Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Méthode

 273 vues

Contexte et périmètre

Contexte et objectifs

Le socle commun du programme HOP’EN est constitué de 4 prérequis indispensables à une gestion sécurisée des soins dans un contexte de décloisonnement des prises en charge, dont la mise en place, par l’ensemble des établissements de santé est attendue d’ici la fin du programme :

  • Identités, mouvements (P1) ;

  • Sécurité (P2) ;

  • Confidentialité (P3) ;

  • Échanges et partages (P4).

Il comprend également 7 domaines fonctionnels pour lesquels le programme définit des exigences en matière d’usage du système d’information.

  • Les résultats d’imagerie, de biologie et d’anapath (D1) ;

  • Le dossier patient informatisé et interopérable et le DMP (D2) ;

  • La prescription électronique alimentant le plan de soins (D3) ;

  • La programmation des ressources et l’agenda du patient (D4) ;

  • Le pilotage médico-économique (D5) ;

  • La communication et les échanges avec les partenaires (D6) ;

  • La mise à disposition de services en ligne aux usagers et aux patients (D7).

Le présent document a pour objectif d’offrir une vision synthétique sur les points d’attention et la démarche à mettre en œuvre dans le cadre de la mise en conformité des établissements de santé aux obligations réglementaires relatives à la protection des données. Il s’adresse aux acteurs au sein des établissements de santé et des GHT en charge de la mise œuvre des procédures de protection des données personnelles :

  • Délégué à la protection des données (DPO) ;

  • Responsable et référents sécurité des systèmes d’information (RSSI / rSSI) ;

  • Directeur en charge de la qualité et ingénieur qualité ;

  • Directeur en charge des relations patients ;

  • Directeur des affaires juridiques ;

  • Médecin DIM.

Indicateur concerné

La fiche concourt principalement à l’obtention de :

- L’indicateur P3.2 portant sur l’existence d’un document lié au règlement intérieur formalisant les règles d’accès et d’usage du SI, en particulier pour les applications gérant des données de santé à caractère personnel, diffusé au personnel, aux nouveaux arrivants, prestataires et fournisseurs

- L’indicateur P3.6 portant sur l’existence d’une fonction DPO et présence d’un registre des traitements de DCP qualifié avec droits d’accès

Présentation

Enjeux

Dans le cadre de ses activités, un établissement de santé est amené à collecter et manipuler des Données personnelles. L’objectif de cette fiche pratique est de fournir aux établissements de santé, un document explicatif des différents points auxquels chacun doit se conformer dès lors qu’il traite des Données personnelles, conformément au RGPD.

Quelles sont les règles à respecter ?

Dès lors qu’il utilise des Données personnelles dans le cadre de ses activités, un établissement de santé doit être attentif au respect des règles prévues par la règlementation en matière de protection des Données personnelles et notamment le Règlement (UE) 2016/6794 (ci-après le « Règlement Général sur la Protection des Données » ou « RGPD ») et la Loi Informatique et Libertés5 qui comprend un important volet relatif à la protection des données de santé. Le RGPD contient de nombreuses règles avec lesquelles il est nécessaire de se conformer en cas de Traitement de Données personnelles.

• Par exemple, lorsque l’établissement de santé collecte via un formulaire d’admission des informations sur les patients comme leur nom, leur adresse, leur Numéro d’Inscription au Répertoire National d’identification des personnes physiques (NIR), etc. => il s’agit d’une collecte de Données personnelles.

• Parmi ces règles, il est notamment important de s’assurer que les Données personnelles sont collectées pour un objectif déterminé, que seules les Données personnelles pertinentes et nécessaires sont collectées et qu’elles ne sont pas réutilisées par la suite pour un objectif incompatible avec l’objectif initial (ex : lorsque des Données personnelles sont communiquées à des tiers tels que des compagnies d’assurance, sans le consentement de la personne concernée), que les individus dont l’établissement de santé traite les Données personnelles sont correctement informés de la collecte et de l’utilisation qui va être faite de leurs Données personnelles et qu’ils sont mis en mesure d’exercer leurs droits (ex. droit d’accéder à leurs Données personnelles). Les Données personnelles ne doivent pas être conservées de manière indéfinie et des mesures doivent être mises en place pour assurer leur sécurité. En raison de leur caractère sensible, les Données de Santé6 bénéficient d’un régime plus protecteur notamment en termes de sécurité.

Quels sont les outils à disposition des établissements de santé pour respecter les règles ?

