Pourquoi le DPO en santé est-il indispensable ?

Comme toute entité, Satelia veille au bon respect de la mise en application du Règlement Général de la Protection des Données personnelles.

Plus communément appelé RGPD, ce fameux acronyme n’est autre que la nouvelle réglementation européenne qui a remplacé la directive du 24 octobre 1995 le 25 mai 2018 et modifié par la même occasion la loi Informatique et Libertés de 1978.

Plus que des données à caractère personnel, les données de santé sont des données sensibles (article 4 du RGPD). C’est pourquoi Satelia a souhaité s’associer à YEC’HED MAT – spécialiste dans le domaine de la santé numérique – afin d’apposer une mise en conformité RGPD.

Notre expert Pierre LEGUELLEC vous renseigne ci-dessous sur les questions récurrentes :

Que risque un médecin qui, pour faire des études cliniques, utilise des services qui font transiter des données à l’étranger comme SurveyMonkey ou GoogleForms sans faire signer de consentement au patient ?

C’est un cas qui ne devrait plus exister car le risque pour le médecin est extrêmement important :

  • Faire une étude clinique nécessite de respecter une des six méthodologies de référence proposée par la CNIL, ou de réaliser alors une demande spécifique auprès de cette dernière.
  • Il est impératif d’avoir la preuve que le patient a été informé qu’il pouvait s’opposer au traitement de ses données en vue de les utiliser pour réaliser une étude clinique.
  • Pour le transfert des données en dehors de l’Union Européenne ou de quelques pays qui assurent le même niveau de sécurité, le consentement du patient est inéluctable.
  • Quant à l’hébergement des données, il doit se faire obligatoirement chez un Hébergeur de données de santé agréé ou certifié.

Les conséquences peuvent être considérables/significatives tant sur le plan de la responsabilité civile que pénale car de très fortes amendes sont alors possibles.

 

Quel est le principal impact du RGPD en santé ?

Le principal impact est qu’il y a eu pour la première fois une définition claire et précise de ce qu’est une donnée de santé. Cela permet d’en déduire des droits pour les personnes concernées. Le RGPD précise également ce qu’est une donnée génétique et une donnée biométrique.

 

Quels sont les droits des patients face au recueil de données ?

Par définition le RGPD interdit le traitement des données à caractère sensible dont font partie les données de santé.

Cependant, il existe une dizaine d’exceptions dont celles du consentement ou lorsque l’intérêt vital du patient est engagé.

Concrètement le consentement est l’acte le plus engageant pour le Responsable de Traitement. En effet il implique une information exhaustive sur les finalités du traitement qui seront réalisées ; avec la possibilité pour la personne concernée de retirer à tout moment son consentement sans avoir à se justifier.

Une autre exception de traitement des données à caractère personnel – prévue dans l’article 9.2 du RGPD – est indiquée dès l’instant qu’il y a une prise en charge à l’hôpital ou lorsque l’on rencontre son médecin.

Les droits du patient sont les mêmes que les droits de la personne concernée pour ce qui a trait au traitement des données. Il conserve le droit de s’opposer à un traitement des données qui l’implique, de demander leur suppression et d’exiger leur rectification. Dans certaines situations il peut même ordonner la portabilité des données lui appartenant. Et dans tous les cas, s’il considère que ses droits sont bafoués, il est en droit de demander l’intervention de la CNIL.

 

Quelles sont les obligations de l’hôpital dans ce recueil ?

L’établissement de santé peut être considéré au sens du RGPD comme Responsable de Traitement ce qui entraîne sa responsabilité en cas non-respect du RGPD.

L’établissement doit informer le patient par n’importe quel support (affichette, livret d’accueil, notice au comptoir de renseignements ou d’encaissements) que ce dernier bénéficie des droits liés à la protection des données en y indiquant aussi la personne à contacter pour exercer ses droits.

 

Quelles sont les responsabilités de l’hôpital dans le traitement des données personnelles collectées ?

Parce qu’il est un établissement public et comme cela a été rappelé par le Ministère de la Santé, l’hôpital a l’obligation de nommer un DPO, Data Protection Officer.

Le DPO peut être internalisé, externalisé ou mutualisé. Son rôle consiste à s’assurer que les traitements réalisés au sein de l’établissement sont en conformité avec le RGPD. Il peut aussi être sollicité lorsqu’un patient veut exercer ses droits concernant ses données à caractère personnel.

