SlideShare une entreprise Scribd logo
1  sur  28
Télécharger pour lire hors ligne
Règlement européen
sur la protection
des données personnelles: quels
enjeux?
Atelier animé par Erik BOUCHER de CREVECOEUR, CNIL
et Florence EON, ASIP Santé
2
Sommaire
1. Présentation des apports du RGPD
2. Présentation de l’étude d’impact sur la vie privée
La CNIL
 Régulateur des données personnelles depuis 1978
 Autorité administrative indépendante
 Membre du Groupe des CNIL européennes (« G29 »)
3
L’ASIP Santé
4
Mener une action de régulation et d’urbanisation
favorisant le développement maîtrisé de la e-santé
Promouvoir la santé numérique en conduisant des
projets numériques d’intérêt national
Favoriser les usages et permettre aux acteurs de
santé de bénéficier des mutations numériques
L’ASIP Santé est l’agence française de la santé numérique. Créée en 2009, elle compte
130 collaborateurs et pilote un large portefeuille de projets organisés autour de trois
missions complémentaires :
Télémédecine
Dispositifs médicaux
Pharmacies en ligne
Open data en santé
Procédures de certification
mHealth
…
Le cadre juridique de la e-santé: un cadre juridique à multiples
facettes
5
Règles constituant le régime
de droit commun
Règles issues des textes
relatifs à la protection
des données
personnelles
Textes spécifiques
Protection des données
à caractère personnel
Loi Informatique et
Libertés / RGPD
Secret professionnel, droit au
respect de la vie privée, échange et
partage, équipe de soins
HDS, INS etc.
Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGPD)
• Directive 95/46, concerne les traitements de données à caractère personnel
• Transposée en France en 2004 dans la loi Informatique et Libertés du 6 janvier
1978
Avant le règlement UE 2016/679 du 27 avril 2016
6
• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et
Libertés
• Un texte européen, commun à tous les EM et directement applicable en France
(pas de transposition nécessaire)
• Un texte applicable dès le 25 mai 2018
• Un texte qui concerne toutes les entreprises ainsi que le secteur public
• pour tous les traitements de données à caractère personnel localisés en Europe
ou concernant des citoyens européens
Le règlement UE 2016/679 du 27 avril 2016
Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGPD)
Nouvelles responsabilités pesant sur le responsable de traitement (RT)
Directive 95/46 et LIL
Formalités préalables
A réaliser auprès de la CNIL (avant mise en
œuvre du traitement)
Désignation facultative d’un CIL
Responsable de traitement
A identifier / lié par contrat au sous-traitant
5 principes
• finalité du traitement
• pertinence et proportionnalité des
données
• durée de conservation limitée des
données
• sécurité et confidentialité des données
• respect des droits des personnes
RGPD
Accountability
mesures de protection des données appropriés
pour démontrer leur conformité à tout moment
Privacy by design/ Privacy by default
garantir que les traitements de données ne
portent pas atteinte à la vie privée dès la
conception
Privacy Impact Assessment
Obligation, pour les RT d'effectuer une analyse
d'impact relative à la protection des données
préalablement aux traitements présentant des
risques.
Data Protection Officer
Rendu obligatoire dans certains cas
7
Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGDP)
8
Nouvelles responsabilités pesant sur le sous-traitant (ST)
Notion de « responsables conjoints du traitement »
Accord répartissant les obligations respectives
Responsabilité conjointe vis-à-vis des personnes
Important pour les services Cloud
Responsabilité et obligations des sous-traitants
Le ST a une responsabilité propre (sanctions)
Il doit désigner son propre DPO (dans certains cas)
Il ne traite que sur instruction documentée du RT
Il prend toutes les mesures de sécurité requises et aide le RT (mise en œuvre des mesures de
sécurité, analyse d’impact)
Il ne (re)sous-traite pas sans autorisation du RT et vérifie préalablement l’accountability du nouveau ST
Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGDP)
• Renforcement des droits des personnes
Nouveaux devoirs pour les RT :
transparence, informations supplémentaires
Nouveaux droits : droit à l’oubli, portabilité des
données, limitation
• Obligation générale de notification des failles de sécurité
Tous les RT
Dans les
meilleurs délais
> 72h
Information des personnes concernées
dans certains cas
• Renforcement des pouvoirs des autorités de contrôle et des sanctions
Montant graduel des amendes
administratives
Max 20 M ou 4% CA annuel mondial
9
Application au secteur de la santé
Champ d’application
10
Pas d’application aux données anonymisées /aux activités exclusivement personnelles
Différence entre anonymisation et pseudonymisation Sans lien avec une activité professionnelle ou commerciale
Donnée de santé
« données à caractère personnel relatives à la santé physique ou
mentale d'une personne physique, y compris la prestation de
services de soins de santé, qui révèlent des informations sur l'état
