SlideShare une entreprise Scribd logo

RGPD : Les grands principes pour la santé et le médico-social

Télécharger en tant que PPTX, PDF
P
PierreDesmarais6

Présentation diffusée lors de l'atelier RGPD, au 42ème Congrès de la FEHAP, le 22 novembre 2017

Droit
1  sur  19
34, rue Pétrelle • 75009 PARIS contact@desmarais-avocats.fr • www.desmarais-avocats.fr Les grands principes du RGPD 42ème Congrès de la FEHAP
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Une utilisation responsable des données • Le RGPD n’est pas un frein au traitement des données • Mieux, dans certains cas, il le facilite (ex: intérêt légitime du responsable, données pseudonymisées, etc.) • Le RGPD, c’est un changement de paradigme • Traditionnellement, volonté de contrôle a priori du fait d’une méfiance à l’égard des traitements de données • L’entrée dans les mœurs des traitements de données conduit à une logique de responsabilisation, « à l’anglo-saxone » • Le RGPD promeut un marché de la donnée personnelle, sous réserve d’une utilisation raisonnable de cette marchandise 2
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La détermination du périmètre de la notion de « Donnée de santé » 3
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Donnée personnelle, donnée de santé: késako? • Données à caractère personnelle: • Toute donnée relative à une personne physique identifiée ou raisonnablement identifiable • Données relatives à la santé • Toute donnée relative à la santé physique ou mentale, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne • Comprend notamment: • Toute donnée « indépendamment de sa source »  L’IoT produit des données de santé • Donnée médico-administrative  Le NIR est une donnée de santé • Donnée relative au handicap  Le médico-social entre dans la sphère des données de santé 4
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Des acteurs responsables 5
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La responsabilisation des acteurs • Outre les personnes concernées, 2 types d’acteurs: • Le responsable de traitement • Le sous-traitant (pas de responsabilité directe, aujourd’hui) • Le RGPD responsabilise ces acteurs, au travers de trois axes majeurs: • Transparence: • Délégué à la protection des données (DPD) • Registre des traitements • Documentation • Contrôle: obligation d’encadrer le personnel comme les sous-traitants • Sécurité: • Mesures préventives: systématisation de l’analyse de risque, prédominance de l’analyse d’impact • Mesures curatives: Notification et communication des violations de données 6
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La fin de l’immunité du sous-traitant? • Actuellement, un sous-traitant peut craindre un « recours récursoire » de son donneur d’ordre • Avec le RGPD, il peut voir sa responsabilité engagée par la CNIL et encourt ainsi la même sanction que son donneur d’ordre 7
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Sanctions et voies de recours • Les sanctions prononcées par la CNIL pourront être contestées devant le Conseil d’Etat • Le nombre de sanctions pourrait croître: • Obligation d’information quant à l’existence des recours • Création d’une action de groupe • Transfert probable des agents instructeurs aux Contrôles 8
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La majorité de ces notions ne vous parle pas? 9
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Le DPD, un RSSI juridique? • Personne en charge du respect de la protection des données au sein de l’organisation • Désignation recommandée, excepté notamment pour : • le traitement à grande échelle de données sensibles (dont santé)  Hôpitaux directement visés • les organismes chargés d’une mission de service public  Service Public Hospitalier • Mutualisation possible, sous réserve que le DPD soit facilement joignable et ait une bonne connaissance des traitements  Besoin d’harmoniser les traitements de données • Rôle souvent assimilé au RSSI, mais pas nécessairement compatible 10
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Le registre des traitements • Obligatoire pour le responsable comme le sous-traitant, dès lors que le traitement porte sur des données de santé • Contenu précisé dans le RGPD: • Informations relatives aux caractéristiques du traitement • Informations relatives aux modalités du traitement • Informations relatives aux acteurs du traitement • La forme est libre (papier, Excel, logiciel ad hoc), du moment que les modifications peuvent être tracées • Modèle sur le site de la CNIL • Idéalement, y adjoindre un système de suivi des sous-traitants (identité, mission, date du contrat, date de fin, reconduction éventuelle) 11
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 L’analyse d’impact • Processus consistant à étudier les conséquences sur la personne concernée d’une violation de données • Obligatoire en cas de risques élevés: • Hôpitaux et ESMS  risque toujours élevé car ils traitent des données sensibles relatives (potentiellement) à des personnes vulnérables, et ce à grande échelles • Réalisée par le responsable de traitement avec l’aide du DPD (éventuellement mutualisé) et de ses sous-traitants, avant la mise en œuvre et préalablement à toute mise-à-jour • Si l’analyse révèle un risque élevé si des mesures pour atténuer le risque n’étaient pas prises, consultation de la CNIL obligatoire • La demande doit comporter différentes informations et une copie de l’analyse 12
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Documentation • Obligation d’établir un dossier démontrant la conformité des traitements ou opération réalisées par le responsable et/ou son sous- traitant • La documentation doit être tenue à disposition de la CNIL pour démontrer la conformité • Elle revient sur les caractéristiques juridiques, techniques et organisationnelles et modalités de traitement ainsi que sur la liste des participants • Elle argumente l’absence: • De désignation d’un Délégué à la Protection des Données • De réalisation d’une analyse d’impact • De mise en place d’un registre des traitements • Elle renvoie aux différentes politiques de l’organisation (PSSI, gestion des demandes des personnes concernées, etc.) 13
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Conditions de recours à un sous-traitant • Le sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement : • réponde aux exigences du RGPD • garantisse la protection des droits de la personne concernée • Contrat écrit sur support papier ou électronique • Plusieurs mentions obligatoires, dont : • Clause de confidentialité et clause d’audit • Clause d’encadrement de l’externalisation par le sous-traitant • Intervention du sous-traitant sur instruction écrite et préalable 14
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La sous-traitance, en pratique 1) Définir les procédures en interne et prévoir les conditions d’intervention des sous-traitants dans chacune • Rôle dans la réponse aux demandes des personnes concernées • Délai de notification d’une violation de données 2) Elaborer une clause de sous-traitance type pour l’entité 3) Revoir tous les contrats et soumettre un avenant RGPD 4) Etablir (et mener) un programme d’audit des sous-traitants 15
RGPD • Violations de données • Notifiées à la CNIL • Sous 72h Loi Touraine • Incidents graves de sécurité • Déclarés à l’ARS • Sans délai 16 Une « convergence » entre le RGPD et la loi Touraine
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La coresponsabilité, quel intérêt? • Champ d’application non défini • Idéal pour le logiciel SAAS et les mutualisations (GCS, GHT?, etc.) • Dans un monde idéal, quel intérêt? • Répartir clairement les responsabilités entre la ou les personnes déterminant la finalité et celles déterminant • Assurer une totale transparence vis-à-vis des personnes concernées et des autorités • Dans le monde médical et médico-social, quel intérêt? • Rétablir l’équilibre avec des prestataires aux pratiques parfois abusives? 17
Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Avertissement • En matière de traitement de données relatifs à la santé, les Etats membres de l’UE sont autorisés à maintenir ou introduire des conditions supplémentaires, y compris des limitations 18
34, rue Pétrelle • 75009 PARIS contact@desmarais-avocats.fr • www.desmarais-avocats.fr 19

