SlideShare une entreprise Scribd logo
1  sur  35
Données de santé & RGPD
(Règlement Général sur la Protection des Données
Personnelles)
MODULE DE
SENSIBILISATION
N'ayant pas réussi à dupliquer le bug
I. Définition d’une donnée personnelle
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
III. RGPD et professionnels de santé
IV. Consentement des patients
V. Accessibilité des données et sécurité
VI. Focus : crise sanitaire
SOMMAIRE
Définition d’une donnée
personnelle
I.
Données
de
santé
&
RGPD
I. Définition d’une donnée personnelle
Toute information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification ou à un ou
plusieurs éléments qui lui sont propres.
Pour qu’une donnée soit considérée comme personnelle, elle doit :
• être propre à identifier un individu parmi un groupe de personnes
• ou permettre potentiellement cette identification par le croisement avec une ou plusieurs
données particulières :
o directement : une seule donnée permet d’identifier un individu
o indirectement : une donnée ne permet pas en elle-même d’identifier un individu, mais
une fois recoupée avec une ou plusieurs autres données, la combinaison permet
d’identifier la personne.
IDENTITÉ
• Identifiants (nom, email, pseudo, adresse IP…)
• Biométrie (âge, sexe, ADN, empruntes digitales…)
FINANCES
• Revenus
• Niveau d’imposition (prélèvement à la source)
SANTÉ
• Soins
• Traitements
• Pathologies
COMPORTEMENTS
• Navigation sur Internet
• Keylogger, c’est-à-dire un « enregistreur de touches »
capable de détecter les frappes sur le clavier de
l’ordinateur et de les mémoriser
CONTENUS
• Médias (photos, vidéos…)
• Conversations (SMS, appels, discussions sur les réseaux
sociaux, mails…)
RELATIONS
• Réseaux sociaux (groupes, intérêts, « j’aime », durée
d’inactivité…)
• Liens (amis, famille, collègues…)
CONTEXTE
• Géolocalisation
• Itinéraires
• …
I. Définition d’une donnée personnelle
 Classement des données par catégorie
 En France, la Commission Nationale Informatique et Libertés (CNIL)
La CNIL, le « gendarme français de la protection de la vie privée », est l’administration en charge des questions relatives à
la protection des données personnelles et du contrôle du respect de ce droit.
Le Comité européen de protection des données regroupe l’ensemble des CNIL européennes.
La CNIL répond aux
demandes des particuliers
et des professionnels…
…pour le respect du
règlement et du droit en
matière de protection des
données.
La CNIL s’intéresse aux sujets
émergeants.
La CNIL peut contrôler les
organismes et, en cas de
manquements constatés, elle
peut décider de les mettre en
demeure ou de les sanctionner.
I. Définition d’une donnée personnelle
Règlement Général sur la
Protection des Données
Personnelles (RGPD)
II.
Données
de
santé
&
RGPD
 Définition et application du texte de référence en matière de protection
des données à caractère personnel
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
Le Règlement Général sur la Protection des Données (ou General Data Protection Régulation, « GDPR » en anglais)
REGLEMENT UE N° 2016/679 du 27 avril 2016
constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel sur le
territoire de l’Union européenne
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978.
Entré en vigueur le 25 mai 2016, il est entré en application depuis le 25 mai 2018.
OBJECTIFS
• renforcer le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant
• s’adapter aux évolutions des technologies et des usages
• harmoniser les règles en Europe en offrant un cadre juridique unique aux professionnels
 Enjeux et objectifs
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
 7 principes de base pour être conforme au RGPD - 1/2
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
LE PRINCIPE LES OBLIGATIONS
1 - LE PRINCIPE DE
LICÉITÉ, LOYAUTÉ,
TRANSPARENCE
Les données doivent être
traitées de manière licite, loyale
et transparente
Le traitement de données doit
reposer sur une base légale
préalablement définie
Le responsable de traitement a un devoir
d’information envers les personnes
concernées préalable au traitement de
données
2 - LE PRINCIPE DE
LIMITATION DES FINALITÉS
Les finalités doivent être
déterminées, explicites et
légitimes
Les données ne doivent pas être
traitées pour une finalité
ultérieure incompatible avec la
finalité initiale
Exception pour le traitement à des fins
archivistiques dans l’intérêt public, à des fins
de recherche scientifique ou historique ou à
des fins statistiques
3 - LE PRINCIPE DE
MINIMISATION DES
DONNÉES
Les données doivent être
adéquates, pertinentes et
limitées à ce qui est strictement
nécessaire au regard de la
finalité
Minimisation des :
• données collectées
• supports
• destinataires
4 - LE PRINCIPE
D’EXACTITUDE DES
DONNÉES
Les données doivent être
exactes et, si nécessaire, tenues
à jour
Les données inexactes doivent
être effacées ou rectifiées
Cela suppose une vérification régulière ainsi
que la mise en place d’un processus de
rectification ou de suppression des données
inexactes
Chaque finalité et chaque traitement de données personnelles qui en découlent doivent respecter ses principes
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
5 - LE PRINCIPE
D'INTÉGRITÉ ET DE
CONFIDENTIALITÉ
Le traitement de données doit
garantir la sécurité des données
à l’aide de mesures techniques
ou organisationnelles
Protection contre la perte,
la divulgation, l’altération
ou la destruction,
accidentelle ou volontaire,
totale ou partielle, interne
ou externe
Rôle et responsabilité du responsable de traitement ET du
sous-traitant
6 - LE PRINCIPE DE
LIMITATION DE
CONSERVATION
Les données doivent être
conservées pendant une durée
n’excédant pas celle nécessaire
au regard des finalités pour
lesquelles elles sont traitées
Il faut définir le cycle de vie
de la donnée collectée
7 - LE PRINCIPE
D’ACCOUNTABILITY
Les organismes doivent être en
mesure de prouver leur
conformité au RGPD
Documenter les mesures de
sécurité relatives à la
confidentialité des données :
mesures de sécurité
physique et informatiques
Exemples de documents démontrant le respect au RGPD
• Registre des catégories d’activités de traitement
• Registre des incidents de sécurité/ des violations de
données personnelles
• Registre des demandes d’exercice de droit
• Politique de confidentialité
• Analyse d’impact pour les traitements présentant des
risques au regard des droits et libertés des personnes
concernées
• Contrats de sous-traitance
 7 principes de base pour être conforme au RGPD - 2/2
 Définition d’une donnée sensible
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
En principe, il est interdit de collecter ou de traiter des données sensibles, c’est-à-dire des données personnelles
qui font apparaître directement ou indirectement les :
• Consentement exprès donné par la personne
• Sauvegarde de la vie de la personne
• Données rendues publiques par la personne concernée
• Traitements nécessaires aux fins de la médecine préventive, de diagnostics médicaux
• Prise en charge sanitaire ou sociale
• En vertu d’un contrat conclu avec un professionnel de santé
• Nécessité de traitement pour des motifs d’intérêt public dans le domaine de la santé publique
• Article 9 du RGPD
• origines raciales ou ethniques
• opinions politiques
• opinions philosophiques ou religieuses
• appartenance syndicale
• données relatives à la santé
• traitements de données génétiques
• traitements de données biométriques aux fins d’identifier une personne
• données relatives à la vie ou l’orientation sexuelle
EXCEPTIONS
 Définition du traitement des données
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
Toute opération (ou ensemble d’opérations)…
…effectuée ou non à l’aide de procédés automatisés…
…appliquée à des données ou des ensemble de données à caractère personnel
• Admission des patients
• Prise de rdv/secrétariat
• Suivi médical des patients
• Planning du laboratoire
• Sécurisation des locaux
• Gestion de la paie
• Gestion des fournisseurs
• Administration d’une plateforme de télémédecine
EXEMPLES DE TRAITEMENTS DE DONNÉES À
CARACTÈRE PERSONNEL DANS LE CADRE MÉDICAL
 La licéité du traitement des données
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des 6 « bases légales » prévues par le
RGPD :
• la personne concernée a donné son consentement au traitement de ses données
• le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles avec la
personne concernée
• le traitement est nécessaire au respect d’une obligation légale
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une
autre personne physique
• le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de
l’autorité publique
• le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de
traitement ou par un tiers, sauf exception
 Droits des personnes
Les personnes concernées disposent des droits suivants, qu’ils exercent dans les conditions prévues par le RGPD :
II. Règlement Général sur la Protection des Données Personnelles (RGPD)
droit de s’opposer au traitement de leurs données, sous réserve des conditions d’exercice de ce droit
en application des dispositions de l’article 21 du RGPD : ainsi par exemple, le droit d’opposition ne
trouvera pas à s’appliquer au dossier médical
droit d’accès à leur dossier patient, et à toutes les données les concernant de manière générale
droit de rectification des données les concernant, si elles sont inexactes
droit d’effacement des données qui les concernent sous réserve des conditions d’exercice de ce droit
en application des dispositions de l’article 17 du RGPD
droit à la limitation du traitement. Par exemple, lorsque la personne conteste l’exactitude de ses
données, elle peut demander au professionnel de santé, le gel temporaire du traitement de ses
données, le temps que celui-ci procède aux vérifications nécessaires concernant sa demande.
RGPD et
professionnels de santé
III.
Données
de
santé
&
RGPD
 Données de santé : quelles sont les données personnelles concernées ?
Dans un souci de minimisation des données personnelles traitées, le professionnel de santé doit veiller à ne collecter et
utiliser que les données pertinentes et nécessaires au regard de ses propres besoins de traitement de gestion médicale et
administrative de sa patientèle.
Les données doivent être mises à jour
Le professionnel de santé doit vérifier, tout au long
de la durée de vie du traitement, la qualité des
