RGPD : première analyse des experts d’Itrust

Quels sont les principaux impacts du RGPD sur les données de santé traitées et hébergées au sein des établissements ?

Contrairement aux normes antérieures, notamment le règlement 95/46/CE, le RGPD définit « les données concernant la santé ». Cette définition se veut très générale (article 4, alinéa 15) et s’applique aux « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Il impose donc de se doter de critères pour faciliter l’identification des données de santé. Les établissements de santé gèrent quotidiennement des données telles que le numéro de sécurité sociale, les prescriptions, les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques. Le RGPD a de nombreuses conséquences :

• Le DPO, délégué à la protection des données, devient obligatoire pour certains organismes, et recommandé dans tous les cas ;
• Les déclarations à la Cnil disparaissent sous leur forme actuelle, le règlement reposant sur la conformité et la responsabilisation des acteurs ;
• La mise en œuvre d’un registre des traitements permettant de disposer d’une cartographie précise des données personnelles au sein d’un organisme est obligatoire ;
• Plus de transparence et un consentement renforcé par la mise à disposition d’une information claire, intelligible et aisément accessible aux patients sont recherchés ;
• L’accountability comme principe essentiel de la protection des données rend nécessaire la documentation ;
• L’élargissement de la responsabilité des sous-traitants est à intégrer dans les contrats : objet et durée du traitement de données à caractère personnel, nature et finalité du traitement, obligations de sécurité, d’avertissement et d’alerte envers le responsable du traitement.

Pour information, la Cnil a publié fin mars son bilan pour l’année 2016. Elle y rappelle que la loi pour une République numérique du 7 octobre 2016 complète la loi Informatique et Libertés et précise que le montant maximal des sanctions a été multiplié par 20 et peut atteindre désormais 3 millions d’euros suivant le type d’infraction. Ce niveau de sanction sera à nouveau renforcé lors de l’entrée en application du RGPD, puisque les sanctions pourront aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial consolidé.

Quelles vont être les principales missions du DPO, remplaçant annoncé du CIL avec de nouveaux « pouvoirs » ?

Le groupe des « Cnil européennes », le G29, a apporté des précisions sur le nouveau rôle du DPO. Au cœur des dispositions du RGPD, il doit travailler en toute indépendance. Avec un rôle central dans la politique de conformité d’un établissement, il devra contrôler la conformité avec le RGPD, mais le responsable de traitement ou le sous-traitant demeureront responsables de la conformité avec la loi. Pour l’aider dans leur mission, le DPO d’un établissement devra se doter de critères pour faciliter l’identification des données de santé. D’un point de vue pratique, le DPO devra être facilement accessible pour répondre aux questions sur les données à caractère personnel, que la fonction soit occupée par une personne interne à l’organisme ou non. Ses coordonnées doivent être publiées, et son rôle de pédagogue est essentiel. La tenue du registre des traitements sera généralement portée par les responsables de traitement, mais rien n’interdit que cette mission soit confiée au DPO. En particulier, il sera chargé des tâches suivantes :

• Informer et conseiller les responsables de traitement sur les obligations relatives au RGPD ;
• Vérifier l’exécution d’analyses d’impact (études d’impact sur la vie privée) et s’impliquer dans le processus d’analyse où il peut prodiguer des conseils ;
• Faire office de point de contact avec la Cnil et coopérer avec elle ;
• Déclarer toute violation des données à caractère personnel.

Le DPO devra aussi être associé dès le début des projets, dans le cadre du Privacy by Design, pour que soit prise en compte la protection des données dès la conception d’un produit ou d’un service.

Comment Itrust adapte sa gamme de solutions aux nouvelles obligations induites par le RGPD ?

ITrust propose plusieurs prestations visant à former les entreprises et à les aider à adopter une démarche respectueuse du RGPD grâce à des expertises juridique, organisationnelle et technique. Son objectif est d’accompagner ses clients à être conformes au règlement d’ici au 25 mai 2018, date d’entrée en application des nouvelles règles. ITrust mène à bien des formations au RGPD adaptées, avec des cours magistraux et des mises en pratique via des ateliers interactifs. Il réalise des audits de conformité permettant de faire un état des lieux sur le respect des exigences du RGPD, à la suite duquel il propose un plan d’action conjoint pour la mise en conformité. Enfin, il améliore ses outils pour que ses clients puissent gérer la sécurité des équipements qui contiennent des données à caractère personnel. IKare peut être utilisé pour automatiser les audits de vulnérabilité sur les équipements contenant des données personnelles, facilement identifiables dans son paramétrage.