Quelles démarches CNIL pour quelle modification du traitement de données de santé

24 juin 2024 - 13:20,

Tribune

- Alice Robert et Alexandre Fievee
DécryptageSécuritéE-santé
Nul n’ignore que certains traitements de données de santé doivent faire l’objet, avant leur mise en œuvre, d’une formalité CNIL. Mais saviez-vous qu’une modification d’un traitement, ayant fait l’objet d’une telle formalité, peut justifier une nouvelle formalité ? C’est ce que vient de nous préciser la CNIL dans un communiqué publié le 13 juin dernier. 

 Par Alice Robert et Alexandre Fievee, Derriennic Associés

Quelles formalités initiales ?

Pour connaître la formalité auquel un traitement de données santé est soumis, il convient de se reporter à la loi Informatique et Libertés[1].

Les formalités sont de deux ordres : soit le traitement répond aux exigences d’un référentiel établi par la CNIL, et, dans ce cas, un engagement de conformité suffit ; soit le traitement n’y répond pas ou ne peut être rattaché à aucun référentiel, et, dans ce cas, une demande d’autorisation s’impose. 

Quelles modifications peuvent justifier une nouvelle formalité ? 

Selon la CNIL, seule une modification « substantielle » – par opposition à la modification « non-substantielle » - du traitement doit faire l’objet d’une nouvelle démarche.

Afin de guider les responsables du traitement dans leurs démarches, la CNIL a proposé un tableau recensant les modifications les plus fréquentes. Extrait : 

Quelle nouvelle formalité en cas de modification substantielle ? 

Si le traitement avait été mis en œuvre dans le cadre d’engagement de conformité à un référentiel et que la modification « substantielle » n’affecte pas la conformité du traitement à ce référentiel, aucune démarche auprès de la CNIL n’est nécessaire. En revanche, si la modification « substantielle » affecte la conformité du traitement à ce référentiel, une demande d’autorisation auprès de la CNIL s’impose. 

Si le traitement avait été mis en œuvre après une autorisation de la CNIL et que la modification « substantielle » rend le traitement conforme au référentiel dédié à ce type de traitement, un engagement de conformité suffit. En revanche, la modification « substantielle » ne rend pas le traitement conforme à ce référentiel, une demande de modification de l’autorisation auprès de la CNIL s’impose. 

A vous de jouer !

[1] https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante 

Source : https://www.cnil.fr/fr/modifications-des-traitements-de-donnees-soumis-formalites-quelles-demarches

# démarches# engagement de conformité# autorisation# modification substantielle# formalités# traitement de données de santé# conformité# référentiel# CNIL

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie