Une délibération du 11 octobre 2018 a mis en avant le fait que les établissements médico-sociaux sont obligés de se conformer au règlement européen et d’effectuer une analyse d’impact dans le cadre des traitements de données de santé. Ceux qui ne sont pas des établissements médico-sociaux doivent faire une AIPD à partir du moment où le traitement de données santé apparaît dans la liste établie par le nouveau règlement européen.
En quoi consiste les analyses d’impact dans les opérations de traitement de données ?
Une analyse d’impact RGPD sur la protection des données à caractère personnel est une étude de dangers relatifs à un traitement en particulier. Ce n’est pas vraiment une obligation par contre, elle est recommandée par le nouveau règlement dès lors que les traitements peuvent provoquer un risque accru pour le respect de la vie privée des personnes concernées. C’est l’article 35-1 du règlement relatif à la protection des données des personnes physiques qui la met en avant.
Dans quels cas les établissements socio-médicaux doivent être mis en conformité RGPD ?
Le RGPD met en avant 3 situations dans lesquelles une analyse doit être faite pour le traitement des données à caractère personnel. Il insiste aussi sur le fait que les autorités de contrôle doivent montrer des exemples où il s’avère nécessaire de faire une analyse des risques. Ces 3 situations sont les suivantes :
- Le suivi régulier et systématique pour la collecte de données à grande échelle ;
- Le traitement à l’international de catégories spécifiques de données personnelles ;
- L’examen approfondi d’ordre personnel des données des individus pouvant produire des effets juridiques.
Obligations de conformité et sanctions du non-respect de l’analyse d’impact RGPD
L’analyse d’impact demeure bien évidemment une contrainte pour la majorité des sociétés et des organismes qui vont procéder au traitement des données. Mais c’est une excellente opportunité à saisir juridiquement parlant.
Les entreprises et les établissements médico-sociaux vont diminuer les inquiétudes de leurs patients ou clients en ce qui concerne l’usage de leurs données privées. Elle propose aussi un cadre de travail strict afin de se conformer à toutes les directives et les exigences RGPD. Enfin, l’analyse d’impact est une preuve de professionnalisme incontestable.
Etant une obligation lorsque l’autorité de contrôle et de gestion l’exige ou lorsque le traitement se fait sur des données sensibles, la non-réalisation de l’étude d’impact est passible de sanctions et de condamnations de l’ordre de 2% du CA mondial. Il ne faut donc pas négliger cette analyse de risques.
Les divers traitements nécessitant la protection de la vie privée des personnes concernées
Tout traitement de données doit respecter les droits des personnes. Il est de la responsabilité du DPO, du sous-traitant et des responsables de traitement d’assurer la sécurité des données. Afin de se protéger contre les violations de données donc, la CNIL a mis en place une liste validée par le Comité européen assurant la protection des personnes physiques.
Ce présent règlement se veut d’assurer la conformité des traitements de données. En tout, il y a 14 traitements qui sont mis en avant mais 6 concernent surtout le secteur de la santé dont :
- Le traitement ayant pour finalité un suivi social ou médico-social ;
- Le traitement des informations sur la santé pour prendre en charge des individus ;
- Le traitement sur les données sensibles de personnes vulnérables ;
- Le traitement des données biométriques ;
- Le traitement de toutes les données de santé requérant un registre rgpd.
Les personnes vulnérables sont surtout les patients, les enfants et les personnes âgées.
Que doit effectuer un établissement médico-social pour empêcher la violation de données ?
Bien avant le commencement du traitement, un établissement médico-social doit tout d’abord faire une AIPD. Dans les nouvelles obligations RGPD, cela est indiqué dans le principe Privacy by Design : tout établissement doit faire une analyse avant de mettre en place un traitement.
C’est l’article 35-7 du RGPD qui annonce les diverses mesures à prendre. L’analyse d’impact relative à la protection des données personnelles doit faire une description de toutes les actions qui sont relatives au traitement voulu, ses objectifs et prouver l’intérêt qu’a l’entreprise de faire ce traitement.
La mise en place d’une évaluation des risques pour le traitement des données de santé
Le RGPD impose que la collecte des données soit faite de manière minutieuse afin de garantir la protection de la vie privée des personnes concernées. L’analyse d’impact grâce à un logiciel pia doit ainsi démontrer la nécessité du traitement et sa proportionnalité dépendamment des finalités que vous recherchez. Il est aussi important d’évaluer les risques quant aux traitements des données. Si des risques subsistent, aussi infimes soient-ils alors il est recommandé de consulter l’autorité de contrôle.
Attention, même dans le cas de l’étude de données de santé ou de création de fichiers, l’établissement doit effectuer une analyse d’impact. Le CEPD a mis en place 9 critères pour lesquels il est important de faire une analyse d’impact. Si deux au moins des critères sont réunis (usage de nouvelles technologies, données de santé…) une AIPD doit être effectuée. Ce sera le délégué à la protection des données personnelles qui devra mener cette étude.
Mais comment alerter les personnes concernées sur le traitement de leurs données ?
Les professionnels de santé agissant pour le compte du responsable de traitement, doivent donner des informations aux personnes dont les données sont utilisées. Ces informations doivent être claires, transparentes et facilement accessibles. Ces informations doivent aussi s’adapter à l’âge de la personne, sa pathologie, et les circonstances dans lesquelles les données sont collectées.
Dans le cas d’un enfant mineur, les parents ou le tuteur seront informés du traitement de données de santé par rapport à l’enfant mineur. Lui-même va recevoir des informations spéciales. Dans certaines conditions le mineur peut donner son opposition à ce que les détenteurs de l’autorité parentale ne soient pas alertés.
