L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    

    Acteurs

    Protection des données personnelles: ce que change le RGPD pour les acteurs de santé

    PARIS (TICpharma) - Le règlement général européen relatif à la protection des données personnelles (RGPD), qui est entré en vigueur le 25 mai, prévoit plusieurs nouvelles obligations qui s'appliquent à tous les acteurs traitant des données personnelles à grande échelle, dont les données de santé.

    Le RGPD s'applique dans l'ensemble des Etats membres de l'Union européenne (UE).

    Afin d'adapter le droit français à ces nouvelles dispositions, le Parlement a adopté un projet de loi qui réécrit une partie de la loi informatique et libertés du 6 janvier 1978, rappelle-t-on (voir dépêche du 16 mai 2018). Le texte fait actuellement l'objet d'une saisine du Conseil constitutionnel.

    Tous les acteurs de santé (établissements sanitaire et médico-sociaux, institutionnels, industriels pharmaceutiques et du dispositif médical, start-up en santé) sont concernés par le RGPD en tant que responsables de traitement de données personnelles.

    Le règlement européen porte sur l'ensemble des données personnelles issues des activités d'une structure de santé, et pas uniquement sur les données de santé générées pour la prise en charge des patients ou la recherche. Cela s'applique notamment aux données sur les ressources humaines.

    L'objectif du RGPD est de "responsabiliser" les opérateurs de traitements en leur imposant de nouvelles obligations et en privilégiant des contrôles sur site a posteriori plutôt qu'en amont de la mise en place des traitements de données.

    • Une définition unique des données de santé à l'échelle européenne

    Le RGPD instaure pour la première fois une définition unique des données de santé à l'échelle européenne. Il s'agit des "données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne".

    Elle comprennent "toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro".

    Les données génétiques et biométriques sont également incluses dans le périmètre des données sensibles.

    • Nomination obligatoire d'un DPO

    Tout établissement public et toute structure traitant à grande échelle des données sensibles, dont font partie les données de santé, doivent désigner un "délégué à la protection des données" (DPO), qui prend le relai des correspondants informatique et libertés (CIL) dont la nomination était jusqu'ici facultative.

    Ces DPO seront chargés de veiller à l'application du RGPD dans les organismes et seront les interlocuteurs de la Commission nationale de l'informatique et des libertés (Cnil).

    • Nouveaux processus internes

    Le RGPD oblige les opérateurs de traitement de données personnelles à tenir un registre de ces traitements et à documenter leur conformité au règlement afin de pouvoir se justifier auprès de la Cnil en cas de contrôle.

    L'obligation de disposer d'une autorisation délivrée par la Cnil avant la mise en place du traitement reste obligatoire dans certains cas, notamment pour la recherche.

    Avant de réaliser un traitement, les structures doivent mener une analyse d'impact du traitement de données portant sur les risques techniques de sécurité et les risques juridiques pour la vie privée des personnes concernées par les données.

    Le texte instaure l'obligation de signaler auprès de la Cnil des incidents de sécurité impliquant des données personnelles. Pour les établissements de santé, cette obligation s'ajoute à celle du signalement des incidents informatiques grave aux agences régionales de santé (ARS).

    Le RGPD définit une nouvelle notion de privacy by design, c'est-à-dire de protection des données dès la conception du traitement.

    Le règlement prévoit également des obligations spécifiques pour les sous-traitants des opérateurs, lorsque qu'ils traitent des données de santé externalisées par une entreprise ou un établissement de santé.

    • Nouveaux droits

    Le règlement général européen renforce la protection des personnes en instaurant le droit à l'oubli (article 17), le droit à la portabilité des données (article 20), le droit à être informé en cas de piratage des données (articles 33 et 34) et le droit d'être informé "de façon compréhensible et aisément accessible" sur l'utilisation de ces données (articles 12, 13 et 14).

    Il précise les modalités du "consentement clair et explicite" des personnes pour le traitement des données à caractère personnel (article 7), limite le recours au profilage (article 21) et prévoit une protection spéciale pour les mineurs (article 8).

    • Sanctions accentuées

    Le RGPD a augmenté le plafond d'amendes encourues en cas de non-respect des principes de sécurité et de confidentialité des données personnelles.

    Relevé de 150.000 à 3 millions d'euros par la loi "pour une République numérique" en 2016, ce plafond est fixé par le règlement européen à 4% du chiffre d'affaires mondial pour les entreprises et jusqu'à 20 millions d'euros, le montant le plus élevé étant retenu.

    Dans une interview accordée à TICpharma, Valérie Peugeot, commissaire à la Cnil, a estimé que pour les acteurs de santé, "la marche à grimper pour se mettre en conformité avec le RGPD sera moins haute, car ils sont sensibilisés à la question de la sécurité des données de santé depuis longtemps".

    "Le RGPD n'est pas une révolution mais une continuité de la loi informatique et libertés et finalement, [il] fait remonter des sujets vieux de 40 ans en France", a-t-elle noté.

    La Cnil a précisé qu'il y aura "une période de souplesse de trois ans" sur la prise de sanction en cas de non-conformité au règlement.

    Le règlement général européen

    Raphael Moreaux

    À suivre

    Mounir Mahjoubi va lancer des "états généraux des régulations du numérique"

    Acteurs

    Les CIL/DPO entre gendarmes et coach de la protection des données

    PARIS (TICpharma) - Assurer la conformité des traitements de données personnelles, sensibiliser les collaborateurs, préparer l'entrée en vigueur du règlement général européen tout en faisant le lien entre impératifs techniques et juridiques: trois correspondants informatique et liberté (CIL) d'industries de santé ont fait part à TICpharma des défis rencontrés au quotidien dans cette fonction en pleine évolution.

    0 151

    Solutions

    "La DSI a besoin d'être plus visible au sein des industries de santé" (association Cedhys)

    PARIS (TICpharma) - Pierre-Yves Colin, président du Centre d'études dans les domaines de l'hygiène et de la santé (Cedhys), qui rassemble des directeurs informatiques du secteur de la santé, détaille dans un entretien à TICpharma le programme de travail de l'association pour 2018 et livre son analyse de l'évolution des métiers IT dans la filière industrielle.

    0 238

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    3 + 9 =