rgpd : une révolution, une contrainte et une opportunité - fehap - la … · 2018. 4. 16. ·...

34, rue Pétrelle • 75009 [email protected] • www.desmarais-avocats.fr

RGPD : une révolution, une contrainte et une opportunité1re Journée Régionale « SYSTEMES D’INFORMATION EN SANTÉ »FEHAP Grand Est

Desmarais Avocats • Metz, le jeudi 12 avril 2018 2

Présentation du RGPD

Desmarais Avocats • Metz, le jeudi 12 avril 2018

Le RGPD, c’est quoi ?

• Une « loi » européenne

• De 88 pages = 173 considérants (37) + 99 articles (51)

• Révisant un cadre juridique désormais inadapté (1995)

• Créant de nouveaux droits aux personnes concernées

• Et de nouvelles obligations pour les responsables de traitement

3


Champ d’application matériel du droit des données

• Chacun d’entre vous a au minimum trois types de traitements de données :

• Patients / usagers• Ressources humaines• Fournisseurs

4


Santé et médico-social, 2 secteurs, 1 catégorie de données

• Données relatives à la santé• Toute donnée relative à la santé physique ou mentale, y compris la prestation de

services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne

• Comprend notamment :• Donnée génétique, clinique, physiologique ou biomédical, « indépendamment de

sa source »• Donnée médico-administrative, dont le NIR• Donnée relative au handicap

è Le médico-social entre dans la sphère des données relatives à la santé

5


D’anciennes obligations renforcées

• Les principes fondamentaux du traitement :• Licéité, loyauté, transparence• Limitation des finalités• Minimisation des données• Exactitude• Limitation de la conservation• Intégrité et confidentialité

• La confidentialité des données :• La sensibilisation des personnels• L’encadrement des sous-traitants• La cybersécurité

• Le respect des droits des personnes

6


De nouvelles obligations

• La majorité des obligations ne sont que des évolutions du cadre posé en… 1978 et modifié en… 1995

• Les principales nouveautés applicables au secteur santé / médico-social :

• Notifier les violations de données• Réaliser une analyse d’impact ou Privacy Impact Assessment• Assurer la portabilité des données• Désigner un délégué à la protection des données • Tenir des registres• Documenter la conformité

7


Notifier les violations de données

• Violation de données : Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données ou l'accès non autorisé • Notification à la CNIL sous 72h :

• Nature de la violation et nombre approximatif de personnes / données concernées

• Nom et coordonnées du DPD ou du point de contact• Description des conséquences probables de la violation• Description des mesures prises ou envisagées pour y remédier et pallier

aux conséquences négatives• En cas de risque élevé pour leurs droits et libertés, communication aux

personnes concernées dans les meilleurs délais

8


Réaliser une analyse d’impact

• Il s’agit d’étudier l’impact sur la personne concernée (Patient/usager) d’une violation de donnée à caractère personnel, c’est-à-dire une atteinte à :

• L’intégrité• La disponibilité• La confidentialité

• Dans vos secteurs, l’impact peut aller très au-delà de la « simple » atteinte à la vie privée :

• Indisponibilité du Dossier Patient lors de l’utilisation d’un Logiciel d’Aide à la Prescription peut entrainer le décès du patient

• En cas de risque élevé ou pour des traitements spécifiques, consultation préalable de la CNIL

9


Assurer la portabilité des données

• Le RGPD confère aux personnes un droit à la portabilité sur les données qu’elles ont fournies au responsable de traitement

• Aucune difficulté théorique pour vos établissements, les patients/usagers disposant d’un droit d’accès à leurs données

• Difficulté pratique envisageable, puisque les données devront être fournies dans un format numérique, structuré et interopérable

10


Le délégué à la protection des données, 1 mouton à 5 pattes?

• Désignation d’un délégué obligatoire, en cas de traitement de données relatives à la santé• Indépendance (è nombreuses incompatibilités)• Expertise juridique et pratique en matière de protection des données et

connaissance approfondie du RGPD• Niveau d’expertise « proportionné à la sensibilité, à la complexité et au

volume des données traitées »• DPD interne ou externe, mutualisation possible• Rôle parallèle avec les correspondants de « vigilance »

11


Tenir un registre des activités de traitement

• Une obligation de formalisme remplaçant les formalités préalables à la CNIL

• Attention, certains traitements de données relatives à la santé resteront soumis à des formalités préalables

• Un modèle accessible ici : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

• Et un exemple ici : https://www.cnil.fr/sites/default/files/typo/document/20140922-MOD-FICHE_REGISTRE-VD.pdf

12

https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

https://www.cnil.fr/sites/default/files/typo/document/20140922-MOD-FICHE_REGISTRE-VD.pdf


Documenter la conformité

• L’obligation de documenter les conditions d’implémentation du RGPD dans un « dossier de conformité »

• Comment les droits de la personne sont-ils assurés ?• Quelles mesures de sécurité ont été décidées ? Pour pallier quels

risques ? Etc.• Le cas échéant :• Pourquoi un délégué n’a-t-il pas été désigné ?• Quelles raisons justifient l’absence de réalisation d’une EIVP ?

• Vous savez déjà le faire !• Traçabilité des DM, évènements indésirables, etc.

