Publication d’un mémento sur la protection des données personnelles à l’usage du directeur d’établissements

Après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 et la promulgation le 20 juin 2018 de la loi relative à la protection des données personnelles, la Direction générale de l’offre de soins (DGOS) a publié un « Mémento RGPD de sensibilisation au règlement général sur la protection des données à l’usage du directeur d’établissements ». 

Il s’agit d’un complément au « mémento cybersécurité » édité par la DGOS fin 2017, qui a pour objectif « d’éclairer les décideurs sur les conséquences, pour les établissements de santé́, de ce nouveau contexte règlementaire et d’en préciser les enjeux. ».

C’est ainsi que Cécile Courrèges, Directrice générale de la DGOS, introduit ce mémento en relevant que « Dans un environnement où la numérisation s’accélère et devient omniprésente, de nouveaux risques apparaissent. Il est donc essentiel d’entre en situation de pouvoir les comprendre, les évaluer afin de mieux les maitriser. Les méthodes et outils de la sécurité́ numérique ne manquent pas, mais ils perdent toute efficacité s’ils ne sont pas soutenus en permanence. Les promouvoir et accompagner leur mise en œuvre relève de la responsabilité́ des établissements de santé́ et notamment de celle de leurs managers ».

Ce mémento élaboré pour directeurs d’établissements, publics et privés, de santé donne les éléments clés à respecter pour se mettre en conformité avec le RGPD.

Il s’agit d’un ouvrage synthétique, axé sur les quatre thématiques suivantes :

- RGPD : les notions – clés :

• Qu’est-ce qu’une donnée à caractère personnel ?
• Zoom sur les données de santé ;
• Qui est responsable de traitement au sein d’un établissement de santé ?

- Rôle du DPO :

• Le délégué à la protection des données aussi appelé DPO (Data protection officer) ;
• Comment choisir votre DPO ?

- La responsabilisation des acteurs :

• Le RGPD : une logique de responsabilisation des acteurs ;
• La tenue du registre des traitements ;
• Que sont les analyses d’impacts sur la vie privée (AIPD) ?
• Quel contrat avec les sous-traitants ? 

- Contrôle et sécurité des données personnelles :

• Le RGPD renforce le contrôle par les usagers de leurs données personnelles ;
• Sécuriser les données personnelles en votre possession.

Ce mémento consacre en outre un chapitre à un quizz destiné à savoir si l’établissement du lecteur de cet ouvrage est prêt à se mettre en conformité au RGPD.
Des liens sont en outre communiqués aux lecteurs de ce mémento afin de leur permettre d’approfondir certains thèmes.

A destination d’opérationnels, ce mémento apporte les définitions et les conseils de bonnes pratiques nécessaires à une mise en conformité réussie des établissements de santé au RGPD.

S’il est regrettable qu’il ait fallu attendre fin mars 2019 pour que les professionnels bénéficient de cet outil, il n’en demeure pas moins qu’il dispose de tous les atouts pour permettre d’informer les opérationnels sur les conséquences pour leurs établissements du RGPD et de ses enjeux.

Selon la DGOS, ce mémento sera « prochainement » complété par la publication d’un guide d’évaluation du risque numérique en établissement de santé.

Une nouvelle étape se profile donc pour permettre aux établissements de santé d’assurer une protection optimale des données dont ils disposent.

L'auteur 

Me Myriam Traverse
Avocat à la Cour
Selarl Yahia Avocats
www.yahia-avocats.fr