Atelier N°3
Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?
par Erik BOUCHER de CREVECOEUR, CNIL et Florence EON, ASIP Santé
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?
1. Règlement européen
sur la protection
des données personnelles: quels
enjeux?
Atelier animé par Erik BOUCHER de CREVECOEUR, CNIL
et Florence EON, ASIP Santé
3. La CNIL
Régulateur des données personnelles depuis 1978
Autorité administrative indépendante
Membre du Groupe des CNIL européennes (« G29 »)
3
4. L’ASIP Santé
4
Mener une action de régulation et d’urbanisation
favorisant le développement maîtrisé de la e-santé
Promouvoir la santé numérique en conduisant des
projets numériques d’intérêt national
Favoriser les usages et permettre aux acteurs de
santé de bénéficier des mutations numériques
L’ASIP Santé est l’agence française de la santé numérique. Créée en 2009, elle compte
130 collaborateurs et pilote un large portefeuille de projets organisés autour de trois
missions complémentaires :
5. Télémédecine
Dispositifs médicaux
Pharmacies en ligne
Open data en santé
Procédures de certification
mHealth
…
Le cadre juridique de la e-santé: un cadre juridique à multiples
facettes
5
Règles constituant le régime
de droit commun
Règles issues des textes
relatifs à la protection
des données
personnelles
Textes spécifiques
Protection des données
à caractère personnel
Loi Informatique et
Libertés / RGPD
Secret professionnel, droit au
respect de la vie privée, échange et
partage, équipe de soins
HDS, INS etc.
6. Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGPD)
• Directive 95/46, concerne les traitements de données à caractère personnel
• Transposée en France en 2004 dans la loi Informatique et Libertés du 6 janvier
1978
Avant le règlement UE 2016/679 du 27 avril 2016
6
• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et
Libertés
• Un texte européen, commun à tous les EM et directement applicable en France
(pas de transposition nécessaire)
• Un texte applicable dès le 25 mai 2018
• Un texte qui concerne toutes les entreprises ainsi que le secteur public
• pour tous les traitements de données à caractère personnel localisés en Europe
ou concernant des citoyens européens
Le règlement UE 2016/679 du 27 avril 2016
7. Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGPD)
Nouvelles responsabilités pesant sur le responsable de traitement (RT)
Directive 95/46 et LIL
Formalités préalables
A réaliser auprès de la CNIL (avant mise en
œuvre du traitement)
Désignation facultative d’un CIL
Responsable de traitement
A identifier / lié par contrat au sous-traitant
5 principes
• finalité du traitement
• pertinence et proportionnalité des
données
• durée de conservation limitée des
données
• sécurité et confidentialité des données
• respect des droits des personnes
RGPD
Accountability
mesures de protection des données appropriés
pour démontrer leur conformité à tout moment
Privacy by design/ Privacy by default
garantir que les traitements de données ne
portent pas atteinte à la vie privée dès la
conception
Privacy Impact Assessment
Obligation, pour les RT d'effectuer une analyse
d'impact relative à la protection des données
préalablement aux traitements présentant des
risques.
Data Protection Officer
Rendu obligatoire dans certains cas
7
8. Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGDP)
8
Nouvelles responsabilités pesant sur le sous-traitant (ST)
Notion de « responsables conjoints du traitement »
Accord répartissant les obligations respectives
Responsabilité conjointe vis-à-vis des personnes
Important pour les services Cloud
Responsabilité et obligations des sous-traitants
Le ST a une responsabilité propre (sanctions)
Il doit désigner son propre DPO (dans certains cas)
Il ne traite que sur instruction documentée du RT
Il prend toutes les mesures de sécurité requises et aide le RT (mise en œuvre des mesures de
sécurité, analyse d’impact)
Il ne (re)sous-traite pas sans autorisation du RT et vérifie préalablement l’accountability du nouveau ST
9. Règles issues des textes relatifs à la protection des données
personnelles: les apports du RUE 2016/679 (RGDP)
• Renforcement des droits des personnes
Nouveaux devoirs pour les RT :
transparence, informations supplémentaires
Nouveaux droits : droit à l’oubli, portabilité des
données, limitation
• Obligation générale de notification des failles de sécurité
Tous les RT
Dans les
meilleurs délais
> 72h
Information des personnes concernées
dans certains cas
• Renforcement des pouvoirs des autorités de contrôle et des sanctions
Montant graduel des amendes
administratives
Max 20 M ou 4% CA annuel mondial
9
10. Application au secteur de la santé
Champ d’application
10
Pas d’application aux données anonymisées /aux activités exclusivement personnelles
Différence entre anonymisation et pseudonymisation Sans lien avec une activité professionnelle ou commerciale
Donnée de santé
« données à caractère personnel relatives à la santé physique ou
mentale d'une personne physique, y compris la prestation de
services de soins de santé, qui révèlent des informations sur l'état
de santé de cette personne. » (Art. 4 15 et considérant 35)
Principe général d’interdiction de collecte et de traitement,
avec des dérogations : consentement exprès de la personne,
sauvegarde vie humaine, médecine préventive, diagnostics
médicaux, administration de soins, recherche, intérêt public.