Cette fiche pratique explique les règles à respecter et la manière dont une revue de conformité doit être réalisée avant la mise en place d’un nouveau Traitement (cf. notamment la section « A quelles règles se conformer en cas de Traitement ?)

Quels sont les acteurs de la conformité ?

  • Chaque membre du personnel d’un établissement de santé est potentiellement acteur de la conformité en matière de protection des Données personnelles et doit connaître les règles contenues dans cette fiche pratique.

  • Plus particulièrement, les personnes en charge des opérations de Traitement de Données personnelles au sein d’un établissement de santé (ci-après « Personne en Charge ») sont tenues de s’assurer du respect des règles applicables avec l’assistance du Délégué à la Protection des Données le cas échéant, et de documenter la revue de conformité à réaliser pour tout Traitement.

  • Le Délégué à la Protection des Données (ci-après « DPO ») est là pour conseiller et assister les employés et en particulier les Personnes en Charge afin de s’assurer du respect des règles7.

Comment réaliser une revue de conformité ?

La conformité avec les règles de protection des Données personnelles doit être garantie en ce qui concerne les opérations de Traitement de Données personnelles nouvelles et existantes.

Nouvelles opérations de traitement de données personnelles

Identification des opérations de Traitement de Données personnelles

Dans le cadre des nouveaux projets, il est nécessaire d’identifier l’existence d’un Traitement de Données personnelles qui est caractérisé par les 3 éléments suivants :

  • Des Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (ex : nom, prénom, NIR, pathologie, soins, prescription) ;

  • Un Traitement : le Traitement peut être automatisé ou non (ex. : base de données électronique, bulletin en format papier) ;

  • Une finalité déterminée : l’objectif pour lequel le Traitement est réalisé. Afin d’effectuer une revue de conformité, il est important d’identifier pour quelle finalité le Traitement de Données personnelles est réalisé (ex : diagnostic et administration de soins, recrutement du personnel).

Qualification d’un établissement de santé

Pour toute opération de Traitement, l’établissement de santé doit identifier s’il agit en tant que Responsable du Traitement, Responsable conjoint du Traitement ou Sous-traitant.

Une revue de conformité complète doit être effectuée uniquement lorsqu’un établissement de santé agit en tant que Responsable du Traitement ou Responsable conjoint du Traitement8.

Lorsqu’un établissement de santé agit en tant que sous-traitant, la Personne en Charge ne doit pas effectuer une analyse complète de la conformité, mais se limiter à une revue de conformité recouvrant uniquement les exigences applicables aux Sous-traitants.

Focus : en pratique, comment déterminer le rôle des parties prenantes ?

Un établissement de santé doit être considéré comme responsable du Traitement lorsqu’il détermine les Finalités (l’utilisation cible des Données personnelles) et les moyens de l’opération de Traitement (ex : choix des outils IT de traitement et de leur utilisation, choix des modalités de Traitement en termes de durée de conservation ou de mesures de sécurité).

Si les Finalités et moyens de l’opération de Traitement sont déterminés conjointement par un ou plusieurs organismes, ils doivent être chacun considérés comme Responsable conjoint du Traitement.

Contexte GHT

Un établissement de santé doit être considéré comme Sous-traitant lorsqu’il met en œuvre un Traitement de données pour le compte d’un autre organisme (ex. dans le cadre de la convergence SI des GHT). Un établissement de santé peut également bénéficier des services d’un Sous-traitant (ex : prestataire IT réalisant des opérations de maintenance et/ou d’hébergement lié à un logiciel médico-administratif9).

Vérification des points de conformité

Lorsqu’un établissement de santé agit en tant que Responsable du Traitement (ou Responsable conjoint en charge de la revue de conformité), il doit vérifier que le Traitement est conforme avec les règles de protection des Données personnelles.

Lorsqu’un établissement de santé agit en tant que sous-traitant, la Personne en charge doit principalement vérifier les points suivants :

  • Des mesures techniques et organisationnelles appropriées sont mises en place (voir ci-après) ;

  • Un accord contenant des clauses appropriées à la protection des Données personnelles, est conclu avec le Responsable du Traitement et les mesures nécessaires sont mises en place pour être conforme aux dites clauses (voir ci-après) ;

  • Le Responsable du Traitement est informé si un Transfert des Données personnelles vers un Pays tiers est envisagé (voir section ci-après) ;

  • Un registre des activités de Traitement est établi pour ces activités de Traitement (voir ci-après).

