Données de Santé

Comprendre le RGPD, le Règlement Général sur la Protection des Données

Rgpd

 

Le Règlement Général pour la Protection des Données du 27 avril 2016, est entré en vigueur le 25 mai 2018.

La nouvelle règlementation n’est plus basée sur un système de déclaration des données personnelles à la CNIL mais sur un principe d’ « accountability » soit de responsabilisation des acteurs. Parallèlement, elle instaure un renforcement des droits des personnes et du contrôle de la CNIL.

Elle impose à tout professionnel traitant des données personnelles de sécuriser ces données et de démontrer qu’il met en place en interne les mesures adéquates permettant cette sécurisation.

Les professionnels de santé et notamment les masseurs-kinésithérapeutes, collectent, traitent et transmettent des données relatives aux patients. A ce titre, ils entrent dans le champ d’application du Règlement européen.

 

Le RGPD définit les données de santé comme suit :

« Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée »

Elles sont dites « sensibles ». Si à la base le Règlement interdit le traitement de ce type de données, il prévoit certaines dérogations : consentement de la personne concernée, traitement des données de santé dans le cadre du droit du travail ou de la protection sociale, santé publique, gestion des services de soins de santé…

 

 

Securite

SECURISATION DES DONNEES

Il convient de démontrer que tout est mis en œuvre pour assurer la protection des données personnelles traitées.

Quelques exemples : changements réguliers des mots de passe, utilisation de mots de passe complexes, mise à jour des antivirus et des logiciels, sécurisation de l’accès aux locaux, armoire fermée à clé pour les dossiers papiers, envoi d’informations médicales par messagerie cryptée et sécurisée, verrouillage du clavier d’ordinateur, clause de confidentialité dans les contrats de travail…

Il convient également de prévoir la procédure mise en place dans le cas où les données seraient piratées ou perdues.

 

 

Notebook 2282300 640 1

REGISTRE DES TRAITEMENTS

Les auteurs du traitement doivent mettre en place un registre des traitements qui doit notamment comporter les informations suivantes (article 30 du règlement) :

  • Nom et coordonnées du responsable du traitement
  • Finalités du traitement
  • Description des catégories de personnes concernées
  • Description des catégories de données à caractère personnel
  • Les catégories de destinataires auxquelles les données sont communiquées
  • Dans la mesure du possible les délais prévus pour l’effacement des données
  • Dans la mesure du possible une description générale des mesures de sécurité techniques et organisationnelles

Ce registre peut être présenté sous forme électronique.

Il constituera un élément de preuve de sécurisation des données et sera mis à disposition des autorités de contrôle.

 

Un modèle de registre est accessible sur cette page.

 

 

Key 1013662 640

INFORMATION / CONSENTEMENT / DROIT D’ACCES

Le RGPD instaure une obligation renforcée d’information et de transparence des personnes dont les données sont traitées.

Le responsable du traitement doit informer l’utilisateur de la finalité du traitement (c'est-à-dire dans quel cadre les données seront utilisées) et de ses droits : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Cette information doit être établie de manière claire, intelligible et accessible.

 

 

Hammer 719066 640

SANCTIONS ADMINISTRATIVES

En cas de non-conformité, des sanctions administratives et pénales peuvent être appliquées. En termes de sanction administrative, le montant de l’amende peut être extrêmement élevé, il a principalement un but dissuasif. Il varie en fonction de la gravité du manquement.

Sur un plan pénal, l’auteur de l’infraction peut se voir condamner à une amende voire une peine d’emprisonnement.

 

 

 

Concrètement, comment procéder pour se mettre en conformité

avec les dispositions du RGPD ?

 

 

Consultez le site internet de la CNIL et en particulier les pages suivantes:

 

  • « RGPD : par où commencer » Les 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données

4 etapes

 

 

Contactez la CNIL par téléphone au 01 53 73 22 22.