Données à caractère personnel
Données directement identifiantes :
nom et prénom, photo, e-mail nominatif, …
Données indirectement identifiantes :
numéro de carte bancaire…
Recoupements d’informations :
« le fils aîné du notaire habitant au 11 bd
Raspail à Paris », …
11. Application au secteur de la santé
Les formalités préalables
11
Les formalités
simplifiées existantes
Les autorisations uniques :
AU-013 : Pharmacovigilance ;
AU-037 : Messagerie sécurisée ;
AU-047: Accompagnement et suivi social et
médico-social des personnes handicapées et des
personnes âgées
Les normes simplifiées
NS-050: Cabinet médical et paramédical
Les méthodologies de référence :
MR-001 : recherches biomédicales (en cours de mise à
jour)
MR-002 : études non interventionnelles de performances
en matière de dispositifs médicaux de diagnostic in vitro
MR-003 : recherches non interventionnelles
Formalités à l’heure
du RGPD
Disparition des déclarations normales
Désignation d’un DPO
Analyse d’impact (PIA)
Conformité à un référentiel sectoriel
Notification des violations de données
Les Etats membres peuvent fixer des conditions ou des
restrictions supplémentaires au niveau national
En France, maintien du régime d’autorisation/avis :
Santé, biométrie, génétique
Numéro d’identification national (NIR)
Emploi, travail
Missions d’intérêt public ou d’autorité publique
Archivage, Recherche
=> Régime relatif à l’hébergement des données de santé
12. Application au secteur de la santé
Référentiels et guides sectoriel
Il existe des documents de référence concernant la sécurité des
données de santé.
Corpus documentaire de la PGSSI-S
Référentiel d’agrément HDS
Référentiel de bonnes pratiques pour les applications et les objets
connectés en santé
Il existe des référentiels sectoriels opposables.
Certains référentiels PGSSI-S ont vocation à être rendus opposables :
gouvernance, authentification, traçabilité (Art. L1110-4-1 du code de la santé
publique)
Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L1111-8 du
code de la santé publique)
Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous
les systèmes mettant à disposition des données du SNDS. (Arrêté du 22
mars 2017)
12
14. Privacy Impact Assessment
14
Respect
des
principes
fondamen-
taux
Gestion
des risques
sur la vie
privée
PIA
Privacy
Impact
Assessment
Les principes et droits
fondamentaux (finalité,
information…), « non
négociables », fixés
par la loi, devant être
respectés et ne
pouvant faire l’objet
d’aucune modulation
La gestion des risques
sur la vie privée des
personnes concernées,
qui permet de déterminer
les mesures techniques
et d’organisation
appropriées pour
protéger les données
Le Privacy Impact
Assessment (PIA) est
un moyen de se
mettre en conformité
et de le démontrer
(notion
d’accountability)
15. À quoi s’applique un PIA ?
15
Produits Traitements
Il s’adresse aux fournisseurs
(dont les solutions seront utilisées dans de
nombreux traitements)
Le PIA est idéalement mené
dans le cadre de la
conception de leurs produits.
Il s’adresse aux responsables
de traitements
Le PIA est idéalement mené
dans le cadre de la conception
de leurs traitements de
données à caractère personnel.
16. PIA : démarche méthodologique
Experts techniquesJuristes
Contexte
Description fonctionnelle
Données
Supports des données
Etc.Principes fondamentaux
Proportionnalité et
nécessité
Mesures protectrices
des droits
Risques liés à la
sécurité des données
Mesures existantes ou
prévues
Appréciation des
risques
Validation du PIA
Évaluation (intégrée aux
étapes précédentes)
Plan d’action (intégré aux
étapes précédentes)
Décision
16
Réitérations possibles
(PIA non validé, mise à
jour du traitement…)
17. Étape 1 – Le contexte
De quoi parle-t-on ?