Élaboration d’un plan d’action et réalisation des actions nécessaires

Une fois la conformité du Traitement vérifiée, l’établissement de santé doit, sur la base des points de non-conformité identifiés, établir un plan d’actions10 comprenant toutes les actions correctrices devant être mises en œuvre pour garantir la conformité aux règles de protection des Données personnelles.

Il sera possible de mettre en œuvre l’opération de Traitement uniquement lorsque les actions correctrices auront été mises en œuvre. Dans le cas contraire, les opérations concernées devront être suspendues.

Nécessité de demander une assistance pour la revue de conformité

Différents acteurs de la conformité au sein d’un établissement de santé peuvent intervenir selon le schéma de gouvernance choisi :

  • La Personne en charge (ex. : médecins, infirmiers, personnel de l’accueil de l’établissement de santé) ;

  • Le Délégué à la protection des Données ;

  • Un représentant des équipes IT en charge de fournir une assistance sur les aspects IT ;

  • Un représentant des équipes RH en charge de fournir une assistance sur les aspects RH (si nécessaire) ;

  • Toute autre partie prenante pertinente.

Nécessité de documentation

Conformément au principe de Responsabilité (Accountability) prévu par le RGPD, il est nécessaire d’être en mesure de prouver la conformité aux règles de protection des Données personnelles. Il est par conséquent très important pour la Personne en charge de documenter l’analyse, le plan d’action et la mise en œuvre des actions.

Revue régulière

Une fois le Traitement mis en œuvre, ses conditions de mise en œuvre doivent être régulièrement vérifiées (par exemple une fois par an) afin de constater un éventuel changement qui nécessitera le cas échéant une modification des mesures de conformité.

Opérations de Traitement existantes

Les opérations de Traitement existantes c’est-à-dire les opérations en place avant le 25 mai 201811 doivent aussi respecter les règles de protection des Données personnelles. Par conséquent, les étapes mentionnées ci-dessus pour garantir la conformité avec le RGPD doivent également être mises en œuvre.

Afin d’identifier toutes les opérations de Traitement existantes, il est recommandé d’utiliser le registre des activités de Traitement12 qui doit être tenu par chaque établissement de santé, concernant toutes les activités de Traitement effectuées sous leur responsabilité.

À quelles règles se conformer en cas de Traitement ?

En cas de Traitement, de nombreuses règles doivent être respectées : les règles concernant le Traitement, les catégories de Données personnelles traitées, les droits des Personnes concernées, le consentement des Personnes concernées, la sécurité et la conservation des Données personnelles, les relations avec les tiers et les formalités.

Traitement de Données personnelles

Licéité, loyauté et transparence du Traitement

Les Données personnelles doivent être traitées de manière licite, loyale et transparente au regard des Personnes concernées13 : il est nécessaire de garantir que les Données personnelles n’ont pas été collectées et traitées suite à des actions frauduleuses, déloyales ou illicites, sans information préalable des Personnes concernées (voir également ci-après sur les droits des Personnes concernées).

De plus, il est nécessaire de vérifier si l’opération de Traitement correspond à un des fondements suivants, en prenant en compte la finalité poursuivie14 :

  • Le Traitement est nécessaire à l’exécution du contrat auquel la Personne concernée est partie (ex. : contrat de travail).

  • Le Traitement est nécessaire au respect d’une obligation légale ;

  • Le Traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’établissement de santé ou par un tiers (gestion des candidatures) ;

  • La Personne concernée a consenti au Traitement15.

Limitation de la finalité

Les Données personnelles ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes et ni être ultérieurement traitées d’une manière incompatible avec ces finalités16.

Le principe garantit que les Données personnelles ne seront pas collectées « juste au cas où », mais que ces Données personnelles seront collectées et traitées uniquement pour des finalités déterminées, desquelles les Personnes concernées ont été informées préalablement au Traitement (voir ci-après sur les droits des Personnes concernées).

Les Données personnelles ne peuvent être traitées pour une autre finalité autre que celle pour laquelle les Données personnelles ont été collectées uniquement dans le cas où17 :

  • Le consentement préalable des Personnes concernées a été obtenu ; ou

  • Le Traitement ultérieur est fondé sur l’existence d’une disposition légale ; ou

  • cette nouvelle finalité de Traitement est présumée compatible avec la finalité initiale de collecte et de Traitement des Données personnelles.

Focus : comment la Personne en charge peut-elle évaluer la compatibilité de ces nouvelles finalités avec les finalités initiales ?