 

Face à cet ensemble de règles, que ce soit à titre personnel ou pour une entité, quels sont les risques encourus en cas de non-respect ?

Le RGPD précise à l’article 83, que tout manquement au RGPD entraîne une amende qui doit être dissuasive. La CNIL peut donc décider d’une amende allant jusqu’à 20 millions d’euros pour l’administration ou jusqu’à 4% du chiffre d’affaires mondial pour les entreprises. Le montant de l’amende est calculé en fonction de la gravité des faits reprochés.

Les données de santé ne sont pas uniquement traitées dans le RGPD. La France s’est dotée d’un corpus législatif et réglementaire très protecteur pour le patient. Un point important est l’interdiction de vendre des données de santé même avec le consentement du patient. Un autre point est l’hébergement des données de santé qui doit respecter une réglementation spécifique.

 

Que risque un individu quand il prend la responsabilité de transférer sciemment des données ?

Dès l’instant qu’un individu prend la responsabilité d’un transfert – qui est un traitement – il devient ipso facto Responsable de Traitement et donc se doit de respecter l’intégralité des obligations le concernant au sein du RGPD. C’est sur l’ensemble des manquements aux obligations qui incombent à un responsable de traitement que sont calculées les amendes les plus chères. Qui plus est, sa responsabilité pénale est engagée et en aucun cas celle de l’hôpital. La structure d’accueil ayant un droit de désolidarisation en cas d’action de responsable de traitement n’émanant d’aucun ordre hiérarchique.

 

Quel est l’intérêt de désigner un DPO ?

Pour une entreprise le DPO est « un véritable gardien du temple ».

Il s’assure que l’entreprise respecte en permanence le RGPD sans occulter les autres obligations spécifiques à son secteur d’activité, qu’il s’agisse de la santé ou d’autres activités fortement réglementées comme la Banque ou l’Assurance.

Il est le premier interlocuteur de la CNIL et des autres DPO des autres sociétés. Dans le cas des start-ups qui souhaitent travailler avec des structures de grande taille, le DPO représente une garantie supplémentaire de sérieux et d’implication de cette dernière dans la protection des données à caractère personnel.

Le DPO doit bien connaître les métiers avec lesquels il communique en permanence pour s’assurer et anticiper les traitements et attester de leur conformité au regard du RGPD.

Dans le cas de l’externalisation du DPO, ce dernier doit avoir une très grande proximité avec son client et une confiance totale en ce dernier. La relation est contractuelle et il doit être déclaré à la CNIL. En tant que chef d’orchestre il doit prioriser les actions nécessaires pour être certain que l’entreprise puisse prouver sa conformité.

 

Pourquoi est-ce important de prouver sa conformité au RGPD ?

Il est important de rappeler que prouver sa conformité au RGPD répond à une obligation du RGPD et qu’elle peut être un facteur aggravant en cas de contrôle de la CNIL.

C’est aussi un gage de confiance entre l’entreprise, ses clients et ses fournisseurs. Les entreprises qui ont choisi un DPO peuvent en faire état dans leur communication. Cela peut représenter un avantage concurrentiel important surtout à l’heure où de nombreuses sociétés sont épinglées par la CNIL…

Une start-up qui se fixe pour objectif de travailler avec des grands groupes, des multinationales, des industriels ou des laboratoires pharmaceutiques, occupe le plus souvent le rôle de sous-traitant. Le montant de l’amende étant calculé pour le Responsable de Traitement sur son chiffre d’affaires mondial, ce dernier voudra s’entourer de toutes les précautions possibles afin d’être certain que son sous-traitant ne représente pas de risques pour lui. C’est pour cette raison que l’idée d’avoir un DPO peut aussi aider la start up à prouver la qualité de sa démarche RGPD qu’elle a instauré.

 

En tant que sous-traitant, Satelia s’engage à minimiser le stockage des données relatives au bon suivi du patient. Pour toutes questions relatives au RGPD (audit, certification, sécurité des données…) veuillez trouver ci-après le contact de notre DPO, Data Protection Officer.

 

yec-head-mat_logo

No Comments

Sorry, the comment form is closed at this time.