Recommandé

RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéPierreDesmarais6
 
Mairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesMairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesPierreDesmarais6
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?PierreDesmarais6
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 

Recommandé

RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéPierreDesmarais6
 
Mairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesMairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesPierreDesmarais6
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?PierreDesmarais6
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDForums financiers de Wallonie
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDAgathe Rouviere 🚀
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentationGaetan Karre
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
RGPD
RGPDRGPD
RGPDChris Gaillard
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDInforsud Diffusion
 

Contenu connexe

Tendances

Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 

Tendances (20)

Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
RGPD
RGPDRGPD
RGPD
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 

Similaire à RGPD : Les grands principes pour la santé et le médico-social

Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18Cap'Com
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Tarn Tourisme
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxSidiAbdallah1
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
Objets connectés - Évolutions réglementaires en cours
Objets connectés - Évolutions réglementaires en cours Objets connectés - Évolutions réglementaires en cours
Objets connectés - Évolutions réglementaires en cours Alain Tassy
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRTechnofutur TIC
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 

Similaire à RGPD : Les grands principes pour la santé et le médico-social (20)

Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
RGPD / GDPR
RGPD / GDPRRGPD / GDPR
RGPD / GDPR
 
presentation_rgpd_062018.pptx
presentation_rgpd_062018.pptxpresentation_rgpd_062018.pptx
presentation_rgpd_062018.pptx
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
Objets connectés - Évolutions réglementaires en cours
Objets connectés - Évolutions réglementaires en cours Objets connectés - Évolutions réglementaires en cours
Objets connectés - Évolutions réglementaires en cours
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 

RGPD : Les grands principes pour la santé et le médico-social

  • 1. 34, rue Pétrelle • 75009 PARIS contact@desmarais-avocats.fr • www.desmarais-avocats.fr Les grands principes du RGPD 42ème Congrès de la FEHAP
  • 2. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Une utilisation responsable des données • Le RGPD n’est pas un frein au traitement des données • Mieux, dans certains cas, il le facilite (ex: intérêt légitime du responsable, données pseudonymisées, etc.) • Le RGPD, c’est un changement de paradigme • Traditionnellement, volonté de contrôle a priori du fait d’une méfiance à l’égard des traitements de données • L’entrée dans les mœurs des traitements de données conduit à une logique de responsabilisation, « à l’anglo-saxone » • Le RGPD promeut un marché de la donnée personnelle, sous réserve d’une utilisation raisonnable de cette marchandise 2
  • 3. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La détermination du périmètre de la notion de « Donnée de santé » 3
  • 4. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Donnée personnelle, donnée de santé: késako? • Données à caractère personnelle: • Toute donnée relative à une personne physique identifiée ou raisonnablement identifiable • Données relatives à la santé • Toute donnée relative à la santé physique ou mentale, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne • Comprend notamment: • Toute donnée « indépendamment de sa source »  L’IoT produit des données de santé • Donnée médico-administrative  Le NIR est une donnée de santé • Donnée relative au handicap  Le médico-social entre dans la sphère des données de santé 4
  • 5. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Des acteurs responsables 5
  • 6. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La responsabilisation des acteurs • Outre les personnes concernées, 2 types d’acteurs: • Le responsable de traitement • Le sous-traitant (pas de responsabilité directe, aujourd’hui) • Le RGPD responsabilise ces acteurs, au travers de trois axes majeurs: • Transparence: • Délégué à la protection des données (DPD) • Registre des traitements • Documentation • Contrôle: obligation d’encadrer le personnel comme les sous-traitants • Sécurité: • Mesures préventives: systématisation de l’analyse de risque, prédominance de l’analyse d’impact • Mesures curatives: Notification et communication des violations de données 6
  • 7. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La fin de l’immunité du sous-traitant? • Actuellement, un sous-traitant peut craindre un « recours récursoire » de son donneur d’ordre • Avec le RGPD, il peut voir sa responsabilité engagée par la CNIL et encourt ainsi la même sanction que son donneur d’ordre 7
  • 8. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Sanctions et voies de recours • Les sanctions prononcées par la CNIL pourront être contestées devant le Conseil d’Etat • Le nombre de sanctions pourrait croître: • Obligation d’information quant à l’existence des recours • Création d’une action de groupe • Transfert probable des agents instructeurs aux Contrôles 8
  • 9. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La majorité de ces notions ne vous parle pas? 9
  • 10. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Le DPD, un RSSI juridique? • Personne en charge du respect de la protection des données au sein de l’organisation • Désignation recommandée, excepté notamment pour : • le traitement à grande échelle de données sensibles (dont santé)  Hôpitaux directement visés • les organismes chargés d’une mission de service public  Service Public Hospitalier • Mutualisation possible, sous réserve que le DPD soit facilement joignable et ait une bonne connaissance des traitements  Besoin d’harmoniser les traitements de données • Rôle souvent assimilé au RSSI, mais pas nécessairement compatible 10
