Le 25 mai prochain, le règlement général relatif à la protection des données (RGPD) entrera en vigueur. Les établissements de santé prennent conscience qu’ils doivent être conformes. S’ils ne devaient retenir que trois obligations, quelles seraient-elles ?
Le Règlement Général relatif à la Protection des Données entrera en application le 25 mai 2018, soit dans précisément trois mois, à l’heure où ces lignes sont rédigées. Êtes-vous prêts ? Question purement rhétorique, rassurez-vous, car très peu d’organisations peuvent aujourd’hui se dire en conformité. La Commission Européenne, elle-même, s’est d’ailleurs récemment émue de l’impréparation générale dans les Etats Membres[1]. Il faut dire que les 173 considérants et 99 articles du RGPD, s’étalant sur 88 pages, s’avèrent assez peu digestes et que le tableau est encore noirci par le recours à un procédé de « législation par renvoi ». Préciser ainsi que le droit à la portabilité trouve à s’appliquer notamment lorsque « le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b » peut rebuter même le plus motivé des lecteurs, avouons-le. Si en plus ledit lecteur doit ensuite prendre en considération les lignes interprétatrices adoptées par le « G29 », rédigées en anglais, notre lecteur motivé risque fort d’être perdu.
Petit décodage, donc, des obligations du RGPD les plus marquantes qui devraient trouver à s’appliquer dans le domaine de la santé.
Successeur de notre actuel Correspondant Informatique et Libertés, le délégué à la protection des données dispose des « qualités professionnelles et, en particulier [des] connaissances spécialisées du droit et des pratiques en matière de protection des données » nécessaires pour accompagner l’organisation sur toute question relevant de la protection des données. Titulaire d’une véritable fiche de poste – la CNIL estime qu’il faut créer en France 80 000 postes[2] ! – ce cadre sera recommandé par principe, et imposé par exception. Les établissements publics seront ainsi tenus d’en désigner un, tandis que les établissements de santé privés seront assujettis à cette obligation du fait du traitement à grande échelle de données relatives à la santé. Théoriquement, si un délégué n’est pas désigné le 25 mai 2018, l’établissement concerné encourra une amende pouvant aller jusqu’à 10 000 000,00 euros. Fort heureusement, le délégué pourra être mutualisé, au sein par exemple d’un GHT ou d’un GIE.
Deuxième obligation à laquelle les établissements de santé et le médico-social devront s’astreindre : la réalisation d’une évaluation d’impact sur la vie privée, aujourd’hui désignée par son acronyme anglo-saxon : « PIA ». Il s’agit ici d’évaluer l’impact d’une atteinte à la confidentialité, l’intégrité ou la disponibilité d’une donnée sur la personne concernée. Le G29 a clairement indiqué que les établissements de santé seraient assujettis à cette obligation[3]. N’oubliez donc pas d’inscrire ce point dans la fiche de poste de votre futur délégué à la protection des données.
Autre point qui devra nécessairement y figurer, la tenue du registre des traitements. Contrepartie de la suppression de l’immense majorité des formalités préalables – une bonne nouvelle, non ? – ce document synthétisera les caractéristiques techniques et juridiques de chaque traitement de données mis en œuvre. En matière sanitaire et médico-sociale, aucun établissement ne devrait y échapper, eu égard à la nature sensible des données traitées.
A l’issue de ce décodage, peut-être percevrez-vous le RGPD comme un frein. Une lecture à tête reposée, en cherchant un avantage à chacune de ces obligations, pourrait toutefois vous rendre votre optimisme[4] !
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
[1] https://huit.re/Inquietude_RGPD.
[2] https://huit.re/80000_DPD.
[3] https://huit.re/G29_PIA_Hopital.
[4] https://huit.re/RGPD_Opportunite_Sante.
Article publié précédemment sur le site de mind Health