données qu’il traite.
Informations relatives aux habitudes de vie en fonction du contexte,
dès lors qu’elles sont collectées avec l’accord du patient et qu’elles sont
nécessaires au diagnostic et aux soins du patient (telles que relatives à
la dépendance [seul, en institution, autonome, grabataire], à l’assistance
[aide-ménagère, familiale], à l’exercice physique [intensité, fréquence,
durée], au régime et au comportement alimentaire, aux loisirs)
Traces fonctionnelles (traces relatives au fonctionnement de
l’application métier) et traces techniques (traces relatives au
fonctionnement des éléments réseau et système mis en œuvre sur le
système d’information)
1. Identité et coordonnées du patient (nom, prénom, date de
naissance, adresse postale, adresse électronique et numéro de
téléphone)
2. Identifiant national de santé (INS) pour la prise en charge
sanitaire ou médico-sociale d’un patient
3. Numéro de sécurité sociale à des fins de facturation et de prise
en charge financière des dépenses de santé
4. Situation familiale (situation matrimoniale, nombre d’enfants)
5. Situation professionnelle (profession, conditions de travail)
6. Santé (poids, taille, antécédents médicaux, diagnostics
médicaux, thérapie suivie, traitements prescrits, nature des
actes effectués, résultats d’examens, renseignements d’ordre
biologique, physiologique et pathologique propres à influencer
la réaction du patient à sa prise en charge médicale et tout
élément de nature à caractériser la santé du patient et
considéré comme pertinent par le professionnel de santé)
8.
7.
III. RGPD et professionnels de santé
 Pour le respect du RGPD (Règlement Général sur la Protection des Données Personnelles),
la CNIL préconise de :
• replacer le patient au centre de ses données
• amener les organisations à prendre la mesure de leur patrimoine
informationnel dans leur stratégie digitale
• redonner confiance aux patients dans leurs relations avec les organismes
traitant leurs données de santé
• renforcer la sécurité des données afin de lutter contre les cyberattaques.
Les professionnels de santé sont tous concernés !
III. RGPD et professionnels de santé
Le RGPD s’intègre au cadre juridique prévu par le Code de santé
publique
 Les professionnels de santé sont responsables de traitement
Les traitements visant à permettre la gestion médicale et administrative au sein des cabinets médicaux et paramédicaux*
conduisent à collecter des données relatives à des personnes physiques identifiées ou identifiables (patients,
professionnels de santé…)
À ce titre, ils sont soumis aux dispositions du règlement général sur la protection des données (RGPD),
de la loi du 6 janvier 1978 modifiée (LIL) ainsi qu’aux dispositions du Code de la santé publique. Les
professionnels de santé doivent, en outre, être en mesure de démontrer cette conformité à tout instant.
III. RGPD et professionnels de santé
Les traitements mis en œuvre par les professionnels de santé doivent être inscrits dans le
registre prévu à l’article 30 du RGPD (lien du modèle de registre téléchargeable, à retrouver
dans les sources).
• Celui-ci n’a pas de valeur contraignante
• Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par
les professionnels de santé exerçant à titre libéral aux principes relatifs à la protection des
données et au secret médical, dans un contexte d’évolution des pratiques à l’ère
numérique. Voir page 29 à 34
*qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service
 Le référentiel relatif au traitement des données à caractère personnel pour la gestion des
cabinets médicaux et paramédicaux
Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités du
professionnel de santé.
Il est mis en œuvre afin de permettre l’exercice des activités de prévention, de diagnostic et de soins ainsi que de gestion
administrative.
Il permet de répondre aux besoins de prise en charge des patients et notamment :
• la gestion des rendez-vous
• la gestion des dossiers médicaux
• la gestion et la tenue des dossiers nécessaires au suivi du patient
• le recours aux pratiques de soins à distance requérant des technologies de l’information et
de la communication, telles que la télémédecine et le télésoin
• les communications entre professionnels identifiés et structures de soins participant à la
prise en charge de la personne concernée et à la coordination de celle-ci
• l’établissement et la télétransmission des documents destinés à la prise en charge des frais
de santé par l’assurance maladie (feuilles de soins, arrêt de travail, protocole de soins
électroniques...)
• la tenue de la comptabilité.
III. RGPD et professionnels de santé
 Le référentiel relatif au traitement des données à caractère personnel pour la gestion des
cabinets médicaux et paramédicaux
Les données personnelles de santé ne peuvent être utilisées que dans l’intérêt direct du patient ou de la gestion du
cabinet médical, dans les conditions déterminées par la loi, pour les besoins de la santé publique et des obligations
des professionnels de santé.
Elles peuvent être réutilisées pour des études lorsqu’elles sont réalisées par les personnels assurant le suivi du
patient et destinées à leur usage exclusif.
A défaut, elles devront faire l’objet de formalités en application des articles 72 et suivants de la
loi Informatique et Libertés relatifs aux traitements à des fins de recherche, d'étude ou
d'évaluation dans le domaine de la santé.
III. RGPD et professionnels de santé
Consentement
des patients
IV.
Données
de
santé
&
RGPD
 La forme du consentement du patient
IV. Consentement des patients
Exceptions pour certains actes médicaux :
Le consentement du patient doit être exprès. Le consentement doit être « libre et éclairé », c’est-à-dire sans contrainte.
Le patient doit donner son consentement après avoir reçu préalablement du médecin une information claire, complète,
compréhensible et appropriée à sa situation.
• interruption volontaire de grossesse
• stérilisation à visée contraceptive
• recherche impliquant la personne humaine
• prélèvement d’organes, tissus, cellules et produits du corps
humain
• examen des caractéristiques génétiques d’une personne et
identification d’une personne par ses empreintes génétiques
• don et utilisation de gamètes.
Règles particulières pour :
o le mineur
Ce sont les titulaires de l'autorité parentale qui prennent les
décisions relatives à la santé du mineur. Mais s’il est apte à
exprimer sa volonté, son consentement doit être
systématiquement recherché et les titulaires de l'autorité
parentale doivent concerter leur volonté avec celle du mineur.
o le majeur sous tutelle
S’il est apte à exprimer sa volonté, son consentement doit être
recherché. S’il est hors d’état de consentir aux soins en raison
d’une altération de ses facultés mentales, le tuteur prend alors
le relai mais de façon encadrée.
Il n’y a pas de formalisme en matière de recueil du
consentement : l'expression du consentement du
patient n'est pas subordonnée à l'établissement d'un écrit.
 Le refus de soins de la part du patient
En cas de refus d’un patient en état d'exprimer sa volonté, au risque de sa vie :
• Le médecin ne doit pas se satisfaire d'un seul refus et doit s’efforcer de le convaincre en lui apportant à nouveau toutes les
précisions nécessaires, en s’assurant qu’elles sont correctement comprises.
• Il peut être indiqué parfois de lui faire consigner ce refus par écrit, ne serait-ce que pour lui signifier d'une autre manière la
gravité de sa décision. Ce document doit figurer au dossier et ne décharge pas le médecin de ses responsabilités mais peut
attester que le patient a bien été informé. Le patient doit réitérer sa décision dans un délai raisonnable, laquelle sera inscrite
dans son dossier médical.
• En cas de refus de soins de la part des titulaires de l’autorité parentale ou du tuteur, le médecin est autorisé à passer outre ce
refus et à donner les soins indispensables.
Si le patient est hors d’état d’exprimer sa volonté :
• Sauf urgence ou impossibilité, le médecin doit alors consulter la personne de confiance ou la famille ou à défaut un
des proches du patient avant d’intervenir.
• Dans le cas où tout retard serait préjudiciable au patient (urgence ou impossibilité de joindre qui que ce soit), le médecin est
autorisé à prodiguer les soins nécessaires à la survie du patient sans avoir obtenu le consentement requis habituellement.
• Le patient peut, même en mettant sa vie en danger, refuser des soins ou retirer à tout moment son
consentement. Ce droit au refus est prévu par la loi.
• Le fait d'intervenir sur un patient contre son consentement est pour un médecin une faute qui engage sa
responsabilité civile et l'expose à une sanction disciplinaire.
• Le médecin doit respecter la volonté du patient après l'avoir informé des conséquences de sa décision et
de sa gravité.
IV. Consentement des patients
• Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD
complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes
concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.
• Le recueil du consentement des personnes autorise le traitement de leurs données par les responsables du traitement.
 Que change le RGPD ?
• Le RGPD a clarifié sa définition et l’a renforcée, en l’assortissant de certains droits et garanties :
o droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une
modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en
ligne, il doit pouvoir être retiré en ligne également).
o preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la
personne a bien consenti, dans des conditions valides.
IV. Consentement des patients
 Que change le RGPD ?
• En effet, la documentation doit permettre de démontrer :
o la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation
d’un contrat (consentement « libre »)
o la séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique » ou « granularité
du consentement »)
o la bonne information des personnes (consentement « éclairé »)
o le caractère positif de l’expression du choix de la personne (consentement « univoque »)
o Les responsables du traitement peuvent notamment tenir un registre des consentements, qui peut s’insérer dans
la documentation plus générale de l’organisme.
• Pour s’assurer d’un consentement explicite (dans le cas où il existe un risque sérieux sur la protection des données qui
nécessite un plus haut degré de contrôle de l’individu), le responsable du traitement peut par exemple :
o prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles
o demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la
personne accepte expressément le traitement de certaines catégories de données
o recueillir le consentement en deux étapes : envoi d’un mail à la personne concernée qui doit ensuite confirmer sa
première action de consentement
IV. Consentement des patients
Accessibilité des
données et sécurité
V.
Données
de
santé
&
RGPD
 Les professionnels de santé doivent prendre toutes les mesures nécessaires pour sécuriser et
protéger les données personnelles traitées (art. L. 1110-4-1 du code de la santé publique)
V. Accessibilité des données et sécurité
Pour une information détaillée, vous pouvez consulter le guide de la sécurité des données personnelles publié par la CNIL et
le mémento relatif à la sécurité informatique pour les professionnels de santé en exercice libéral publié par l’Agence des
systèmes d’information partagés de santé (ASIP Santé)
En ce qui concerne la sécurisation du système informatique, il s’agit de respecter les grands principes suivants :
• utilisation d’un mot de passe conforme aux recommandations de la CNIL, 12 caractères (chiffres, lettres majuscules et
minuscules, caractères spéciaux), renouvelé régulièrement
• verrouillage de votre session informatique automatiquement après maximum 30 minutes d’inactivité
• antivirus à jour, pare-feu, application systématique des correctifs de sécurité du système informatique et des logiciels
• sauvegardes régulières des données (sauvegarde au minimum hebdomadaire, avec conservation des sauvegardes
mensuelles sur 12 mois glissants) et leur conservation dans un lieu différent que votre cabinet ; chiffrement des données
avec un logiciel adapté
• absence ou minimisation des connexions d’appareils non professionnels sur le réseau
• authentification via votre Carte de professionnel de santé (CPS) ou tout moyen alternatif d’authentification forte
 Peuvent être amenées à accéder aux données des patients pour l’accomplissement de leurs
missions et en vertu de dispositions législatives les personnes suivantes :
V. Accessibilité des données et sécurité
• les professionnels de santé et les professionnels concourant à la prévention et aux soins, afin d’assurer la continuité
des soins, y compris via l’accès au dossier médical partagé et à l’espace numérique de santé
• les personnes en charge du secrétariat, qui doivent n’avoir accès qu’aux informations nécessaires à la gestion du cabinet
et des rendez-vous. Mais aussi, pour l’exercice de leurs missions, certaines informations médicale (dans le respect du
secret professionnel et sous le contrôle du professionnel de santé)
• afin de permettre le remboursement des actes, des prestations et leur contrôle, les personnels des organismes
d’assurance maladie, qui ont connaissance, dans le cadre de leurs fonctions et pour la durée nécessaire à
l’accomplissement de celles-ci, de l’identité de l’assuré, son numéro de sécurité sociale, son numéro de code des actes et
prestations exécutées et des pathologies diagnostiquées
• les personnels des organismes d’assurance maladie complémentaire, autorisés de par leur fonction à traiter des
données de santé
• les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l’évaluation des pratiques
de soins, qui peuvent être destinataires de données personnelles de santé
En tant que professionnel de santé, vous devez vous assurer que votre
sous-traitant respecte la réglementation. (Cf. CNOM & CNIL - Guide
pratique sur la protection des données personnelles juin 2018)
• les prestataires sous-traitants : la plateforme de prise de rendez-
vous en ligne ou les prestataires qui assurent la maintenance du
logiciel et des postes de travail gérant les « dossiers patients », qui
proposent du Cloud…
 Durées de conservation des données
Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent
être conservées pour une durée indéfinie.
• Au regard des finalités de gestion du cabinet médical ou paramédical, les données enregistrées dans l’application
peuvent être conservées pendant une durée de 20 ans à compter de la date de la dernière prise en charge du patient.
• En base active :
o Pendant une durée de 5 ans à compter de la dernière intervention sur le dossier du patient.
o Puis, à l’issue de cette période, sous la forme archivée sur un support distinct pendant 15 ans, dans des conditions
de sécurité équivalentes à celles des autres données enregistrées dans l’application.
V. Accessibilité des données et sécurité
À l’expiration de ces délais, les données sont supprimées ou archivées sous une forme anonymisée
Les doubles des feuilles de soins électroniques doivent être conservés trois mois conformément à l’article
R. 161-47 du code de la sécurité sociale.
• Il revient aux prestataires fournissant des solutions logicielles d’intégrer des fonctionnalités
d’archivage automatique à date d’échéance.
• À défaut, le professionnel de santé y procèdera manuellement.
 L’anonymisation et la pseudonymisation : distinction
ANONYMISATION
Processus irréversible qui consiste à changer le contenu
ou la structure même des données.
• Toutes les informations directement ou indirectement
identifiantes sont supprimées ou modifiées, rendant a
priori impossible toute réidentification des personnes.
• Sur le papier, l’anonymisation représente le niveau
maximal de protection.
Il existe deux grandes méthodes d’anonymisation :
1. La randomisation, c’est-à-dire l’altération du lien entre
la donnée et l’individu par des techniques de mise à
blanc, troncature, substitution, ou simple
suppression…
2. La généralisation, c’est-à-dire la dilution de la donnée
ou sa généralisation en modifiant sa précision, son
échelle, sa grandeur…
PSEUDONYMISATION
Technique de sécurisation réversible, qui permet de traiter
les données d’individus sans pouvoir identifier ceux-ci de
façon directe.
Ces données ne sont alors pas tout à fait anonymes,
mais pas directement identifiables non plus.
En pratique, la pseudonymisation consiste à remplacer les
données directement identifiantes (nom, prénom, etc.) d’un
jeu de données par des données indirectement identifiantes
(alias, numéro séquentiel, etc.). Le tout est protégé par
une clé d’identification, pièce essentielle pour rétablir le lien
entre les données .
V. Accessibilité des données et sécurité
Une mesure recommandée par le RGPD pour limiter
les risques liés au traitement de données personnelles
La pseudonymisation
Obligation de sécurité
• Les responsables de traitement et les sous-traitants doivent s’assurer que des mesures organisationnelles et que des
techniques appropriées ont été mises en place.
• S’agissant des mesures techniques, il existe plusieurs référentiels :
o les recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) www.ssi.gouv.fr
o les normes et certifications (ISO 27001)
o les codes de conduite spécifiques (recommandations CNB)
 Les obligations prévues par le RGPD
V. Accessibilité des données et sécurité
Obligation en cas de failles de sécurité
LE RGPD prévoit des obligations de notifier :
• les violations de données à caractère personnel à la
CNIL dans les meilleurs délais et, si possible, 72 heures
au plus tard après en avoir pris connaissance
• la violation aux personnes physiques concernées dans
les meilleurs délais (sur injonction de la CNIL)
Pour les établissements de santé, le Code de la Santé
publique (Art. L1111-8-2) prévoit une obligation de :
• signaler, sans délai, les incidents graves de sécurité
des systèmes d’information auprès de l’Agence
Régionale de Santé
Focus :
crise sanitaire
V.
Données
de
santé
&
RGPD
VI. Focus : crise sanitaire
Une nouvelle ordonnance « adapte les conditions d'exercice des missions des services de santé au travail à
l'urgence sanitaire et modifie le régime des demandes préalables d'autorisation d'activité partielle ».
Dans le cadre de la crise sanitaire, aucun employeur ne peut mettre en place, de sa propre initiative, des démarches
concernant l’état de santé de ses salariés.
Ex : la création d’un fichier relatif à la température corporelle de leurs employés ou à certaines
pathologies (« comorbidités ») susceptibles d’être aggravantes en cas de COVID-19
Les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute
particulière : l’employeur doit donc impérativement s’appuyer sur les services de santé au travail.
 Pour faire face à l'épidémie de COVID-19 : nouvelle ordonnance en Conseil des
ministres publiée au Journal officiel le 2 avril 2020.
• Guide pratique sur la protection des données personnelles, CNIL&CNOM (juin 2018)
• Fiche pratique CNOM Echange et partage d’informations (déc. 2016)
• Référentiel de bonne pratiques sur les applications et les objets connectés en santé, HAS (oct. 2016)
• Fiche CNIL « Quelles formalités pour les traitements de données de santé à caractère personnel ?
• Fiche CNIL : « Télémédecine: comment protéger les données des patients? (janv. 2018)
• Fiche ASIP : « Etablissements de santé : préparez-vous au RGPD » (nov. 2017)
• https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_cabinet.pdf
• https://www.conseil-national.medecin.fr/medecin/devoirs-droits/proteger-donnees-sante
• CNIL : Le règlement européen n°2016/679 du 27 avril 2016 sur la protection des données personnelles (RGPD)
www.cnil.fr/fr/reglement-europeen-protection-donnees
• CNIL : Comprendre le règlement européen www.cnil.fr/fr/comprendre-le-reglement-europeen
• CNIL : Ce qui change pour les professionnels www.cnil.fr/fr/reglement-europeen-sur-la-protection-desdonnees-ce-qui-change-pour-
les-professionnels
• CNIL : Se préparer en 6 étapes www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
• Modèle téléchargeable de registre - cf article 20 du RGPD : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
• Article 30 - Registre des activités de traitement - https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30
• Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs :
https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les
SOURCES
Données
de
santé
&
RGPD
Ce document a été conçu dans le cadre du projet Territoires de Santé de Demain, il est la propriété du Centre européen d’étude du
Diabète et de CEED Formation et ne peut être utilisé par un tiers sans leur accord formel.

Contenu connexe

Tendances

C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
e-Commerce - Aspects juridiques
e-Commerce - Aspects juridiquese-Commerce - Aspects juridiques
e-Commerce - Aspects juridiquesCYB@RDECHE
 
GDPR: Training Materials by Qualsys
GDPR: Training Materials  by QualsysGDPR: Training Materials  by Qualsys
GDPR: Training Materials by QualsysQualsys Ltd
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
GDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and CommunicationsGDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and CommunicationsCharlie Pownall
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
Outils décisionnels : Data-Mining and Data-warehouse
Outils décisionnels : Data-Mining and Data-warehouseOutils décisionnels : Data-Mining and Data-warehouse
Outils décisionnels : Data-Mining and Data-warehouseBEL MRHAR Mohamed Amine
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overviewJane Lambert
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
Big Data : concepts, cas d'usage et tendances
Big Data : concepts, cas d'usage et tendancesBig Data : concepts, cas d'usage et tendances
Big Data : concepts, cas d'usage et tendancesJean-Michel Franco
 

Tendances (20)

C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
GDPR for Dummies
GDPR for DummiesGDPR for Dummies
GDPR for Dummies
 
RGPD
RGPDRGPD
RGPD
 
e-Commerce - Aspects juridiques
e-Commerce - Aspects juridiquese-Commerce - Aspects juridiques
e-Commerce - Aspects juridiques
 
GDPR: Training Materials by Qualsys
GDPR: Training Materials  by QualsysGDPR: Training Materials  by Qualsys
GDPR: Training Materials by Qualsys
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?
 
GDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and CommunicationsGDPR: Data Breach Notification and Communications
GDPR: Data Breach Notification and Communications
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
 
Outils décisionnels : Data-Mining and Data-warehouse
Outils décisionnels : Data-Mining and Data-warehouseOutils décisionnels : Data-Mining and Data-warehouse
Outils décisionnels : Data-Mining and Data-warehouse
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
GDPR Introduction and overview
GDPR Introduction and overviewGDPR Introduction and overview
GDPR Introduction and overview
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Big Data : concepts, cas d'usage et tendances
Big Data : concepts, cas d'usage et tendancesBig Data : concepts, cas d'usage et tendances
Big Data : concepts, cas d'usage et tendances
 

Similaire à Données de santé & RGPD (Règlement Général sur la Protection des Données Personnelles)

Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensiblesMarket iT
 
Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRScilcnrs
 
Cnil guide professionnels-de_sante
Cnil guide professionnels-de_santeCnil guide professionnels-de_sante
Cnil guide professionnels-de_santebenj_2
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSMarc Guichard
 
droit.ppt
droit.pptdroit.ppt
droit.pptYnesZid
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...ASIP Santé
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vfMostafaAITMEHDI
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfREFAIBOX
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...EdPoliteia
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"ASIP Santé
 
[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @Cnil[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @CnilFrenchTechCentral
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811Day Pierre DESAULT
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsSociété Tripalio
 

Similaire à Données de santé & RGPD (Règlement Général sur la Protection des Données Personnelles) (20)

Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensibles
 
Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRS
 
Cnil guide professionnels-de_sante
Cnil guide professionnels-de_santeCnil guide professionnels-de_sante
Cnil guide professionnels-de_sante
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRS
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
GDPR et RH
GDPR et RHGDPR et RH
GDPR et RH
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdf
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_Objets_Connectes_JBO"
 
[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @Cnil[Webinar] Données de santé, recherche & Covid-19 @Cnil
[Webinar] Données de santé, recherche & Covid-19 @Cnil
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
Loi n° 78-17_du_6_janvier_1978_version_consolidee_au_20140811
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD Médecins
 

Données de santé & RGPD (Règlement Général sur la Protection des Données Personnelles)

  • 1. Données de santé & RGPD (Règlement Général sur la Protection des Données Personnelles) MODULE DE SENSIBILISATION N'ayant pas réussi à dupliquer le bug
  • 2. I. Définition d’une donnée personnelle II. Règlement Général sur la Protection des Données Personnelles (RGPD) III. RGPD et professionnels de santé IV. Consentement des patients V. Accessibilité des données et sécurité VI. Focus : crise sanitaire SOMMAIRE
  • 4. I. Définition d’une donnée personnelle Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour qu’une donnée soit considérée comme personnelle, elle doit : • être propre à identifier un individu parmi un groupe de personnes • ou permettre potentiellement cette identification par le croisement avec une ou plusieurs données particulières : o directement : une seule donnée permet d’identifier un individu o indirectement : une donnée ne permet pas en elle-même d’identifier un individu, mais une fois recoupée avec une ou plusieurs autres données, la combinaison permet d’identifier la personne.
  • 5. IDENTITÉ • Identifiants (nom, email, pseudo, adresse IP…) • Biométrie (âge, sexe, ADN, empruntes digitales…) FINANCES • Revenus • Niveau d’imposition (prélèvement à la source) SANTÉ • Soins • Traitements • Pathologies COMPORTEMENTS • Navigation sur Internet • Keylogger, c’est-à-dire un « enregistreur de touches » capable de détecter les frappes sur le clavier de l’ordinateur et de les mémoriser CONTENUS • Médias (photos, vidéos…) • Conversations (SMS, appels, discussions sur les réseaux sociaux, mails…) RELATIONS • Réseaux sociaux (groupes, intérêts, « j’aime », durée d’inactivité…) • Liens (amis, famille, collègues…) CONTEXTE • Géolocalisation • Itinéraires • … I. Définition d’une donnée personnelle  Classement des données par catégorie
  • 6.  En France, la Commission Nationale Informatique et Libertés (CNIL) La CNIL, le « gendarme français de la protection de la vie privée », est l’administration en charge des questions relatives à la protection des données personnelles et du contrôle du respect de ce droit. Le Comité européen de protection des données regroupe l’ensemble des CNIL européennes. La CNIL répond aux demandes des particuliers et des professionnels… …pour le respect du règlement et du droit en matière de protection des données. La CNIL s’intéresse aux sujets émergeants. La CNIL peut contrôler les organismes et, en cas de manquements constatés, elle peut décider de les mettre en demeure ou de les sanctionner. I. Définition d’une donnée personnelle
  • 7. Règlement Général sur la Protection des Données Personnelles (RGPD) II. Données de santé & RGPD
  • 8.  Définition et application du texte de référence en matière de protection des données à caractère personnel II. Règlement Général sur la Protection des Données Personnelles (RGPD) Le Règlement Général sur la Protection des Données (ou General Data Protection Régulation, « GDPR » en anglais) REGLEMENT UE N° 2016/679 du 27 avril 2016 constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel sur le territoire de l’Union européenne Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Entré en vigueur le 25 mai 2016, il est entré en application depuis le 25 mai 2018. OBJECTIFS • renforcer le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant • s’adapter aux évolutions des technologies et des usages • harmoniser les règles en Europe en offrant un cadre juridique unique aux professionnels
  • 9.  Enjeux et objectifs II. Règlement Général sur la Protection des Données Personnelles (RGPD)
  • 10.  7 principes de base pour être conforme au RGPD - 1/2 II. Règlement Général sur la Protection des Données Personnelles (RGPD) LE PRINCIPE LES OBLIGATIONS 1 - LE PRINCIPE DE LICÉITÉ, LOYAUTÉ, TRANSPARENCE Les données doivent être traitées de manière licite, loyale et transparente Le traitement de données doit reposer sur une base légale préalablement définie Le responsable de traitement a un devoir d’information envers les personnes concernées préalable au traitement de données 2 - LE PRINCIPE DE LIMITATION DES FINALITÉS Les finalités doivent être déterminées, explicites et légitimes Les données ne doivent pas être traitées pour une finalité ultérieure incompatible avec la finalité initiale Exception pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques 3 - LE PRINCIPE DE MINIMISATION DES DONNÉES Les données doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard de la finalité Minimisation des : • données collectées • supports • destinataires 4 - LE PRINCIPE D’EXACTITUDE DES DONNÉES Les données doivent être exactes et, si nécessaire, tenues à jour Les données inexactes doivent être effacées ou rectifiées Cela suppose une vérification régulière ainsi que la mise en place d’un processus de rectification ou de suppression des données inexactes Chaque finalité et chaque traitement de données personnelles qui en découlent doivent respecter ses principes
  • 11. II. Règlement Général sur la Protection des Données Personnelles (RGPD) 5 - LE PRINCIPE D'INTÉGRITÉ ET DE CONFIDENTIALITÉ Le traitement de données doit garantir la sécurité des données à l’aide de mesures techniques ou organisationnelles Protection contre la perte, la divulgation, l’altération ou la destruction, accidentelle ou volontaire, totale ou partielle, interne ou externe Rôle et responsabilité du responsable de traitement ET du sous-traitant 6 - LE PRINCIPE DE LIMITATION DE CONSERVATION Les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées Il faut définir le cycle de vie de la donnée collectée 7 - LE PRINCIPE D’ACCOUNTABILITY Les organismes doivent être en mesure de prouver leur conformité au RGPD Documenter les mesures de sécurité relatives à la confidentialité des données : mesures de sécurité physique et informatiques Exemples de documents démontrant le respect au RGPD • Registre des catégories d’activités de traitement • Registre des incidents de sécurité/ des violations de données personnelles • Registre des demandes d’exercice de droit • Politique de confidentialité • Analyse d’impact pour les traitements présentant des risques au regard des droits et libertés des personnes concernées • Contrats de sous-traitance  7 principes de base pour être conforme au RGPD - 2/2
  • 12.  Définition d’une donnée sensible II. Règlement Général sur la Protection des Données Personnelles (RGPD) En principe, il est interdit de collecter ou de traiter des données sensibles, c’est-à-dire des données personnelles qui font apparaître directement ou indirectement les : • Consentement exprès donné par la personne • Sauvegarde de la vie de la personne • Données rendues publiques par la personne concernée • Traitements nécessaires aux fins de la médecine préventive, de diagnostics médicaux • Prise en charge sanitaire ou sociale • En vertu d’un contrat conclu avec un professionnel de santé • Nécessité de traitement pour des motifs d’intérêt public dans le domaine de la santé publique • Article 9 du RGPD • origines raciales ou ethniques • opinions politiques • opinions philosophiques ou religieuses • appartenance syndicale • données relatives à la santé • traitements de données génétiques • traitements de données biométriques aux fins d’identifier une personne • données relatives à la vie ou l’orientation sexuelle EXCEPTIONS
  • 13.  Définition du traitement des données II. Règlement Général sur la Protection des Données Personnelles (RGPD) Toute opération (ou ensemble d’opérations)… …effectuée ou non à l’aide de procédés automatisés… …appliquée à des données ou des ensemble de données à caractère personnel • Admission des patients • Prise de rdv/secrétariat • Suivi médical des patients • Planning du laboratoire • Sécurisation des locaux • Gestion de la paie • Gestion des fournisseurs • Administration d’une plateforme de télémédecine EXEMPLES DE TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL DANS LE CADRE MÉDICAL
  • 14.  La licéité du traitement des données II. Règlement Général sur la Protection des Données Personnelles (RGPD) Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des 6 « bases légales » prévues par le RGPD : • la personne concernée a donné son consentement au traitement de ses données • le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée • le traitement est nécessaire au respect d’une obligation légale • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers, sauf exception
  • 15.  Droits des personnes Les personnes concernées disposent des droits suivants, qu’ils exercent dans les conditions prévues par le RGPD : II. Règlement Général sur la Protection des Données Personnelles (RGPD) droit de s’opposer au traitement de leurs données, sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 21 du RGPD : ainsi par exemple, le droit d’opposition ne trouvera pas à s’appliquer au dossier médical droit d’accès à leur dossier patient, et à toutes les données les concernant de manière générale droit de rectification des données les concernant, si elles sont inexactes droit d’effacement des données qui les concernent sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 17 du RGPD droit à la limitation du traitement. Par exemple, lorsque la personne conteste l’exactitude de ses données, elle peut demander au professionnel de santé, le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires concernant sa demande.
  • 16. RGPD et professionnels de santé III. Données de santé & RGPD
  • 17.  Données de santé : quelles sont les données personnelles concernées ? Dans un souci de minimisation des données personnelles traitées, le professionnel de santé doit veiller à ne collecter et utiliser que les données pertinentes et nécessaires au regard de ses propres besoins de traitement de gestion médicale et administrative de sa patientèle. Les données doivent être mises à jour Le professionnel de santé doit vérifier, tout au long de la durée de vie du traitement, la qualité des données qu’il traite. Informations relatives aux habitudes de vie en fonction du contexte, dès lors qu’elles sont collectées avec l’accord du patient et qu’elles sont nécessaires au diagnostic et aux soins du patient (telles que relatives à la dépendance [seul, en institution, autonome, grabataire], à l’assistance [aide-ménagère, familiale], à l’exercice physique [intensité, fréquence, durée], au régime et au comportement alimentaire, aux loisirs) Traces fonctionnelles (traces relatives au fonctionnement de l’application métier) et traces techniques (traces relatives au fonctionnement des éléments réseau et système mis en œuvre sur le système d’information) 1. Identité et coordonnées du patient (nom, prénom, date de naissance, adresse postale, adresse électronique et numéro de téléphone) 2. Identifiant national de santé (INS) pour la prise en charge sanitaire ou médico-sociale d’un patient 3. Numéro de sécurité sociale à des fins de facturation et de prise en charge financière des dépenses de santé 4. Situation familiale (situation matrimoniale, nombre d’enfants) 5. Situation professionnelle (profession, conditions de travail) 6. Santé (poids, taille, antécédents médicaux, diagnostics médicaux, thérapie suivie, traitements prescrits, nature des actes effectués, résultats d’examens, renseignements d’ordre biologique, physiologique et pathologique propres à influencer la réaction du patient à sa prise en charge médicale et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le professionnel de santé) 8. 7. III. RGPD et professionnels de santé
  • 18.  Pour le respect du RGPD (Règlement Général sur la Protection des Données Personnelles), la CNIL préconise de : • replacer le patient au centre de ses données • amener les organisations à prendre la mesure de leur patrimoine informationnel dans leur stratégie digitale • redonner confiance aux patients dans leurs relations avec les organismes traitant leurs données de santé • renforcer la sécurité des données afin de lutter contre les cyberattaques. Les professionnels de santé sont tous concernés ! III. RGPD et professionnels de santé Le RGPD s’intègre au cadre juridique prévu par le Code de santé publique
  • 19.  Les professionnels de santé sont responsables de traitement Les traitements visant à permettre la gestion médicale et administrative au sein des cabinets médicaux et paramédicaux* conduisent à collecter des données relatives à des personnes physiques identifiées ou identifiables (patients, professionnels de santé…) À ce titre, ils sont soumis aux dispositions du règlement général sur la protection des données (RGPD), de la loi du 6 janvier 1978 modifiée (LIL) ainsi qu’aux dispositions du Code de la santé publique. Les professionnels de santé doivent, en outre, être en mesure de démontrer cette conformité à tout instant. III. RGPD et professionnels de santé Les traitements mis en œuvre par les professionnels de santé doivent être inscrits dans le registre prévu à l’article 30 du RGPD (lien du modèle de registre téléchargeable, à retrouver dans les sources). • Celui-ci n’a pas de valeur contraignante • Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par les professionnels de santé exerçant à titre libéral aux principes relatifs à la protection des données et au secret médical, dans un contexte d’évolution des pratiques à l’ère numérique. Voir page 29 à 34 *qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service
  • 20.  Le référentiel relatif au traitement des données à caractère personnel pour la gestion des cabinets médicaux et paramédicaux Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités du professionnel de santé. Il est mis en œuvre afin de permettre l’exercice des activités de prévention, de diagnostic et de soins ainsi que de gestion administrative. Il permet de répondre aux besoins de prise en charge des patients et notamment : • la gestion des rendez-vous • la gestion des dossiers médicaux • la gestion et la tenue des dossiers nécessaires au suivi du patient • le recours aux pratiques de soins à distance requérant des technologies de l’information et de la communication, telles que la télémédecine et le télésoin • les communications entre professionnels identifiés et structures de soins participant à la prise en charge de la personne concernée et à la coordination de celle-ci • l’établissement et la télétransmission des documents destinés à la prise en charge des frais de santé par l’assurance maladie (feuilles de soins, arrêt de travail, protocole de soins électroniques...) • la tenue de la comptabilité. III. RGPD et professionnels de santé
  • 21.  Le référentiel relatif au traitement des données à caractère personnel pour la gestion des cabinets médicaux et paramédicaux Les données personnelles de santé ne peuvent être utilisées que dans l’intérêt direct du patient ou de la gestion du cabinet médical, dans les conditions déterminées par la loi, pour les besoins de la santé publique et des obligations des professionnels de santé. Elles peuvent être réutilisées pour des études lorsqu’elles sont réalisées par les personnels assurant le suivi du patient et destinées à leur usage exclusif. A défaut, elles devront faire l’objet de formalités en application des articles 72 et suivants de la loi Informatique et Libertés relatifs aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé. III. RGPD et professionnels de santé
  • 23.  La forme du consentement du patient IV. Consentement des patients Exceptions pour certains actes médicaux : Le consentement du patient doit être exprès. Le consentement doit être « libre et éclairé », c’est-à-dire sans contrainte. Le patient doit donner son consentement après avoir reçu préalablement du médecin une information claire, complète, compréhensible et appropriée à sa situation. • interruption volontaire de grossesse • stérilisation à visée contraceptive • recherche impliquant la personne humaine • prélèvement d’organes, tissus, cellules et produits du corps humain • examen des caractéristiques génétiques d’une personne et identification d’une personne par ses empreintes génétiques • don et utilisation de gamètes. Règles particulières pour : o le mineur Ce sont les titulaires de l'autorité parentale qui prennent les décisions relatives à la santé du mineur. Mais s’il est apte à exprimer sa volonté, son consentement doit être systématiquement recherché et les titulaires de l'autorité parentale doivent concerter leur volonté avec celle du mineur. o le majeur sous tutelle S’il est apte à exprimer sa volonté, son consentement doit être recherché. S’il est hors d’état de consentir aux soins en raison d’une altération de ses facultés mentales, le tuteur prend alors le relai mais de façon encadrée. Il n’y a pas de formalisme en matière de recueil du consentement : l'expression du consentement du patient n'est pas subordonnée à l'établissement d'un écrit.
  • 24.  Le refus de soins de la part du patient En cas de refus d’un patient en état d'exprimer sa volonté, au risque de sa vie : • Le médecin ne doit pas se satisfaire d'un seul refus et doit s’efforcer de le convaincre en lui apportant à nouveau toutes les précisions nécessaires, en s’assurant qu’elles sont correctement comprises. • Il peut être indiqué parfois de lui faire consigner ce refus par écrit, ne serait-ce que pour lui signifier d'une autre manière la gravité de sa décision. Ce document doit figurer au dossier et ne décharge pas le médecin de ses responsabilités mais peut attester que le patient a bien été informé. Le patient doit réitérer sa décision dans un délai raisonnable, laquelle sera inscrite dans son dossier médical. • En cas de refus de soins de la part des titulaires de l’autorité parentale ou du tuteur, le médecin est autorisé à passer outre ce refus et à donner les soins indispensables. Si le patient est hors d’état d’exprimer sa volonté : • Sauf urgence ou impossibilité, le médecin doit alors consulter la personne de confiance ou la famille ou à défaut un des proches du patient avant d’intervenir. • Dans le cas où tout retard serait préjudiciable au patient (urgence ou impossibilité de joindre qui que ce soit), le médecin est autorisé à prodiguer les soins nécessaires à la survie du patient sans avoir obtenu le consentement requis habituellement. • Le patient peut, même en mettant sa vie en danger, refuser des soins ou retirer à tout moment son consentement. Ce droit au refus est prévu par la loi. • Le fait d'intervenir sur un patient contre son consentement est pour un médecin une faute qui engage sa responsabilité civile et l'expose à une sanction disciplinaire. • Le médecin doit respecter la volonté du patient après l'avoir informé des conséquences de sa décision et de sa gravité. IV. Consentement des patients
  • 25. • Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données. • Le recueil du consentement des personnes autorise le traitement de leurs données par les responsables du traitement.  Que change le RGPD ? • Le RGPD a clarifié sa définition et l’a renforcée, en l’assortissant de certains droits et garanties : o droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple, si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également). o preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides. IV. Consentement des patients
  • 26.  Que change le RGPD ? • En effet, la documentation doit permettre de démontrer : o la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat (consentement « libre ») o la séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique » ou « granularité du consentement ») o la bonne information des personnes (consentement « éclairé ») o le caractère positif de l’expression du choix de la personne (consentement « univoque ») o Les responsables du traitement peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme. • Pour s’assurer d’un consentement explicite (dans le cas où il existe un risque sérieux sur la protection des données qui nécessite un plus haut degré de contrôle de l’individu), le responsable du traitement peut par exemple : o prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles o demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données o recueillir le consentement en deux étapes : envoi d’un mail à la personne concernée qui doit ensuite confirmer sa première action de consentement IV. Consentement des patients
  • 27. Accessibilité des données et sécurité V. Données de santé & RGPD
  • 28.  Les professionnels de santé doivent prendre toutes les mesures nécessaires pour sécuriser et protéger les données personnelles traitées (art. L. 1110-4-1 du code de la santé publique) V. Accessibilité des données et sécurité Pour une information détaillée, vous pouvez consulter le guide de la sécurité des données personnelles publié par la CNIL et le mémento relatif à la sécurité informatique pour les professionnels de santé en exercice libéral publié par l’Agence des systèmes d’information partagés de santé (ASIP Santé) En ce qui concerne la sécurisation du système informatique, il s’agit de respecter les grands principes suivants : • utilisation d’un mot de passe conforme aux recommandations de la CNIL, 12 caractères (chiffres, lettres majuscules et minuscules, caractères spéciaux), renouvelé régulièrement • verrouillage de votre session informatique automatiquement après maximum 30 minutes d’inactivité • antivirus à jour, pare-feu, application systématique des correctifs de sécurité du système informatique et des logiciels • sauvegardes régulières des données (sauvegarde au minimum hebdomadaire, avec conservation des sauvegardes mensuelles sur 12 mois glissants) et leur conservation dans un lieu différent que votre cabinet ; chiffrement des données avec un logiciel adapté • absence ou minimisation des connexions d’appareils non professionnels sur le réseau • authentification via votre Carte de professionnel de santé (CPS) ou tout moyen alternatif d’authentification forte
  • 29.  Peuvent être amenées à accéder aux données des patients pour l’accomplissement de leurs missions et en vertu de dispositions législatives les personnes suivantes : V. Accessibilité des données et sécurité • les professionnels de santé et les professionnels concourant à la prévention et aux soins, afin d’assurer la continuité des soins, y compris via l’accès au dossier médical partagé et à l’espace numérique de santé • les personnes en charge du secrétariat, qui doivent n’avoir accès qu’aux informations nécessaires à la gestion du cabinet et des rendez-vous. Mais aussi, pour l’exercice de leurs missions, certaines informations médicale (dans le respect du secret professionnel et sous le contrôle du professionnel de santé) • afin de permettre le remboursement des actes, des prestations et leur contrôle, les personnels des organismes d’assurance maladie, qui ont connaissance, dans le cadre de leurs fonctions et pour la durée nécessaire à l’accomplissement de celles-ci, de l’identité de l’assuré, son numéro de sécurité sociale, son numéro de code des actes et prestations exécutées et des pathologies diagnostiquées • les personnels des organismes d’assurance maladie complémentaire, autorisés de par leur fonction à traiter des données de santé • les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l’évaluation des pratiques de soins, qui peuvent être destinataires de données personnelles de santé En tant que professionnel de santé, vous devez vous assurer que votre sous-traitant respecte la réglementation. (Cf. CNOM & CNIL - Guide pratique sur la protection des données personnelles juin 2018) • les prestataires sous-traitants : la plateforme de prise de rendez- vous en ligne ou les prestataires qui assurent la maintenance du logiciel et des postes de travail gérant les « dossiers patients », qui proposent du Cloud…
  • 30.  Durées de conservation des données Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent être conservées pour une durée indéfinie. • Au regard des finalités de gestion du cabinet médical ou paramédical, les données enregistrées dans l’application peuvent être conservées pendant une durée de 20 ans à compter de la date de la dernière prise en charge du patient. • En base active : o Pendant une durée de 5 ans à compter de la dernière intervention sur le dossier du patient. o Puis, à l’issue de cette période, sous la forme archivée sur un support distinct pendant 15 ans, dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans l’application. V. Accessibilité des données et sécurité À l’expiration de ces délais, les données sont supprimées ou archivées sous une forme anonymisée Les doubles des feuilles de soins électroniques doivent être conservés trois mois conformément à l’article R. 161-47 du code de la sécurité sociale. • Il revient aux prestataires fournissant des solutions logicielles d’intégrer des fonctionnalités d’archivage automatique à date d’échéance. • À défaut, le professionnel de santé y procèdera manuellement.
  • 31.  L’anonymisation et la pseudonymisation : distinction ANONYMISATION Processus irréversible qui consiste à changer le contenu ou la structure même des données. • Toutes les informations directement ou indirectement identifiantes sont supprimées ou modifiées, rendant a priori impossible toute réidentification des personnes. • Sur le papier, l’anonymisation représente le niveau maximal de protection. Il existe deux grandes méthodes d’anonymisation : 1. La randomisation, c’est-à-dire l’altération du lien entre la donnée et l’individu par des techniques de mise à blanc, troncature, substitution, ou simple suppression… 2. La généralisation, c’est-à-dire la dilution de la donnée ou sa généralisation en modifiant sa précision, son échelle, sa grandeur… PSEUDONYMISATION Technique de sécurisation réversible, qui permet de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. Ces données ne sont alors pas tout à fait anonymes, mais pas directement identifiables non plus. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). Le tout est protégé par une clé d’identification, pièce essentielle pour rétablir le lien entre les données . V. Accessibilité des données et sécurité Une mesure recommandée par le RGPD pour limiter les risques liés au traitement de données personnelles La pseudonymisation
  • 32. Obligation de sécurité • Les responsables de traitement et les sous-traitants doivent s’assurer que des mesures organisationnelles et que des techniques appropriées ont été mises en place. • S’agissant des mesures techniques, il existe plusieurs référentiels : o les recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) www.ssi.gouv.fr o les normes et certifications (ISO 27001) o les codes de conduite spécifiques (recommandations CNB)  Les obligations prévues par le RGPD V. Accessibilité des données et sécurité Obligation en cas de failles de sécurité LE RGPD prévoit des obligations de notifier : • les violations de données à caractère personnel à la CNIL dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance • la violation aux personnes physiques concernées dans les meilleurs délais (sur injonction de la CNIL) Pour les établissements de santé, le Code de la Santé publique (Art. L1111-8-2) prévoit une obligation de : • signaler, sans délai, les incidents graves de sécurité des systèmes d’information auprès de l’Agence Régionale de Santé
  • 34. VI. Focus : crise sanitaire Une nouvelle ordonnance « adapte les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifie le régime des demandes préalables d'autorisation d'activité partielle ». Dans le cadre de la crise sanitaire, aucun employeur ne peut mettre en place, de sa propre initiative, des démarches concernant l’état de santé de ses salariés. Ex : la création d’un fichier relatif à la température corporelle de leurs employés ou à certaines pathologies (« comorbidités ») susceptibles d’être aggravantes en cas de COVID-19 Les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute particulière : l’employeur doit donc impérativement s’appuyer sur les services de santé au travail.  Pour faire face à l'épidémie de COVID-19 : nouvelle ordonnance en Conseil des ministres publiée au Journal officiel le 2 avril 2020.
  • 35. • Guide pratique sur la protection des données personnelles, CNIL&CNOM (juin 2018) • Fiche pratique CNOM Echange et partage d’informations (déc. 2016) • Référentiel de bonne pratiques sur les applications et les objets connectés en santé, HAS (oct. 2016) • Fiche CNIL « Quelles formalités pour les traitements de données de santé à caractère personnel ? • Fiche CNIL : « Télémédecine: comment protéger les données des patients? (janv. 2018) • Fiche ASIP : « Etablissements de santé : préparez-vous au RGPD » (nov. 2017) • https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_cabinet.pdf • https://www.conseil-national.medecin.fr/medecin/devoirs-droits/proteger-donnees-sante • CNIL : Le règlement européen n°2016/679 du 27 avril 2016 sur la protection des données personnelles (RGPD) www.cnil.fr/fr/reglement-europeen-protection-donnees • CNIL : Comprendre le règlement européen www.cnil.fr/fr/comprendre-le-reglement-europeen • CNIL : Ce qui change pour les professionnels www.cnil.fr/fr/reglement-europeen-sur-la-protection-desdonnees-ce-qui-change-pour- les-professionnels • CNIL : Se préparer en 6 étapes www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes • Modèle téléchargeable de registre - cf article 20 du RGPD : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement • Article 30 - Registre des activités de traitement - https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30 • Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs : https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les SOURCES Données de santé & RGPD Ce document a été conçu dans le cadre du projet Territoires de Santé de Demain, il est la propriété du Centre européen d’étude du Diabète et de CEED Formation et ne peut être utilisé par un tiers sans leur accord formel.

Notes de l'éditeur

  1. Sources images https://medium.com/@spencer.ash/telemedicine-the-future-of-healthcare-2add8295dee2 https://www.dentalcare.ca/en-ca/
  2. (définition, conditions d’éligibilité, modalités de mise en œuvre, conditions de rémunération)
  3. Au depart Le déploiement de la télémédecine s’inscrit dans les mesures du Plan d’accès aux soins lancé en octobre 2017 par le gouvernement, notamment afin de faire face aux déserts médicaux. d’après un rapport de la Direction de la recherche (DREES) du ministère de la Santé paru l’année dernière, 8,6% de la population médicale est concernée par cette situation. Il s’agit donc d’améliorer la prise en charge des patients "en évitant des renoncements aux avis spécialisés ou des délais de prise en charge trop longs", explique l’Assurance maladie. Par ailleurs, dans "un contexte de vieillissement de la population et d’augmentation des maladies chroniques", le but est aussi de simplifier le suivi des patients et d’améliorer leur qualité de vie en évitant notamment le déplacement des personnes âgées. La COVID accélarateur sans précedent
  4. Au depart Le déploiement de la télémédecine s’inscrit dans les mesures du Plan d’accès aux soins lancé en octobre 2017 par le gouvernement, notamment afin de faire face aux déserts médicaux. d’après un rapport de la Direction de la recherche (DREES) du ministère de la Santé paru l’année dernière, 8,6% de la population médicale est concernée par cette situation. Il s’agit donc d’améliorer la prise en charge des patients "en évitant des renoncements aux avis spécialisés ou des délais de prise en charge trop longs", explique l’Assurance maladie. Par ailleurs, dans "un contexte de vieillissement de la population et d’augmentation des maladies chroniques", le but est aussi de simplifier le suivi des patients et d’améliorer leur qualité de vie en évitant notamment le déplacement des personnes âgées. La COVID accélarateur sans précedent
  5. Au depart Le déploiement de la télémédecine s’inscrit dans les mesures du Plan d’accès aux soins lancé en octobre 2017 par le gouvernement, notamment afin de faire face aux déserts médicaux. d’après un rapport de la Direction de la recherche (DREES) du ministère de la Santé paru l’année dernière, 8,6% de la population médicale est concernée par cette situation. Il s’agit donc d’améliorer la prise en charge des patients "en évitant des renoncements aux avis spécialisés ou des délais de prise en charge trop longs", explique l’Assurance maladie. Par ailleurs, dans "un contexte de vieillissement de la population et d’augmentation des maladies chroniques", le but est aussi de simplifier le suivi des patients et d’améliorer leur qualité de vie en évitant notamment le déplacement des personnes âgées. La COVID accélarateur sans précedent
  6. Au depart Le déploiement de la télémédecine s’inscrit dans les mesures du Plan d’accès aux soins lancé en octobre 2017 par le gouvernement, notamment afin de faire face aux déserts médicaux. d’après un rapport de la Direction de la recherche (DREES) du ministère de la Santé paru l’année dernière, 8,6% de la population médicale est concernée par cette situation. Il s’agit donc d’améliorer la prise en charge des patients "en évitant des renoncements aux avis spécialisés ou des délais de prise en charge trop longs", explique l’Assurance maladie. Par ailleurs, dans "un contexte de vieillissement de la population et d’augmentation des maladies chroniques", le but est aussi de simplifier le suivi des patients et d’améliorer leur qualité de vie en évitant notamment le déplacement des personnes âgées. La COVID accélarateur sans précedent
  7. Au depart Le déploiement de la télémédecine s’inscrit dans les mesures du Plan d’accès aux soins lancé en octobre 2017 par le gouvernement, notamment afin de faire face aux déserts médicaux. d’après un rapport de la Direction de la recherche (DREES) du ministère de la Santé paru l’année dernière, 8,6% de la population médicale est concernée par cette situation. Il s’agit donc d’améliorer la prise en charge des patients "en évitant des renoncements aux avis spécialisés ou des délais de prise en charge trop longs", explique l’Assurance maladie. Par ailleurs, dans "un contexte de vieillissement de la population et d’augmentation des maladies chroniques", le but est aussi de simplifier le suivi des patients et d’améliorer leur qualité de vie en évitant notamment le déplacement des personnes âgées. La COVID accélarateur sans précedent
  8. Au depart Le déploiement de la télémédecine s’inscrit dans les mesures du Plan d’accès aux soins lancé en octobre 2017 par le gouvernement, notamment afin de faire face aux déserts médicaux. d’après un rapport de la Direction de la recherche (DREES) du ministère de la Santé paru l’année dernière, 8,6% de la population médicale est concernée par cette situation. Il s’agit donc d’améliorer la prise en charge des patients "en évitant des renoncements aux avis spécialisés ou des délais de prise en charge trop longs", explique l’Assurance maladie. Par ailleurs, dans "un contexte de vieillissement de la population et d’augmentation des maladies chroniques", le but est aussi de simplifier le suivi des patients et d’améliorer leur qualité de vie en évitant notamment le déplacement des personnes âgées. La COVID accélarateur sans précedent