Pour cela peuvent être pris en compte les éléments suivants :

  • Tout lien entre la finalité initiale du Traitement et la finalité ultérieure envisagée ;

  • Le contexte dans lequel les Données ont été collectées et les attentes raisonnables des Personnes concernées sur l’utilisation ultérieure des Données ;

  • La nature de la Donnée personnelle18 ;

  • Des conséquences du Traitement ultérieur sur les Personnes concernées ; et

  • les garanties appropriées19 mises en place.

Données personnelles

Minimisation et exactitude des Données personnelles

Il est nécessaire de garantir que seules les Données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies, sont collectées et traitées20. Des procédures adéquates doivent donc être mises en œuvre pour que les Données personnelles demeurent exactes et tenues à jour21.

Les Catégories particulières de Données et autres Données sensibles

Des Catégories particulières de Données et d’autres Données sensibles sont considérées comme des Données personnelles dont le Traitement présente un risque plus important pour les individus.

  • Catégories particulières de Données personnelles

Les Catégories particulières de Données sont (i) des données révélant l’origine raciale ou ethnique d’un individu (ii) ses opinions politiques (iii) ses convictions religieuses ou philosophiques, ou son appartenance syndicale (iv) ses données génétiques (v) ses données biométriques (lorsqu’elles sont utilisées aux fins d’identifier une personne physique de manière unique) (vi) les données concernant sa santé et (vii) les données concernant sa vie sexuelle ou son orientation sexuelle22.

Le Traitement de ces Données est interdit par principe, sauf circonstances particulières23. La Personne en charge doit vérifier si le Traitement de ces Données respecte l’une de ces exceptions :

  1. La Personne concernée a donné son consentement explicite ;

  2. Le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au Responsable du Traitement en matière de droit du travail et de la protection sociale ;

  3. Le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d’une autre personne physique dans le cas où la Personne concernée se trouve dans une incapacité physique ou juridique de donner son consentement ;

  4. Le Traitement porte sur des Données personnelles qui sont manifestement rendues publiques par la Personne concernée ;

  5. Le Traitement est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice ;

  6. Le Traitement est nécessaire pour des motifs d’intérêt public importants ;

  7. Le Traitement est nécessaire aux fins d’appréciation de la capacité de travail de l’employé ;

  8. Le Traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (conformément à l’article 89 du RGPD).

Focus concernant les Données de santé à caractère personnelles

La Loi Informatique et Libertés prévoit également parmi les exceptions à l’interdiction, les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du Code pénal.

Autres Données sensibles

Il s’agit des Données relatives aux condamnations pénales et aux infractions ainsi que le numéro d’identification national (ex. le numéro de sécurité sociale en France)24.

Le Traitement de Données relatives aux condamnations pénales et aux infractions ou des mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si le Traitement est autorisé par le droit applicable.

Les droits des personnes concernées

Information des personnes concernées

Le responsable du traitement doit fournir à toutes les personnes concernées (ex. : un patient) une mention d’information décrivant le traitement. Cette information doit être concise, aisément accessible et rédigée en des termes clairs et simples.

Cette mention doit contenir les informations suivantes et être fournie avant le traitement, sauf lorsque la Personne concernée a déjà l’information25 :

  • L’identité et les coordonnées du responsable du traitement (l’établissement de santé) ;

  • Les coordonnées du délégué à la protection des données, le cas échéant ;

  • Les Finalités du traitement ainsi que la base juridique du traitement ;

  • Les intérêts légitimes poursuivis par le responsable du traitement (lorsque le traitement est basé sur ce fondement) ;

  • Les destinataires ou les catégories de Destinataires des Données personnelles ;

  • Les éventuels Transferts de Données personnelles réalisés vers un Pays tiers ou à une organisation internationale et l’existence d’une décision d’adéquation ou la mise en œuvre de garanties appropriées ;

  • La durée de conservation des Données personnelles (ou le critère utilisé pour déterminer cette durée) ;

  • L’existence du droit d’accès ou de rectification ou d’effacement des Données personnelles ou de limitation du Traitement, ou d’opposition au Traitement, de même que le droit à la portabilité des Données lorsqu’il est applicable ;

  • Lorsque le Traitement se fonde sur le consentement de la Personne concernée, l’existence du droit de retirer le consentement à tout moment ;

  • Le droit d’introduire une réclamation auprès de l’Autorité de Contrôle (la CNIL en France) ;

  • Lorsque le Traitement se fonde sur une exigence réglementaire ou contractuelle (ou sur une exigence conditionnant la conclusion du contrat) et si la communication des Données personnelles est obligatoire ainsi que sur les conséquences de la non-fourniture des Données ;

  • L’existence d’une prise de décision automatisée (y compris un profilage)26.

La liste d’informations à inclure dans la mention est légèrement différente lorsque les Données personnelles n’ont pas été directement obtenues auprès des Personnes concernées (par ex. catégories de Données personnelles collectées et sources des Données personnelles)27. De plus, dans ce cas, l’information doit être fournie au moment de l’enregistrement des Données personnelles ou si la communication à un tiers est envisagée, au plus tard au moment de cette communication. Elle peut par exemple être faite par la remise d’une mention ou par voie d’affichage dans les locaux de l’établissement de santé.

Par ailleurs, l’obligation d’informer les Personnes concernées ne s’applique pas lorsque (i) la fourniture de telles informations se révèle impossible ou (ii) exigerait des efforts disproportionnés ou (iii) l’enregistrement ou la communication de ces données est expressément prévue par la loi.

Autres droits des Personnes concernées

  • Droits applicables à toutes les opérations de Traitement

Le responsable du Traitement doit garantir la possibilité pour les Personnes concernées d’exercer les droits suivants28 :

  • Le droit d’accès à ses Données personnelles et les informations concernant l’opération de Traitement ;

  • Le droit de rectification de Données personnelles inexactes le/la concernant ;

  • Le droit d’effacement sous conditions particulières ;

  • Le droit de limitation, sous conditions particulières (c’est-à-dire, le droit de demander que les données soient conservées, mais pas traitées) ;

  • Le droit de s’opposer au Traitement de ses Données personnelles pour des raisons tenant à sa situation particulière ;

  • Le droit à la portabilité de ses Données personnelles vers lui/elle ou vers un autre Responsable de Traitement si (i) le Traitement est fondé sur un consentement ou est nécessaire à l’exécution d’un contrat, et (iii) le Traitement est effectué à l’aide de procédés automatisés.

La Personne concernée doit être informée de l’existence de ces droits et se voir fournir des moyens adéquats à l’exercice de ces droits (c’est-à-dire les coordonnées valables d’une personne responsable afin de lui envoyer facilement et librement une demande, par exemple les coordonnées du Délégué à la Protection des Données).

  • Droit de ne pas faire l’objet d’une décision individuelle automatisée.

Les Personnes concernées ont le droit de ne pas faire l’objet de décisions fondées uniquement sur un Traitement automatisé (y compris le profilage) produisant des effets juridiques concernant la Personne concernée ou l’affectant de manière significative de façon similaire.

Par conséquent, le Responsable du Traitement doit garantir qu’aucune décision produisant de tes effets ne soit prise que sur la base d’un Traitement automatisé, sauf si la décision est29 :

  • Nécessaire à la conclusion ou l’exécution d’un contrat entre l’établissement de santé agissant comme Responsable du Traitement et la Personne concernée ; ou

  • Autorisée par le droit applicable ; ou

  • Fondée sur le consentement explicite de la Personne concernée.

Le consentement des personnes concernées

Lorsque le consentement des Personnes concernées doit être collecté (ex. comme fondement de licéité du Traitement pour le Traitement de Catégories particulières de Données personnelles), celui-ci doit respecter les conditions suivantes30 :

  • Le consentement doit être une manifestation de volonté univoque par laquelle la Personne concernée accepte par une déclaration ou par un acte positif clair ;

  • Le consentement doit être librement donné, spécifique et éclairé :

    • Les informations nécessaires doivent être communiquées aux Personnes concernées avant qu’elles consentent ;

    • Le consentement doit être spécifique à un enjeu (ex. une finalité du Traitement) et doit être distinct de tout autre sujet ;

    • Le consentement ne peut pas être utilisé en cas de relation de subordination (ex. le consentement d’un employé n’est pas considéré comme librement donné) ;

  • Les Personnes concernées doivent pouvoir retirer leur consentement à tout moment.

Sécurité et conservation des données personnelles

Mesures de sécurité techniques et organisationnelles

Le responsable du Traitement doit s’assurer que des mesures techniques et organisationnelles appropriées sont mises en place pour garantir un niveau de sécurité adapté au risque en lien avec les Traitements (pseudonymisation, chiffrement, des tests de sécurité, etc.)31.

En particulier, l’accès aux Données personnelles doit être limité aux seuls Destinataires qui en ont besoin dans le cadre de la réalisation de leurs activités. Il convient donc de s’en assurer (ex. gestion des accès sur la base de profils d’habilitation, des moyens d’authentification, etc.).

Le cas échéant, l’équipe informatique de l’établissement de santé doit pouvoir être impliquée sur ces questions32.

Limitation de conservation des Données

Les Données personnelles ne doivent pas être conservées pendant une durée, excédant celle nécessaire à la finalité pour laquelle les Données sont traitées. Il est par conséquent nécessaire de définir et mettre en œuvre une durée de conservation adéquate, prenant en compte la finalité du Traitement poursuivi et les obligations légales applicables33. Par exemple, le dossier médical d’un patient est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein34.

Les relations avec les tiers

Relations avec les sous-traitants

Lorsque le Traitement est réalisé par un Sous-traitant pour le compte d’un établissement de santé agissant comme Responsable du Traitement (ex. un prestataire de service fournissant une assistance IT ou un prestataire de paye), l’établissement de santé doit s’assurer que ce Sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées avant de conclure un contrat avec celui-ci. De plus, il doit veiller à ce qu’un contrat contenant les clauses adéquates relatives à la protection des données soit conclu avec le Sous-traitant35.

Relations avec le responsable conjoint du traitement

Lorsque la finalité et les moyens du Traitement sont définis conjointement par plusieurs organismes, ils sont considérés comme des Responsables conjoints. Ils doivent alors définir et répartir de manière transparente (au sein d’un contrat) leurs responsabilités de conformité aux règles de protection des données (ex. via un accord de Responsabilité conjointe).

Transfert de données personnelles vers un pays tiers

La Personne en charge doit garantir que les Transferts de Données vers des Pays tiers, c’est-à-dire des pays situés en dehors de l’Espace économique européen36 sont sécurisés (ex. garanties adéquates comme la conclusion des clauses contractuelles types de la Commission européenne)37.

Formalités

Registre des activités de Traitement

Le responsable du Traitement doit tenir un registre des Traitements réalisés sous sa responsabilité38. Ce registre doit être centralisé par le Délégué à la Protection des Données et être mis à jour à chaque fois que les conditions de Traitement sont modifiées.

Afin d’établir les fiches registres par finalité de Traitement, il est nécessaire de procéder par étape :

Étape 1 : Identification des Personnes en charge des Traitements

Les principales Personnes en charge des Traitements peuvent être par exemple le Directeur des Ressources humaines (ou les membres de son équipe) pour les finalités RH et les finalités de gestion du recrutement, le Directeur financier (ou les membres de son équipe) pour la finalité de gestion de la comptabilité et du paiement des frais. De plus, la Personne en charge du Traitement dans le département IT (c’est-à-dire le Directeur de Systèmes d’information (ou les membres de son équipe) doit également être identifiée et contactée afin de :

  • Identifier les Traitements mis en œuvre pour des finalités de gestion de l’IT (par exemple, gestion de l’accès aux outils informatiques, gestion de la sécurité informatique y incluant la journalisation des accès, le chiffrement, etc.) et établir les fiches registre des Traitements concernés ;

  • Compléter les sections dédiées aux mesures de sécurité de toutes les autres fiches registre.

Étape 2 : Préidentifier les Finalités de Traitement mises en œuvre

Afin de déterminer les fiches registre, il est nécessaire d’identifier :

  • les Finalités des activités de Traitement mises en œuvre par l’établissement de santé concerné en tant que responsable du Traitement (ex. la gestion de recrutement, la gestion de la formation, la gestion des diagnostics et l’administration de soins) ;

  • les catégories de Traitement mises en œuvre par l’établissement de santé en tant que sous-traitant, éventuellement pour le compte d’un autre établissement de santé (ex. hébergement des données ou autres Finalités dans le cadre de groupements d’établissements de santé).

Tâche #3 : Collecter les informations nécessaires et compléter le registre

Les informations pertinentes requises pour compléter le registre des Traitements (par exemple les Données personnelles traitées, les Destinataires, les Transferts, etc.) doivent être collectées auprès de différentes personnes.

En cas de situation de coresponsabilité, il est recommandé de nommer un des Responsables conjoints, responsable de l’établissement des fiches registres concernées pour son propre compte ou pour le compte de ses Responsables conjoints. Le responsable désigné de l’établissement des fiches registre devra envoyer les fiches registre des Traitements aux autres Responsables conjoints du Traitement.

