement lui demande conseil et le charge de vérifier l’exécution de l’AIPD.
  • Sous traitant : si un sous-traitant intervient dans le traitement, il doit contribuer et fournir les informations nécessaires à la réalisation de l’AIPD.
  • La personne chargée de la sécurité des systèmes d’information : la CNIL conseille également de faire participer au processus et à la validation de l’AIPD, la personne chargée de la sécurité des systèmes d’information.

 

Quelle méthode ?

La CNIL qui détaille très bien la démarche à travers les critères définis dans l’annexe 2 des lignes directrices du G29 (3). ci-dessous en synthèse.

  • Délimiter et décrire le contexte du (des) traitement(s) considéré(s)
  • Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité, la nécessité du traitement, et la protection des droits des personnes concernées
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités
  • Formaliser la validation du PIA (privacy impact assessment) au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

Quel contenu ?

Une AIPD contient à minima :

  • Description des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement.
  • Evaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités.
  • Evaluation des risques sur les droits et libertés des personnes concernées.
  • Mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

La CNIL propose un infographie du processus de cette étude d’impact (4) (cliquez pour agrandir)

Quand transmettre l’AIPD à la CNIL ?

Si vous avez effectué une analyse d’impact et que le niveau de risque résiduel pour les droits et libertés des personnes concernées est qualifié de risque élevé : vous avez l’obligation de transmettre votre analyse d’impact à la CNIL . Dès que l’analyse est finalisée et validée dans votre structure / organisation, vous pouvez la transmettre à la CNIL  par courrier, de préférence sur un support électronique (clé USB), à l’adresse suivante (5) : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

 

Obligations et sanctions

Depuis le 25 mai 2018, la CNIL est en droit de sanctionner sur le périmètre ci-dessous :

  • Prononcer un avertissement
  • Mettre en demeure
  • Limiter temporairement ou définitivement un traitement
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l’effacement des données

Concernant les amendes administratives, selon l’infraction, elles pourront s’élever jusqu’à 20 millions d’€.
Dans le cas d’une entreprise : de 2% jusqu’à 4% du chiffre d’affaires annuel mondial. Le montant le plus élevé étant retenu.
Le Portugal inaugure les sanctions financières au titre du RGPD (6). L’hôpital de Barreiro a écopé d’une amende de 400 000€ en raison de sa politique d’accès aux bases de données des patients.

 

Conclusion

Nul doute que le RGPD a la volonté de fournir un bouclier de protection des données personnelles. Cependant, c’est un nouveau lot de contraintes, sans pour autant de nouveaux moyens pour les appliquer. Également, cette démarche implique de nombreux interlocuteurs et actions à tous les niveaux. Ainsi pour éviter les erreurs susceptibles de nuire à votre organisation, il ne faut pas confondre vitesse et précipitation (7).
Reste à évaluer si ces contraintes apporteront sur le long terme les objectifs visés et comment tous les acteurs concernés arriveront à s’entourer des bons interlocuteurs pour les atteindre.

Adviceo vous propose un dossier sur le RGPD (8), contactez nous pour un accompagnement personnalisé.
Cet article n’est en rien exhaustif, vos propositions sont les bienvenues : contact@adviceo.fr

Article à télécharger en .pdf > ici <

Merci de « liker » et partager svp sur linkedin > ici < 


Sources et liens

 

(1) Journal officiel, mardi 6 novembre 2018

Texte 81 :https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000037559518
Si le lien legifrance n’est plus dispo, backup > ICI <

Texte 82 : https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000037559521
Si le lien legifrance n’est plus dispo, backup > ICI <

 

(2) Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) et les outils associés https://www.cnil.fr/fr/PIA-privacy-impact-assessment

 

(3) Les critères définis dans l’annexe 2 des lignes directrices du G29. http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

 

(4) Infographie : PIA vue d’ensemble des obligations et de la méthode https://www.cnil.fr/sites/default/files/thumbnails/image/171002_fiche_risque_fr_screen_rgb.jpg
Si le lien CNIL n’est plus dispo, backup > ICI <

 

(5) Envoyer son analyse d’impact relative à la protection des données (AIPD) à la CNIL. https://www.cnil.fr/fr/envoyer-son-analyse-dimpact-relative-la-protection-des-donnees-aipd-la-cnil

 

(6) Première amende RGPD pour un hôpital portugais. Le Portugal inaugure les sanctions financières au titre du RGPD. L’hôpital de Barreiro a écopé d’une amende de 400 000 euros en raison de sa politique d’accès aux bases de données des patients. https://www.cio-online.com/actualites/lire-premiere-amende-rgpd-pour-un-hopital-portugais-10762.html

 

(7) RGPD & course à la conformité : quelles erreurs éviter ? https://siecledigital.fr/2018/11/08/rgpd-course-a-la-conformite-quelles-erreurs-eviter/

 

(8) Guide : RGPD et les établissements de santé
https://www.linkedin.com/pulse/guide-rgpd-et-les-établissements-de-santé-nicolas-pistorio/
http://adviceo.fr/index.php/guide-rgpd-et-les-etablissements-de-sante/