Benchmark des Plateformes de Gestion de la…
Qu’est-ce que le Règlement Général de Protection des Données personnelles (RGPD) ?
Consciente de l’enjeu que représente la protection des données à caractère personnel, l’Union Européenne a promulgué en avril 2016 le règlement 2016/679, dont l’entrée en application à compter du 25 mai 2018 marquera l’avènement d’une réglementation plus stricte, adaptée aux nouveaux usages du numérique et d’un cadre juridique unifié.
Les structures auxquelles s’appliquent les dispositions du RGPD devront intégrer trois évolutions majeures par rapport aux exigences des législations actuellement en vigueur :
Le champ d’application du règlement est large : il concerne toutes les organisations traitant ou sous-traitant des données à caractère personnel dans le cadre d’activités exercées sur le territoire de l’UE ou concernant ses ressortissants[1]. Par données à caractère personnel, il est entendu « toute information se rapportant à une personne physique identifiée ou identifiable »[2].
Les données à caractère personnel concernant la santé comprennent l’ensemble des données révélant des informations sur l’état de santé physique ou mentale passé, présent ou futur d’une personne, quelle que soit la source dont proviennent ces données.
Les données de santé constituent une catégorie particulière de données à caractère personnel, dans le sens où elles correspondent à des données sensibles du point de vue des libertés et des droits fondamentaux. Elles méritent de fait une protection spécifique, même si des dérogations sont prévues « lorsque l’intérêt public le commande ».
Ainsi, le traitement des données concernant la santé est a priori interdit[3], à moins qu’il ne poursuive les fins suivantes :
Le traitement des données de santé est donc permis sur un périmètre beaucoup plus restreint que celui de la plupart des données à caractère personnel. Ces données ne sauraient par exemple être exploitées à des fins commerciales.
En revanche, le traitement des données de santé, lorsqu’il est autorisé, bénéficie de certaines exemptions, dont ne bénéficie pas le traitement des autres types de données à caractère personnel.
Les dérogations citées plus haut n’épargneront cependant pas les acteurs de la santé de faire évoluer leurs processus organisationnels. Le RGPD impose en effet des contraintes en matière de formalisme et de gouvernance.
Concernant le formalisme, une documentation technique et juridique devra être produite par les organisations. L’inversion de la charge de la preuve, combinée aux exigences relatives à la protection des données dès la conception et par défaut, implique la production d’une documentation technique adéquate. Le mécanisme de certification approuvé par le règlement[4] exige la mise en place de formats de reporting permettant son obtention. Si l’analyse d’impact prévue à l’article 35 du RGPD ne représente pas une obligation dans le cas précis des données de santé, les Etats membres peuvent tout de même demander à ce qu’une organisation obtienne, préalablement au traitement, une autorisation de l’autorité de contrôle désignée (dans le cas français, la CNIL).
Par ailleurs, le principe affirmé de coresponsabilité entre l’organisation et un sous-traitant dans le cadre d’une activité de traitement des données à caractère personnel peut entraîner une modification de la documentation juridique. Les clauses contractuelles liant l’organisation et son prestataire devront évoluer.
Concernant la gouvernance, la désignation d’un délégué à la protection (DPD) des données est obligatoire dans le cadre de tout traitement effectué par une autorité publique ou un organisme public[5]. Son périmètre est plus large que celui du CIL (Correspondant Informatique et Libertés) : ce délégué représente non seulement le point de contact entre l’organisation et l’autorité de contrôle, mais il doit en plus interagir avec tous les responsables de traitement et a pour mission d’informer, de conseiller et d’encadrer les collaborateurs dans le cadre de leurs activités impactées par le RGPD.
Le règlement précise que « lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ». Ainsi, la désignation du DPD doit s’inscrire dans la réflexion sur la constitution des Groupements Hospitaliers de Territoires (GHT). En effet, la désignation d’un DPD unique pour l’ensemble des établissements du GHT, qui disposerait donc d’une vision complète des problématiques et des pratiques en matière de traitement de données, peut amener à une résolution de ces enjeux et à une harmonisation de ces pratiques.
La mise en œuvre du RGPD ne se limitera pas toutefois à la désignation d’un nouveau référent, elle correspond également une extension du périmètre d’activité des fonctions de contrôle et induit donc un changement culturel au sein de l’organisation : les rôles de la direction juridique, de la DSI, de la DRH pour ce qui concerne les données des salariés, sont également amenés à évoluer. Ce changement est à répercuter par le management – médical, soignant et administratif pour les acteurs hospitaliers.
En synthèse, si les données de santé relèvent d’une catégorie particulière des données à caractère personnel, leur traitement par les acteurs de santé – autorisé en vertu de l’article 9 du RGPD – est soumis à de nouvelles contraintes réglementaires. Ces contraintes se traduisent essentiellement en termes de procédures, de pratiques et de gouvernance, la nomination d’un délégué à la protection des données représentant un enjeu particulier dans le cadre de la constitution d’un GHT.
Une réflexion reste donc à mener sur la mise en œuvre de la RGPD, dont l’échéance fixée à mai 2018 impose d’ores et déjà aux organisations – acteurs de santé inclus – un diagnostic de maturité quant aux dispositifs existants de protection des données personnelles. Dans la mesure où des amendes administratives conséquentes sont prévues en cas de violation – elles peuvent s’élever à vingt millions d’euros ! – l’évaluation de la hauteur de marche à franchir pour se mettre en conformité avec le règlement apparaît d’autant plus cruciale.
[1] Article 3 du règlement
[2] Article 4 du règlement
[3] Article 9 du règlement
[4] Article 42
[5] Article 37