Chaque fiche registre doit comprendre les rubriques suivantes :

  • Le nom du Responsable du Traitement et, le cas échéant, le nom et les coordonnées du Responsable conjoint du Traitement mis en œuvre ;

  • Les Finalités du Traitement, l’objectif en vue duquel l’établissement de santé a collecté ces Données personnelles ;

  • Les catégories de Personnes concernées (ex. : patient, employé de l’établissement) ;

  • Les catégories de Données personnelles (ex. : identité, situation familiale, données bancaires, données de santé) ;

  • Les catégories de Destinataires auxquels les Données personnelles ont été ou seront communiquées, y compris les Sous-traitants auxquels recourt l’établissement de santé ;

  • Les Transferts de données à caractère personnel vers un Pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces Transferts ;

  • Les délais prévus pour l’effacement des différentes catégories de Données personnelles, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer ;

  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que met en œuvre l’établissement de santé.

La CNIL a mis à disposition un exemple de registre sur son site internet39.

Le registre devra être mis à jour à chaque modification dans les conditions de Traitement.

Formalités auprès de la CNIL

La Personne en charge doit s’assurer que les formalités adéquates sont réalisées. La loi Informatique et Liberté maintient l’obligation d’effectuer des formalités auprès de la CNIL en cas de Traitement de Données de Santé, soit un engagement de conformité à une méthodologie de référence, soit une demande d’autorisation auprès de la CNIL40.

L’analyse d’impact relative à la protection des données (AIPD)

La réalisation d’une AIPD est nécessaire en cas de Traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des Personnes concernées41. Par conséquent, le Responsable du Traitement doit vérifier si l’AIPD doit être effectuée, sur la base d’une liste de critères publiée par le Groupe de Travail « Article 29 »42. La CNIL a publié une liste d’opérations de Traitement pour lesquelles une AIPD est requise43. Par exemple, les Traitements de Données de Santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes requièrent une AIPD.

Lorsqu’une AIPD est nécessaire, le responsable du Traitement doit réaliser cette AIPD.

Le site de la CNIL a mis à disposition un outil d’AIPD sur son site internet44.

Glossaire

Termes Définition
Autorité de Contrôle Désigne une autorité publique indépendante qui est en charge de : (i) surveiller les Traitements de Données personnelles au sein de sa juridiction (pays, région ou organisation internationale) (ii), conseiller les organes compétents conformément aux mesures légales et réglementaires concernant le Traitement de Données personnelles, et (iii) traiter les réclamations introduites par les Personnes concernées conformément à la protection de leurs droits à la protection des données45. En France, l’Autorité de Contrôle est la CNIL.
Catégories particulières de Données personnelles Désigne les Données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le Traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique46.
Données personnelles Désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »)47.
Données sensibles Désigne toute Donnée personnelle relative aux condamnations pénales et aux infractions de la Personne concernée, ainsi que le numéro d’identification national48.
Destinataires Désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données personnelles, qu’il s’agisse ou non d’un tiers49.
EEE ou Espace économique européen Désigne les pays de l’Union européenne et les pays membres de l’AELE (Association européenne de libre-échange).
Finalité Désigne le but/l’objectif du Traitement (par exemple, la gestion du personnel, la gestion de la paye, la gestion de la formation, etc.).
L’Analyse d’Impact relative à la Protection des Données Désigne un processus conçu pour décrire le traitement, évaluer son caractère nécessaire et proportionnel, aider à gérer les risques pour les droits et libertés des personnes physiques résultant du traitement de Données personnelles, en les évaluant et en déterminant les mesures à prendre50.
Traitement Désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction51.
Transfert Désigne tout transfert de Données personnelles. Un transfert peut être réalisé par toute voie de communication, copie, transfert ou transmission de Données personnelles via un réseau, y compris l’accès à distance vers une base de données ou le transfert d’un moyen vers un autre, quel que soit le type de moyen (par exemple d’un disque dur vers un serveur).
  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données personnelles et à la libre circulation de ces données.?

  2. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.?

  3. Désignent les Données personnelles relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. Pour la CNIL, ces données comprennent :

    - « Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;

    - Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;

    - Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro) ».?

  4. La désignation d’un DPO est obligatoire dans certains cas et par exemple quand le responsable du Traitement est un organisme public ou en cas de Traitement à grande échelle de données de santé (article 37 du RGPD).?