13


Conclusion

• Il n’y aura pas d’Apocalypse Juridique le 25 mai 2018

• Le RGPD est un élément à prendre en compte, pas le seul• Le droit à l’effacement ne s’applique pas lorsque la conservation de la

donnée est obligatoire (ex : dossier médical)

• Dans la mesure du possible, essayez de réutiliser les processus et fonctions existants plutôt que d’en créer

14

Desmarais Avocats • Metz, le jeudi 12 avril 2018 15

Quelques outils


Avant-propos

• Le RGPD n’est pas une affaire d’outils, un tableur suffit à établir l’ensemble de la documentation

• Aucun outil ne peut mettre un établissement en conformité avec le RGPD

• Les outils présentés ci-après n’ont vocation qu’à vous aider dans :• La compréhension du texte• La définition de vos priorités• La réalisation de certaines obligations du RGPD

16


Clevy,Un chatbot RGPD

17


Besoin de réponses à vos questions sur le RGPD ?

18IDENTITÉ VISUELLE • 19 AVRIL 2017

clevy

Le chatbot n’a pas la réponse ?

19


SmartDataDecision,Un outil d’autoévaluation

20


Besoin d’auditer votre conformité et de prioriser les chantiers ?

21


Evaluation de la conformité sur 200 critères

22


Evaluation du risque pour définir vos priorités

23


Aide à la définition de solutions

24


GDPR WorkplaceUne application pour accélérer et sécuriser le processus de mise en

conformité

25

Lun 2 janv.09:12

PrénomNOM

26

Accélérer le recensement et la formalisation de la cartographie des traitements

n Les informations saisies par les responsables métiers, techniques, ainsi que les utilisateurs sont remontées automatiquement

n Le module permet de valider le contenu de chaque traitement

Cartographie des traitements

GDPR Workplace – Cartographie des traitements

Lun 2 janv.09:12

PrénomNOM

Permettre à l’équipe GDPR d’obtenir une vision globale de la nature des risques pour chaque traitement

Un système de filtres permet de visualiser ou de masquer les réponses des différentes entités, ou d’agréger les applications par thème

Légende :

n la gravité des risques est affichée sur l’axe horizontal

n le nombre de risques est affiché sur l’axe vertical

n la taille des cercles indique le nombre de personnes ayant répondu

n la couleur des cercles correspond à une entité

Cartographie des risques : analyse des traitements 27

GDPR Workplace – Cartographie des risques

Lun 2 janv.09:12

PrénomNOM

Chantier Thème Responsable Acteurs Action Statut

SalesForce Commentaires Benoit G. MOA Identifier les champs à risques, et définir plan d’action

SalesForce Formations Romain P. MOA Former les commerciaux aux bonnes pratiques

SalesForce Extractions Corentin M. MOE Restreindre l’accès à la plateforme

Candidats Accord des candidats Sarra J. MOA Rédiger un doc pour recueillir l’accord des candidats

Candidats Nature des données Yann S. MOA Revoir la nature des données dans le template

Candidats Suppression des archives Quentin D. MOE Automatiser la suppression des archives

App Client Hébergement Denis D. MOE Vérifier les accès mutualisés sur le datacenter UKR

App Client Audit sécurité Julien X. MOE Réaliser un audit sécurité

App Client Identifiants Cécile M. MOA Proposer une solution afin d’anonymiser les statistiques

Permettre à chaque responsable ou contributeur de piloter la mise en œuvre des actions via un espace dédié :

n Filtres par chantier (définis lors du macro-planning), par phase, ou responsable

n Liste détaillée des actions à réaliser, avec une indication de leur statut

n Suivi de l’action de sa création à sa finalisation, en mesurant le temps passé

n Messagerie dédiée à chaque action, pour un échange simple et rapide (questions / réponses, échange de fichiers, rappels)

n Notifications automatiques

Mise en conformité : suivi des actions 28

PHASE

Tous

CHANTIER

SalesForce

Bilans annuels

Candidats

Registre Fournisseurs

App Client

Evaluations

RESPONSABLE

Tous

ORIGINE

Toutes

ACTEURS

MOA

MOE

STATUT

51 2 3 4

Nouvelle action

ACTION

Taper un message

Penses tu tenir le jalon prévu?24/02/17, 16h44

Action en cours. Attente retours des équipes de communication interne

24/02/17, 15h32

Oui sans problème25/02/17, 10h45

CM

BG

CM

Préparer les supports de mise en marché4

Responsable Corentin M.

Chantier SalesForce

Thème Extractions

Description de l’action Empêcher l’accès depuis les mobiles personnels

Création 20/02/2017 Fin prévue 10/03/2017

Charge estimée

5 jours Charge consommées 3 jours

GDPR Workplace – Mise en Conformité


PIA,Un outil d’analyse d’impact

29


PIA : Guide méthodologique

30


PIA : Outil de mise en œuvre

31


Un outil accessible

32


Modèle de registre

33


La fiche d’identité du traitement

34


La description des données

35


Les caractéristiques du traitement

36


Conclusion

• Le RGPD n’est pas qu’une affaire d’outils, logiciels ou juridiques

• La principale difficulté du RGPD n’est pas de mettre vos établissements en conformité, mais de maintenir cette conformité sur la durée

• Il faut établir des process et les porter à la connaissance de tous les acteurs, au sein de l’entité

37

34, rue Pétrelle • 75009 [email protected] • www.desmarais-avocats.fr 38

rgpd : une révolution, une contrainte et une opportunité - fehap - la … · 2018. 4. 16. ·...

Documents