Une délibération du 11 octobre 2018 a mis en avant le fait que les établissements médico-sociaux sont obligés de se conformer au règlement européen et d’effectuer une analyse d’impact dans le cadre des traitements de données de santé. Ceux qui ne sont pas des établissements médico-sociaux doivent faire une AIPD à partir du moment où le traitement de données santé apparaît dans la liste établie par le nouveau règlement européen.
Une analyse d’impact RGPD sur la protection des données à caractère personnel est une étude de dangers relatifs à un traitement en particulier. Ce n’est pas vraiment une obligation par contre, elle est recommandée par le nouveau règlement dès lors que les traitements peuvent provoquer un risque accru pour le respect de la vie privée des personnes concernées. C’est l’article 35-1 du règlement relatif à la protection des données des personnes physiques qui la met en avant.
Le RGPD met en avant 3 situations dans lesquelles une analyse doit être faite pour le traitement des données à caractère personnel. Il insiste aussi sur le fait que les autorités de contrôle doivent montrer des exemples où il s’avère nécessaire de faire une analyse des risques. Ces 3 situations sont les suivantes :
L’analyse d’impact demeure bien évidemment une contrainte pour la majorité des sociétés et des organismes qui vont procéder au traitement des données. Mais c’est une excellente opportunité à saisir juridiquement parlant.
Les entreprises et les établissements médico-sociaux vont diminuer les inquiétudes de leurs patients ou clients en ce qui concerne l’usage de leurs données privées. Elle propose aussi un cadre de travail strict afin de se conformer à toutes les directives et les exigences RGPD. Enfin, l’analyse d’impact est une preuve de professionnalisme incontestable.
Etant une obligation lorsque l’autorité de contrôle et de gestion l’exige ou lorsque le traitement se fait sur des données sensibles, la non-réalisation de l’étude d’impact est passible de sanctions et de condamnations de l’ordre de 2% du CA mondial. Il ne faut donc pas négliger cette analyse de risques.
Tout traitement de données doit respecter les droits des personnes. Il est de la responsabilité du DPO, du sous-traitant et des responsables de traitement d’assurer la sécurité des données. Afin de se protéger contre les violations de données donc, la CNIL a mis en place une liste validée par le Comité européen assurant la protection des personnes physiques.
Ce présent règlement se veut d’assurer la conformité des traitements de données. En tout, il y a 14 traitements qui sont mis en avant mais 6 concernent surtout le secteur de la santé dont :
Les personnes vulnérables sont surtout les patients, les enfants et les personnes âgées.
Bien avant le commencement du traitement, un établissement médico-social doit tout d’abord faire une AIPD. Dans les nouvelles obligations RGPD, cela est indiqué dans le principe Privacy by Design : tout établissement doit faire une analyse avant de mettre en place un traitement.
C’est l’article 35-7 du RGPD qui annonce les diverses mesures à prendre. L’analyse d’impact relative à la protection des données personnelles doit faire une description de toutes les actions qui sont relatives au traitement voulu, ses objectifs et prouver l’intérêt qu’a l’entreprise de faire ce traitement.
Le RGPD impose que la collecte des données soit faite de manière minutieuse afin de garantir la protection de la vie privée des personnes concernées. L’analyse d’impact grâce à un logiciel pia doit ainsi démontrer la nécessité du traitement et sa proportionnalité dépendamment des finalités que vous recherchez. Il est aussi important d’évaluer les risques quant aux traitements des données. Si des risques subsistent, aussi infimes soient-ils alors il est recommandé de consulter l’autorité de contrôle.
Attention, même dans le cas de l’étude de données de santé ou de création de fichiers, l’établissement doit effectuer une analyse d’impact. Le CEPD a mis en place 9 critères pour lesquels il est important de faire une analyse d’impact. Si deux au moins des critères sont réunis (usage de nouvelles technologies, données de santé…) une AIPD doit être effectuée. Ce sera le délégué à la protection des données personnelles qui devra mener cette étude.
Les professionnels de santé agissant pour le compte du responsable de traitement, doivent donner des informations aux personnes dont les données sont utilisées. Ces informations doivent être claires, transparentes et facilement accessibles. Ces informations doivent aussi s’adapter à l’âge de la personne, sa pathologie, et les circonstances dans lesquelles les données sont collectées.
Dans le cas d’un enfant mineur, les parents ou le tuteur seront informés du traitement de données de santé par rapport à l’enfant mineur. Lui-même va recevoir des informations spéciales. Dans certaines conditions le mineur peut donner son opposition à ce que les détenteurs de l’autorité parentale ne soient pas alertés.
1-3 rue de Caumartin
75009 Paris
+33(0)1 55 06 16 86