  5. En cas de responsabilité conjointe, les Responsables conjoints doivent déterminer de manière transparente, leurs responsabilités respectives an matière de protection des Données personnelles, y compris celui en charge de la revue de conformité. Le Responsable conjoint qui n’est pas en charge de cette revue doit néanmoins documenter le fait que la revue a été effectuée par l’autre Responsable conjoint.?

  6. Attention, si un établissement de santé veut confier l’hébergement de Données de Santé à un prestataire tiers, celui-ci doit être hébergeur agréé ou certifié (article L. 1111-8 du Code de la santé publique).?

  7. Le plan d’action doit préciser : (i) les actions devant être mises en œuvre pour garantir la conformité (ii) la (es) Personne(s) en charge de chaque action et (iii) si possible, un délai maximum pour mettre en œuvre les actions.?

  8. Date d’entrée en application du RGPD.?

  9. Article 30 du RGPD.?

  10. Article 5.1.a) du RGPD.?

  11. Article 6 du RGPD.?

  12. NB : le consentement ne peut pas être utilisé comme motif au Traitement s’il y a un lien de subordination (ex. le consentement d’un employé n’est pas considéré comme librement délivré).?

  13. Article 5.1.b) du RGPD.?

  14. Article 6.4 du RGPD.?

  15. Il convient de prendre en compte en particulier si des Catégories particulières de Données personnelles ou des Données personnelles concernant les condamnations pénales et les infractions sont traitées.?

  16. C’est-à-dire des mesures de sécurité techniques et organisationnelles.?

  17. Article 5.1.c) du RGPD.?

  18. Article 5.1.d) du RGPD.?

  19. Article 9.1 du RGPD.?

  20. Article 9.2 du RGPD. Le RGPD énumère une liste limitative de circonstances dans lesquelles ces Données personnelles peuvent être traitées.?

  21. Articles 10 et 87 du RGPD.?

  22. Article 13 du RGPD.?

  23. Dans ce cas, il convient également d’informer sur la logique sous-jacente ainsi que l’importance et les conséquences prévues d’une telle décision.?

  24. Article 14 du RGPD.?

  25. Pour plus d’informations sur les droits des Personnes concernées, veuillez consulter les articles 16 à 23 du RGPD.?

  26. Lorsque la décision est nécessaire au contrat ou fondée sur le consentement, la Personne en charge doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour la sauvegarde des droits et libertés de la Personne concernée.?

  27. Articles 4 (11) et 7 du RGPD.?

  28. Article 32 du RGPD. Ces mesures doivent être définies en prenant en compte l’état des connaissances, les coûts de mise en œuvre, la nature, la portée, le contexte et les finalités du Traitement ainsi que les risques, dont le degré de probabilité et de gravité varie, que présente le Traitement pour les droits et libertés des Personnes concernées.?

  29. Un document relatif à la sécurité des données est mis en ligne par la CNIL à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf?

  30. C’est-à-dire une obligation légale de conserver les informations ou une limitation légale de la durée pour des procédures judiciaires/prescription.?

  31. Article R. 1112-7 du Code de la Santé Publique.?

  32. Article 28 du RGPD.?

  33. États membres de l’UE, la Norvège, l’Islande et le Liechtenstein.?

  34. Article 44 à 49 du RGPD.?

  35. Article 30 du RGPD.?

  36. https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf?

  37. Article 54 de la loi Informatique et liberté.?

  38. Article 35 du RGPD.?

  39. G29, WP 248 rev.01, Lignes directrices sur l’AIPD, adoptées le 4 Avril 2017 et révisées le 4 Octobre 2017.?

  40. https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf?

  41. https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil?

  42. Article (4) 21 du RGPD.?

  43. Article 9 du RGPD.?

  44. Article 4 (1) du RGPD.?

  45. Article 10 du RGPD.?

  46. Article 4 (9) du RGPD.?

  47. Lignes directrices concernant l’Analyse d’Impact relative à la Protection des Données (IAPD) et déterminant si le traitement est « susceptible d’engendrer un risqué élevé » aux fins du Règlement 2016/679 dans sa dernière version révisée et adoptée le 4 octobre 2017.?

  48. Article 4 (2) du RGPD.?

Cette réponse vous paraît-elle utile ?
Date de parution : 04/06/2019

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Atteindre les prérequis HOP'EN (Méthode).

Vous êtes perdu ?

go_to_top

Vous êtes actuellement sur la page consacrée à Atteindre les prérequis HOP'EN (Méthode).

Vous êtes perdu ?