Publicité en cours de chargement...

RGPD : première analyse des experts d’Itrust

18 avril 2017 - 11:32,
Actualité - DSIH, Marie-Valentine Bellanger
Impacts sur l’environnement technique, humain et organisationnel gravitant autour des données de santé à caractère personnel, rôle et responsabilités du Data Protection Officer (DPO), adaptation de l’offre industrielle sont quelques-uns des thèmes introduits par le règlement général sur la protection des données (RGPD). Benjamin Benifei, juriste-conseil, et Yasmina Janati, responsable Gouvernance SSI et consultante chez Itrust, décryptent leurs conséquences sur les établissements de santé.

Quels sont les principaux impacts du RGPD sur les données de santé traitées et hébergées au sein des établissements ?

Contrairement aux normes antérieures, notamment le règlement 95/46/CE, le RGPD définit « les données concernant la santé ». Cette définition se veut très générale (article 4, alinéa 15) et s’applique aux « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Il impose donc de se doter de critères pour faciliter l’identification des données de santé. Les établissements de santé gèrent quotidiennement des données telles que le numéro de sécurité sociale, les prescriptions, les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques. Le RGPD a de nombreuses conséquences :

  • Le DPO, délégué à la protection des données, devient obligatoire pour certains organismes, et recommandé dans tous les cas ;
  • Les déclarations à la Cnil disparaissent sous leur forme actuelle, le règlement reposant sur la conformité et la responsabilisation des acteurs ;
  • La mise en œuvre d’un registre des traitements permettant de disposer d’une cartographie précise des données personnelles au sein d’un organisme est obligatoire ;
  • Plus de transparence et un consentement renforcé par la mise à disposition d’une information claire, intelligible et aisément accessible aux patients sont recherchés ;
  • L’accountability comme principe essentiel de la protection des données rend nécessaire la documentation ;
  • L’élargissement de la responsabilité des sous-traitants est à intégrer dans les contrats : objet et durée du traitement de données à caractère personnel, nature et finalité du traitement, obligations de sécurité, d’avertissement et d’alerte envers le responsable du traitement.

Pour information, la Cnil a publié fin mars son bilan pour l’année 2016. Elle y rappelle que la loi pour une République numérique du 7 octobre 2016 complète la loi Informatique et Libertés et précise que le montant maximal des sanctions a été multiplié par 20 et peut atteindre désormais 3 millions d’euros suivant le type d’infraction. Ce niveau de sanction sera à nouveau renforcé lors de l’entrée en application du RGPD, puisque les sanctions pourront aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial consolidé.

Quelles vont être les principales missions du DPO, remplaçant annoncé du CIL avec de nouveaux « pouvoirs » ?

Le groupe des « Cnil européennes », le G29, a apporté des précisions sur le nouveau rôle du DPO. Au cœur des dispositions du RGPD, il doit travailler en toute indépendance. Avec un rôle central dans la politique de conformité d’un établissement, il devra contrôler la conformité avec le RGPD, mais le responsable de traitement ou le sous-traitant demeureront responsables de la conformité avec la loi. Pour l’aider dans leur mission, le DPO d’un établissement devra se doter de critères pour faciliter l’identification des données de santé. D’un point de vue pratique, le DPO devra être facilement accessible pour répondre aux questions sur les données à caractère personnel, que la fonction soit occupée par une personne interne à l’organisme ou non. Ses coordonnées doivent être publiées, et son rôle de pédagogue est essentiel. La tenue du registre des traitements sera généralement portée par les responsables de traitement, mais rien n’interdit que cette mission soit confiée au DPO. En particulier, il sera chargé des tâches suivantes :

  • Informer et conseiller les responsables de traitement sur les obligations relatives au RGPD ;
  • Vérifier l’exécution d’analyses d’impact (études d’impact sur la vie privée) et s’impliquer dans le processus d’analyse où il peut prodiguer des conseils ;
  • Faire office de point de contact avec la Cnil et coopérer avec elle ;
  • Déclarer toute violation des données à caractère personnel.

Le DPO devra aussi être associé dès le début des projets, dans le cadre du Privacy by Design, pour que soit prise en compte la protection des données dès la conception d’un produit ou d’un service.

Comment Itrust adapte sa gamme de solutions aux nouvelles obligations induites par le RGPD ?

ITrust propose plusieurs prestations visant à former les entreprises et à les aider à adopter une démarche respectueuse du RGPD grâce à des expertises juridique, organisationnelle et technique. Son objectif est d’accompagner ses clients à être conformes au règlement d’ici au 25 mai 2018, date d’entrée en application des nouvelles règles. ITrust mène à bien des formations au RGPD adaptées, avec des cours magistraux et des mises en pratique via des ateliers interactifs. Il réalise des audits de conformité permettant de faire un état des lieux sur le respect des exigences du RGPD, à la suite duquel il propose un plan d’action conjoint pour la mise en conformité. Enfin, il améliore ses outils pour que ses clients puissent gérer la sécurité des équipements qui contiennent des données à caractère personnel. IKare peut être utilisé pour automatiser les audits de vulnérabilité sur les équipements contenant des données personnelles, facilement identifiables dans son paramétrage.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.