de santé de cette personne. » (Art. 4 15 et considérant 35)
Principe général d’interdiction de collecte et de traitement,
avec des dérogations : consentement exprès de la personne,
sauvegarde vie humaine, médecine préventive, diagnostics
médicaux, administration de soins, recherche, intérêt public.
Données à caractère personnel
Données directement identifiantes :
nom et prénom, photo, e-mail nominatif, …
Données indirectement identifiantes :
numéro de carte bancaire…
Recoupements d’informations :
« le fils aîné du notaire habitant au 11 bd
Raspail à Paris », …
Application au secteur de la santé
Les formalités préalables
11
Les formalités
simplifiées existantes
Les autorisations uniques :
AU-013 : Pharmacovigilance ;
AU-037 : Messagerie sécurisée ;
AU-047: Accompagnement et suivi social et
médico-social des personnes handicapées et des
personnes âgées
Les normes simplifiées
NS-050: Cabinet médical et paramédical
Les méthodologies de référence :
MR-001 : recherches biomédicales (en cours de mise à
jour)
MR-002 : études non interventionnelles de performances
en matière de dispositifs médicaux de diagnostic in vitro
MR-003 : recherches non interventionnelles
Formalités à l’heure
du RGPD
Disparition des déclarations normales
Désignation d’un DPO
Analyse d’impact (PIA)
Conformité à un référentiel sectoriel
Notification des violations de données
Les Etats membres peuvent fixer des conditions ou des
restrictions supplémentaires au niveau national
 En France, maintien du régime d’autorisation/avis :
Santé, biométrie, génétique
Numéro d’identification national (NIR)
Emploi, travail
Missions d’intérêt public ou d’autorité publique
Archivage, Recherche
=> Régime relatif à l’hébergement des données de santé
Application au secteur de la santé
Référentiels et guides sectoriel
 Il existe des documents de référence concernant la sécurité des
données de santé.
 Corpus documentaire de la PGSSI-S
 Référentiel d’agrément HDS
 Référentiel de bonnes pratiques pour les applications et les objets
connectés en santé
 Il existe des référentiels sectoriels opposables.
 Certains référentiels PGSSI-S ont vocation à être rendus opposables :
gouvernance, authentification, traçabilité (Art. L1110-4-1 du code de la santé
publique)
 Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L1111-8 du
code de la santé publique)
 Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous
les systèmes mettant à disposition des données du SNDS. (Arrêté du 22
mars 2017)
12
13
Présentation de l’étude
d’impact sur la vie privée
Privacy Impact Assessment
14
Respect
des
principes
fondamen-
taux
Gestion
des risques
sur la vie
privée
PIA
Privacy
Impact
Assessment
Les principes et droits
fondamentaux (finalité,
information…), « non
négociables », fixés
par la loi, devant être
respectés et ne
pouvant faire l’objet
d’aucune modulation
La gestion des risques
sur la vie privée des
personnes concernées,
qui permet de déterminer
les mesures techniques
et d’organisation
appropriées pour
protéger les données
Le Privacy Impact
Assessment (PIA) est
un moyen de se
mettre en conformité
et de le démontrer
(notion
d’accountability)
À quoi s’applique un PIA ?
15
Produits Traitements
Il s’adresse aux fournisseurs
(dont les solutions seront utilisées dans de
nombreux traitements)
Le PIA est idéalement mené
dans le cadre de la
conception de leurs produits.
Il s’adresse aux responsables
de traitements
Le PIA est idéalement mené
dans le cadre de la conception
de leurs traitements de
données à caractère personnel.
PIA : démarche méthodologique
Experts techniquesJuristes
Contexte
Description fonctionnelle
Données
Supports des données
Etc.Principes fondamentaux
Proportionnalité et
nécessité
Mesures protectrices
des droits
Risques liés à la
sécurité des données
Mesures existantes ou
prévues
Appréciation des
risques
Validation du PIA
Évaluation (intégrée aux
étapes précédentes)
Plan d’action (intégré aux
étapes précédentes)
Décision
16
Réitérations possibles
(PIA non validé, mise à
jour du traitement…)
Étape 1 – Le contexte
De quoi parle-t-on ?
Le traitement de données à caractère personnel
 Quelle est sa finalité ?
 Quels sont ses apports ? (pour l’organisme, pour les personnes
concernées, pour la société…)
Le plus important : comprendre le cycle de vie des données
 Quelles sont les données ?
 Qui sont les destinataires ?
 Qui peut y accéder ?
 Quelle est leur durée de conservation ?
 Quelles sont les étapes du traitement ?
 Sur quoi reposent-elles ?
17
Collecte Conservation Utilisation Transfert Destruction
Étape 2 – Les principes fondamentaux
Quel est le dispositif prévu ?
 Analyse des mesures garantissant la proportionnalité
et la nécessité du traitement
 Finalités déterminées, explicites et légitimes
 Fondement/licéité du traitement – interdiction du
détournement de finalité
 Données adéquates, pertinentes, non excessives
(minimisation)
 Donnée exactes et tenues à jour
 Durées de conservation limitées
18
Étape 2 – Les principes fondamentaux
