Articles

RGPD

RGPD et professionnels de santé

Le 25 mai 2018, le règlement européen (RGPD) est entré en application. De nombreuses formalités disparaissent. En contrepartie, la responsabilité des organismes est renforcée.

Ce règlement européen sur la protection des données poursuit notamment comme objectifs de renforcer les droits des personnes et de responsabiliser les acteurs.

Le RGPD prévoit un allègement des obligations en matière de formalités préalables. La logique de formalités préalables laisse la place à celle de responsabilisation des acteurs.

En contrepartie de la suppression de certaines formalités, le responsable de traitement doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises (principe d’accountability).

Il faudra notamment :

  • mettre en place un registre des traitements (outil recensant l’ensemble des traitements mis en œuvre dans votre structure).
  • mener des analyses d’impact pour les traitements considérés comme présentant « un risque élevé » pour les personnes.
  • veiller à encadrer l’information des personnes concernées (patients, fournisseurs, étudiants, usagers, etc.) et s’assurer de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.).
  • formaliser les rôles et responsabilités du responsable de traitement.
  • lorsque cela est obligatoire, désigner un délégué à la protection des données (DPO).
  • renseigner les actions menées pour garantir la sécurité des données ;
  • Etc.

RGPD et le monde de la santé

D’après un document de travail élaboré par le G29 en 2007 une donnée de santé est : « une donnée en relation étroite avec l’état de santé de la personne telle qu’une information sur la consommation d’alcool, de drogues ou de médicaments doit être considérée comme une donnée de santé… » Un autre projet de loi portant sur la protection de données étend encore cette définition en précisant qu’une donnée de santé est : « toute information relative à la santé physique ou mentale d’une personne… ».

La fréquence cardiaque, le groupe sanguin, les données génétiques, les informations sur les handicaps, toutes ces informations sont des données de santé, donc des données sensibles. Il existe néanmoins des données qui ne sont pas par nature des données de santé, mais qui, lorsque croisées avec d’autres données, permettent de faire des déductions sur l’état de santé d’une personne : la relation entre le nombre de pas réalisé par un individu avec son âge, ses habitudes alimentaires ou encore son sexe, l’association du poids et de la taille qui donne l’IMC. Ces données sont considérées comme des données de santé.

Enfin, seront également considérées comme des données de santé par destination, toutes données utilisées à des fins médicales

Sécurité des données de santé

Avec l’informatisation croissante, les données de santé sont de plus en plus exposées

De nouvelles informations sur la Sécurité informatique

Le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abroge la directive 95/46/CE (règlement général sur la protection des données)

http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX%3A32016R0679&from=FR

Son statut de “règlement”, contrairement à celui de “directive”, le rend directement applicable à l’ensemble des Etats membres de l’Union européenne (UE) à compter du 25 mai 2018

Le nouveau règlement européen prévoit désormais qu’il s’agit de “données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne”.

Il précise qu’elles comprennent “toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro”.

NB : Cf. le médecin radiologue N° 390 avril 2016

Informatique: sécurité des données de santé 2018

Entrée en application de la nouvelle réglementation sur la protection des données personnelles : qu’est-ce qui change ?

Le RGPD prévoit un allègement des obligations en matière de formalités préalables. La logique de formalités préalables laisse la place à celle de responsabilisation des acteurs.

En contrepartie de la suppression de certaines formalités, le responsable de traitement doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises (principe d’accountability).

Il faudra notamment :

  • mettre en place un registre des traitements
  • mener des analyses d’impact
  • veiller à encadrer l’information des personnes
  • formaliser les rôles et responsabilités du responsable de traitement.
  • lorsque cela est obligatoire, désigner un délégué à la protection des données (DPO).
  • renseigner les actions menées pour garantir la sécurité des données ;
  • Etc.