  • 11. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Le registre des traitements • Obligatoire pour le responsable comme le sous-traitant, dès lors que le traitement porte sur des données de santé • Contenu précisé dans le RGPD: • Informations relatives aux caractéristiques du traitement • Informations relatives aux modalités du traitement • Informations relatives aux acteurs du traitement • La forme est libre (papier, Excel, logiciel ad hoc), du moment que les modifications peuvent être tracées • Modèle sur le site de la CNIL • Idéalement, y adjoindre un système de suivi des sous-traitants (identité, mission, date du contrat, date de fin, reconduction éventuelle) 11
  • 12. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 L’analyse d’impact • Processus consistant à étudier les conséquences sur la personne concernée d’une violation de données • Obligatoire en cas de risques élevés: • Hôpitaux et ESMS  risque toujours élevé car ils traitent des données sensibles relatives (potentiellement) à des personnes vulnérables, et ce à grande échelles • Réalisée par le responsable de traitement avec l’aide du DPD (éventuellement mutualisé) et de ses sous-traitants, avant la mise en œuvre et préalablement à toute mise-à-jour • Si l’analyse révèle un risque élevé si des mesures pour atténuer le risque n’étaient pas prises, consultation de la CNIL obligatoire • La demande doit comporter différentes informations et une copie de l’analyse 12
  • 13. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Documentation • Obligation d’établir un dossier démontrant la conformité des traitements ou opération réalisées par le responsable et/ou son sous- traitant • La documentation doit être tenue à disposition de la CNIL pour démontrer la conformité • Elle revient sur les caractéristiques juridiques, techniques et organisationnelles et modalités de traitement ainsi que sur la liste des participants • Elle argumente l’absence: • De désignation d’un Délégué à la Protection des Données • De réalisation d’une analyse d’impact • De mise en place d’un registre des traitements • Elle renvoie aux différentes politiques de l’organisation (PSSI, gestion des demandes des personnes concernées, etc.) 13
  • 14. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Conditions de recours à un sous-traitant • Le sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement : • réponde aux exigences du RGPD • garantisse la protection des droits de la personne concernée • Contrat écrit sur support papier ou électronique • Plusieurs mentions obligatoires, dont : • Clause de confidentialité et clause d’audit • Clause d’encadrement de l’externalisation par le sous-traitant • Intervention du sous-traitant sur instruction écrite et préalable 14
  • 15. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La sous-traitance, en pratique 1) Définir les procédures en interne et prévoir les conditions d’intervention des sous-traitants dans chacune • Rôle dans la réponse aux demandes des personnes concernées • Délai de notification d’une violation de données 2) Elaborer une clause de sous-traitance type pour l’entité 3) Revoir tous les contrats et soumettre un avenant RGPD 4) Etablir (et mener) un programme d’audit des sous-traitants 15
  • 16. RGPD • Violations de données • Notifiées à la CNIL • Sous 72h Loi Touraine • Incidents graves de sécurité • Déclarés à l’ARS • Sans délai 16 Une « convergence » entre le RGPD et la loi Touraine
  • 17. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 La coresponsabilité, quel intérêt? • Champ d’application non défini • Idéal pour le logiciel SAAS et les mutualisations (GCS, GHT?, etc.) • Dans un monde idéal, quel intérêt? • Répartir clairement les responsabilités entre la ou les personnes déterminant la finalité et celles déterminant • Assurer une totale transparence vis-à-vis des personnes concernées et des autorités • Dans le monde médical et médico-social, quel intérêt? • Rétablir l’équilibre avec des prestataires aux pratiques parfois abusives? 17
  • 18. Desmarais Avocats • Paris, le jeudi 30 novembre 2017 Avertissement • En matière de traitement de données relatifs à la santé, les Etats membres de l’UE sont autorisés à maintenir ou introduire des conditions supplémentaires, y compris des limitations 18
  • 19. 34, rue Pétrelle • 75009 PARIS contact@desmarais-avocats.fr • www.desmarais-avocats.fr 19