Quel est le dispositif prévu ?
 Analyse des mesures protectrices des droits des
personnes des personnes concernées
 Information des personnes (loyauté et transparence)
 Recueil du consentement des personnes concernées
 Droit d’accès et droit à la portabilité
 Droit de rectification, d’effacement, de limitation et
d’opposition
 Sous-traitance : contractualisation
 Transferts de données en dehors de l’UE
 Formalités préalables applicables au traitement
o Obligation de consulter l’autorité de contrôle si les risques
résiduels sont élevés.
19
Étape 3 – Les risques
Quelles sont les mesures existantes ou prévues ?
20
Sécurité des données du traitement
Chiffrement
Anonymisation
Cloisonnement des données
(par rapport au reste du
système d’information)
Contrôle des accès logique des
utilisateur
Traçabilité
Sécurité des documents papier
Mesures générales de sécurité
Sécurité de l’exploitation
Gestion des postes de travail et
lutte contre les logiciels
malveillants
Sécurité des sites web
Sauvegardes
Maintenance
Sécurité des canaux
informatiques (réseaux)
Contrôle d'accès physique
Sécurité des matériels
Mesures organisationnelles
Politique (gestion des règles)
Gestion des projets
Gestion des incidents et des
violations de données
Gestion des personnels
Relations avec les tiers
Étape 3 – Les risques
Que peut-il arriver aux personnes concernées ?
 Un risque sur la « vie privée » est un scénario décrivant un événement
redouté et toutes les menaces qui le rendent possible. Il est estimé en
termes de gravité et de vraisemblance
21
Supports
Matériels
Logiciels
Réseaux
Personnes
Supports papier
Canaux papier
Données
Données du
traitement
Données liées
aux mesures
Impacts potentiels
Vie privée
Identité humaine
Droits de l’homme
Libertés publiques
Sources de
risques
Supports Données
Impacts
potentiels
Vraisemblance Gravité
Menaces Événements redoutés
Risques
Sources de risques
Personnes externes
Personnes internes
Sources non
humaines
Étape 3 – Les risques
Comment les décrire ?
22
 Les impacts sont ceux sur la vie privée des personnes concernées, et non ceux sur l’organisme
 Les menaces sont tous les moyens que les risques se concrétisent
 Les mesures sont celles qui contribuent à traiter le risque parmi celles identifiées
 La gravité est essentiellement estimée en fonction des impacts potentiels
 La vraisemblance est essentiellement estimée en fonction des vulnérabilités exploitables
Accès illégitime à
des données
Modification non
désirée de données
Disparition de
données
Sources de risques
Impacts potentiels
Menaces
Mesures
Gravité
Vraisemblance
Étape 3 – Les risques
Comment les présenter ?
23
Vraisemblance
Gravité
1. Négligeable
2. Limitée
3. Important
4. Maximal
1. Négligeable 2. Limité 3. Important 4. Maximal
Accès illégitime
aux DCP
Disparition des
DCP
Modification
non désirée des
DCP
Cartographie
des risques
Accès illégitime
aux données
Disparition des
données
Modification
non désirée des
données
Une cartographie
des risques
permet de
comparer
visuellement les
risques les uns par
rapport aux autres.
Elle permet
également de
faciliter la
détermination
des objectifs pour
les traiter (par
« zones »).
Étape 4 – La décision
Les risques résiduels sont-ils acceptables ?
24
Dispositif
choisi
Enjeux
Si les mesures prévues
(pour respecter les
principes fondamentaux
et traiter les risques) sont
jugées suffisantes et les
risques résiduels
acceptables, alors le PIA
peut être validé par le
responsable de
traitement.
Sinon, alors il convient
d’identifier les objectifs
pour y parvenir et de
refaire une itération de
la démarche.
Le rapport de PIA
25
Rapport de PIA
Introduction
‐ Présentation des enjeux
Corps du PIA
‐ Description du traitement
‐ Nécessité et proportionnalité
‐ Mesures protectrices des droits
‐ Mesures de sécurité
‐ Appréciation des risques
Conclusion
‐ Plan d’action (mesures)
‐ Validation formelle du PIA
Le rapport de PIA est
validé et signé par le
responsable de
traitement.
Il doit être rendu
accessible ou
communiqué (en cas
de risques résiduels
élevés) aux autorités de
protection des données,
en tant qu’élément
d’accountability.
Il est également parfois
utile de publier et/ou de
diffuser tout ou partie
du rapport de PIA.
En synthèse
 Le PIA permet de construire la mise en conformité d’un
traitement (et de pouvoir le démontrer).
 Mener un PIA est équivalent à ce qu’on fait actuellement
pour certains traitements (dossiers de formalités et échanges
avec la CNIL).
 Il ne s’agit pas d’ajouter un nouveau processus, mais de faire
converger les démarches existantes : vos processus
habituels (audits I&L, registre, gestion des risques SSI,
intégration de la sécurité dans les projets…) alimentent le PIA.
 Il est facile et utile d’intégrer le point de vue « protection de
la vie privée » et le point de vue « SSI / cybersécurité ».
26
Les guides PIA de la CNIL
 Pour intégrer la protection de la vie privée et la cybersécurité.
 Pour faire du Privacy by design
27
28
www.cnil.fr CNIL @cnil

Contenu connexe

Tendances

Data privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiData privacy - Fabrice Naftalski
Data privacy - Fabrice Naftalski
Kezhan SHI
 

Tendances (20)

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
20171129-4 colloque ssi-plan d'action ssi
20171129-4 colloque ssi-plan d'action ssi20171129-4 colloque ssi-plan d'action ssi
20171129-4 colloque ssi-plan d'action ssi
 
Atelier N°10 Signalement des incidents graves de sécurité (art 110 Loi de san...
Atelier N°10 Signalement des incidents graves de sécurité (art 110 Loi de san...Atelier N°10 Signalement des incidents graves de sécurité (art 110 Loi de san...
Atelier N°10 Signalement des incidents graves de sécurité (art 110 Loi de san...
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
 
Data privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiData privacy - Fabrice Naftalski
Data privacy - Fabrice Naftalski
 
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
 

En vedette

En vedette (10)

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
SunTseu Café croissants Marketo 4/07/2017 - RGPD
SunTseu Café croissants Marketo 4/07/2017 - RGPDSunTseu Café croissants Marketo 4/07/2017 - RGPD
SunTseu Café croissants Marketo 4/07/2017 - RGPD
 
Les "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdLes "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpd
 

Similaire à HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?

Similaire à HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ? (20)

2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpd
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Rapport annuelannexes 2018
Rapport annuelannexes 2018Rapport annuelannexes 2018
Rapport annuelannexes 2018
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
Evaluer et améliorer la qualité de vie à partir des données de santé | Webcam...
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 février
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPD
 
La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...La détection de la fraude par la connaissance des données - Carte Blanche Par...
La détection de la fraude par la connaissance des données - Carte Blanche Par...
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
protection des données
protection des donnéesprotection des données
protection des données
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNIL
 
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
 

Plus de ASIP Santé

Plus de ASIP Santé (20)

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique "
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssanté
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsante
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171221-6 jni-marches
20171221-6 jni-marches20171221-6 jni-marches
20171221-6 jni-marches
 

HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?

  • 1. Règlement européen sur la protection des données personnelles: quels enjeux? Atelier animé par Erik BOUCHER de CREVECOEUR, CNIL et Florence EON, ASIP Santé
  • 2. 2 Sommaire 1. Présentation des apports du RGPD 2. Présentation de l’étude d’impact sur la vie privée
  • 3. La CNIL  Régulateur des données personnelles depuis 1978  Autorité administrative indépendante  Membre du Groupe des CNIL européennes (« G29 ») 3
  • 4. L’ASIP Santé 4 Mener une action de régulation et d’urbanisation favorisant le développement maîtrisé de la e-santé Promouvoir la santé numérique en conduisant des projets numériques d’intérêt national Favoriser les usages et permettre aux acteurs de santé de bénéficier des mutations numériques L’ASIP Santé est l’agence française de la santé numérique. Créée en 2009, elle compte 130 collaborateurs et pilote un large portefeuille de projets organisés autour de trois missions complémentaires :
  • 5. Télémédecine Dispositifs médicaux Pharmacies en ligne Open data en santé Procédures de certification mHealth … Le cadre juridique de la e-santé: un cadre juridique à multiples facettes 5 Règles constituant le régime de droit commun Règles issues des textes relatifs à la protection des données personnelles Textes spécifiques Protection des données à caractère personnel Loi Informatique et Libertés / RGPD Secret professionnel, droit au respect de la vie privée, échange et partage, équipe de soins HDS, INS etc.
  • 6. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD) • Directive 95/46, concerne les traitements de données à caractère personnel • Transposée en France en 2004 dans la loi Informatique et Libertés du 6 janvier 1978 Avant le règlement UE 2016/679 du 27 avril 2016 6 • Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et Libertés • Un texte européen, commun à tous les EM et directement applicable en France (pas de transposition nécessaire) • Un texte applicable dès le 25 mai 2018 • Un texte qui concerne toutes les entreprises ainsi que le secteur public • pour tous les traitements de données à caractère personnel localisés en Europe ou concernant des citoyens européens Le règlement UE 2016/679 du 27 avril 2016
  • 7. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD) Nouvelles responsabilités pesant sur le responsable de traitement (RT) Directive 95/46 et LIL Formalités préalables A réaliser auprès de la CNIL (avant mise en œuvre du traitement) Désignation facultative d’un CIL Responsable de traitement A identifier / lié par contrat au sous-traitant 5 principes • finalité du traitement • pertinence et proportionnalité des données • durée de conservation limitée des données • sécurité et confidentialité des données • respect des droits des personnes RGPD Accountability mesures de protection des données appropriés pour démontrer leur conformité à tout moment Privacy by design/ Privacy by default garantir que les traitements de données ne portent pas atteinte à la vie privée dès la conception Privacy Impact Assessment Obligation, pour les RT d'effectuer une analyse d'impact relative à la protection des données préalablement aux traitements présentant des risques. Data Protection Officer Rendu obligatoire dans certains cas 7
  • 8. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP) 8 Nouvelles responsabilités pesant sur le sous-traitant (ST) Notion de « responsables conjoints du traitement » Accord répartissant les obligations respectives Responsabilité conjointe vis-à-vis des personnes Important pour les services Cloud Responsabilité et obligations des sous-traitants Le ST a une responsabilité propre (sanctions) Il doit désigner son propre DPO (dans certains cas) Il ne traite que sur instruction documentée du RT Il prend toutes les mesures de sécurité requises et aide le RT (mise en œuvre des mesures de sécurité, analyse d’impact) Il ne (re)sous-traite pas sans autorisation du RT et vérifie préalablement l’accountability du nouveau ST
  • 9. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP) • Renforcement des droits des personnes Nouveaux devoirs pour les RT : transparence, informations supplémentaires Nouveaux droits : droit à l’oubli, portabilité des données, limitation • Obligation générale de notification des failles de sécurité Tous les RT Dans les meilleurs délais > 72h Information des personnes concernées dans certains cas • Renforcement des pouvoirs des autorités de contrôle et des sanctions Montant graduel des amendes administratives Max 20 M ou 4% CA annuel mondial 9
  • 10. Application au secteur de la santé Champ d’application 10 Pas d’application aux données anonymisées /aux activités exclusivement personnelles Différence entre anonymisation et pseudonymisation Sans lien avec une activité professionnelle ou commerciale Donnée de santé « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. » (Art. 4 15 et considérant 35) Principe général d’interdiction de collecte et de traitement, avec des dérogations : consentement exprès de la personne, sauvegarde vie humaine, médecine préventive, diagnostics médicaux, administration de soins, recherche, intérêt public. Données à caractère personnel Données directement identifiantes : nom et prénom, photo, e-mail nominatif, … Données indirectement identifiantes : numéro de carte bancaire… Recoupements d’informations : « le fils aîné du notaire habitant au 11 bd Raspail à Paris », …
  • 11. Application au secteur de la santé Les formalités préalables 11 Les formalités simplifiées existantes Les autorisations uniques : AU-013 : Pharmacovigilance ; AU-037 : Messagerie sécurisée ; AU-047: Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées Les normes simplifiées NS-050: Cabinet médical et paramédical Les méthodologies de référence : MR-001 : recherches biomédicales (en cours de mise à jour) MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro MR-003 : recherches non interventionnelles Formalités à l’heure du RGPD Disparition des déclarations normales Désignation d’un DPO Analyse d’impact (PIA) Conformité à un référentiel sectoriel Notification des violations de données Les Etats membres peuvent fixer des conditions ou des restrictions supplémentaires au niveau national  En France, maintien du régime d’autorisation/avis : Santé, biométrie, génétique Numéro d’identification national (NIR) Emploi, travail Missions d’intérêt public ou d’autorité publique Archivage, Recherche => Régime relatif à l’hébergement des données de santé
  • 12. Application au secteur de la santé Référentiels et guides sectoriel  Il existe des documents de référence concernant la sécurité des données de santé.  Corpus documentaire de la PGSSI-S  Référentiel d’agrément HDS  Référentiel de bonnes pratiques pour les applications et les objets connectés en santé  Il existe des référentiels sectoriels opposables.  Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification, traçabilité (Art. L1110-4-1 du code de la santé publique)  Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L1111-8 du code de la santé publique)  Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition des données du SNDS. (Arrêté du 22 mars 2017) 12
  • 14. Privacy Impact Assessment 14 Respect des principes fondamen- taux Gestion des risques sur la vie privée PIA Privacy Impact Assessment Les principes et droits fondamentaux (finalité, information…), « non négociables », fixés par la loi, devant être respectés et ne pouvant faire l’objet d’aucune modulation La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données Le Privacy Impact Assessment (PIA) est un moyen de se mettre en conformité et de le démontrer (notion d’accountability)
  • 15. À quoi s’applique un PIA ? 15 Produits Traitements Il s’adresse aux fournisseurs (dont les solutions seront utilisées dans de nombreux traitements) Le PIA est idéalement mené dans le cadre de la conception de leurs produits. Il s’adresse aux responsables de traitements Le PIA est idéalement mené dans le cadre de la conception de leurs traitements de données à caractère personnel.
  • 16. PIA : démarche méthodologique Experts techniquesJuristes Contexte Description fonctionnelle Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Validation du PIA Évaluation (intégrée aux étapes précédentes) Plan d’action (intégré aux étapes précédentes) Décision 16 Réitérations possibles (PIA non validé, mise à jour du traitement…)
  • 17. Étape 1 – Le contexte De quoi parle-t-on ? Le traitement de données à caractère personnel  Quelle est sa finalité ?  Quels sont ses apports ? (pour l’organisme, pour les personnes concernées, pour la société…) Le plus important : comprendre le cycle de vie des données  Quelles sont les données ?  Qui sont les destinataires ?  Qui peut y accéder ?  Quelle est leur durée de conservation ?  Quelles sont les étapes du traitement ?  Sur quoi reposent-elles ? 17 Collecte Conservation Utilisation Transfert Destruction
  • 18. Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?  Analyse des mesures garantissant la proportionnalité et la nécessité du traitement  Finalités déterminées, explicites et légitimes  Fondement/licéité du traitement – interdiction du détournement de finalité  Données adéquates, pertinentes, non excessives (minimisation)  Donnée exactes et tenues à jour  Durées de conservation limitées 18
  • 19. Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?  Analyse des mesures protectrices des droits des personnes des personnes concernées  Information des personnes (loyauté et transparence)  Recueil du consentement des personnes concernées  Droit d’accès et droit à la portabilité  Droit de rectification, d’effacement, de limitation et d’opposition  Sous-traitance : contractualisation  Transferts de données en dehors de l’UE  Formalités préalables applicables au traitement o Obligation de consulter l’autorité de contrôle si les risques résiduels sont élevés. 19
  • 20. Étape 3 – Les risques Quelles sont les mesures existantes ou prévues ? 20 Sécurité des données du traitement Chiffrement Anonymisation Cloisonnement des données (par rapport au reste du système d’information) Contrôle des accès logique des utilisateur Traçabilité Sécurité des documents papier Mesures générales de sécurité Sécurité de l’exploitation Gestion des postes de travail et lutte contre les logiciels malveillants Sécurité des sites web Sauvegardes Maintenance Sécurité des canaux informatiques (réseaux) Contrôle d'accès physique Sécurité des matériels Mesures organisationnelles Politique (gestion des règles) Gestion des projets Gestion des incidents et des violations de données Gestion des personnels Relations avec les tiers
  • 21. Étape 3 – Les risques Que peut-il arriver aux personnes concernées ?  Un risque sur la « vie privée » est un scénario décrivant un événement redouté et toutes les menaces qui le rendent possible. Il est estimé en termes de gravité et de vraisemblance 21 Supports Matériels Logiciels Réseaux Personnes Supports papier Canaux papier Données Données du traitement Données liées aux mesures Impacts potentiels Vie privée Identité humaine Droits de l’homme Libertés publiques Sources de risques Supports Données Impacts potentiels Vraisemblance Gravité Menaces Événements redoutés Risques Sources de risques Personnes externes Personnes internes Sources non humaines
  • 22. Étape 3 – Les risques Comment les décrire ? 22  Les impacts sont ceux sur la vie privée des personnes concernées, et non ceux sur l’organisme  Les menaces sont tous les moyens que les risques se concrétisent  Les mesures sont celles qui contribuent à traiter le risque parmi celles identifiées  La gravité est essentiellement estimée en fonction des impacts potentiels  La vraisemblance est essentiellement estimée en fonction des vulnérabilités exploitables Accès illégitime à des données Modification non désirée de données Disparition de données Sources de risques Impacts potentiels Menaces Mesures Gravité Vraisemblance
  • 23. Étape 3 – Les risques Comment les présenter ? 23 Vraisemblance Gravité 1. Négligeable 2. Limitée 3. Important 4. Maximal 1. Négligeable 2. Limité 3. Important 4. Maximal Accès illégitime aux DCP Disparition des DCP Modification non désirée des DCP Cartographie des risques Accès illégitime aux données Disparition des données Modification non désirée des données Une cartographie des risques permet de comparer visuellement les risques les uns par rapport aux autres. Elle permet également de faciliter la détermination des objectifs pour les traiter (par « zones »).
  • 24. Étape 4 – La décision Les risques résiduels sont-ils acceptables ? 24 Dispositif choisi Enjeux Si les mesures prévues (pour respecter les principes fondamentaux et traiter les risques) sont jugées suffisantes et les risques résiduels acceptables, alors le PIA peut être validé par le responsable de traitement. Sinon, alors il convient d’identifier les objectifs pour y parvenir et de refaire une itération de la démarche.
  • 25. Le rapport de PIA 25 Rapport de PIA Introduction ‐ Présentation des enjeux Corps du PIA ‐ Description du traitement ‐ Nécessité et proportionnalité ‐ Mesures protectrices des droits ‐ Mesures de sécurité ‐ Appréciation des risques Conclusion ‐ Plan d’action (mesures) ‐ Validation formelle du PIA Le rapport de PIA est validé et signé par le responsable de traitement. Il doit être rendu accessible ou communiqué (en cas de risques résiduels élevés) aux autorités de protection des données, en tant qu’élément d’accountability. Il est également parfois utile de publier et/ou de diffuser tout ou partie du rapport de PIA.
  • 26. En synthèse  Le PIA permet de construire la mise en conformité d’un traitement (et de pouvoir le démontrer).  Mener un PIA est équivalent à ce qu’on fait actuellement pour certains traitements (dossiers de formalités et échanges avec la CNIL).  Il ne s’agit pas d’ajouter un nouveau processus, mais de faire converger les démarches existantes : vos processus habituels (audits I&L, registre, gestion des risques SSI, intégration de la sécurité dans les projets…) alimentent le PIA.  Il est facile et utile d’intégrer le point de vue « protection de la vie privée » et le point de vue « SSI / cybersécurité ». 26
  • 27. Les guides PIA de la CNIL  Pour intégrer la protection de la vie privée et la cybersécurité.  Pour faire du Privacy by design 27