Le traitement de données à caractère personnel
Quelle est sa finalité ?
Quels sont ses apports ? (pour l’organisme, pour les personnes
concernées, pour la société…)
Le plus important : comprendre le cycle de vie des données
Quelles sont les données ?
Qui sont les destinataires ?
Qui peut y accéder ?
Quelle est leur durée de conservation ?
Quelles sont les étapes du traitement ?
Sur quoi reposent-elles ?
17
Collecte Conservation Utilisation Transfert Destruction
18. Étape 2 – Les principes fondamentaux
Quel est le dispositif prévu ?
Analyse des mesures garantissant la proportionnalité
et la nécessité du traitement
Finalités déterminées, explicites et légitimes
Fondement/licéité du traitement – interdiction du
détournement de finalité
Données adéquates, pertinentes, non excessives
(minimisation)
Donnée exactes et tenues à jour
Durées de conservation limitées
18
19. Étape 2 – Les principes fondamentaux
Quel est le dispositif prévu ?
Analyse des mesures protectrices des droits des
personnes des personnes concernées
Information des personnes (loyauté et transparence)
Recueil du consentement des personnes concernées
Droit d’accès et droit à la portabilité
Droit de rectification, d’effacement, de limitation et
d’opposition
Sous-traitance : contractualisation
Transferts de données en dehors de l’UE
Formalités préalables applicables au traitement
o Obligation de consulter l’autorité de contrôle si les risques
résiduels sont élevés.
19
20. Étape 3 – Les risques
Quelles sont les mesures existantes ou prévues ?
20
Sécurité des données du traitement
Chiffrement
Anonymisation
Cloisonnement des données
(par rapport au reste du
système d’information)
Contrôle des accès logique des
utilisateur
Traçabilité
Sécurité des documents papier
Mesures générales de sécurité
Sécurité de l’exploitation
Gestion des postes de travail et
lutte contre les logiciels
malveillants
Sécurité des sites web
Sauvegardes
Maintenance
Sécurité des canaux
informatiques (réseaux)
Contrôle d'accès physique
Sécurité des matériels
Mesures organisationnelles
Politique (gestion des règles)
Gestion des projets
Gestion des incidents et des
violations de données
Gestion des personnels
Relations avec les tiers
21. Étape 3 – Les risques
Que peut-il arriver aux personnes concernées ?
Un risque sur la « vie privée » est un scénario décrivant un événement
redouté et toutes les menaces qui le rendent possible. Il est estimé en
termes de gravité et de vraisemblance
21
Supports
Matériels
Logiciels
Réseaux
Personnes
Supports papier
Canaux papier
Données
Données du
traitement
Données liées
aux mesures
Impacts potentiels
Vie privée
Identité humaine
Droits de l’homme
Libertés publiques
Sources de
risques
Supports Données
Impacts
potentiels
Vraisemblance Gravité
Menaces Événements redoutés
Risques
Sources de risques
Personnes externes
Personnes internes
Sources non
humaines
22. Étape 3 – Les risques
Comment les décrire ?
22
Les impacts sont ceux sur la vie privée des personnes concernées, et non ceux sur l’organisme
Les menaces sont tous les moyens que les risques se concrétisent
Les mesures sont celles qui contribuent à traiter le risque parmi celles identifiées
La gravité est essentiellement estimée en fonction des impacts potentiels
La vraisemblance est essentiellement estimée en fonction des vulnérabilités exploitables
Accès illégitime à
des données
Modification non
désirée de données
Disparition de
données
Sources de risques
Impacts potentiels
Menaces
Mesures
Gravité
Vraisemblance
23. Étape 3 – Les risques
Comment les présenter ?
23
Vraisemblance
Gravité
1. Négligeable
2. Limitée
3. Important
4. Maximal
1. Négligeable 2. Limité 3. Important 4. Maximal
Accès illégitime
aux DCP
Disparition des
DCP
Modification
non désirée des
DCP
Cartographie
des risques
Accès illégitime
aux données
Disparition des
données
Modification
non désirée des
données
Une cartographie
des risques
permet de
comparer
visuellement les
risques les uns par
rapport aux autres.
Elle permet
également de
faciliter la
détermination
des objectifs pour
les traiter (par
« zones »).
24. Étape 4 – La décision
Les risques résiduels sont-ils acceptables ?
24
Dispositif
choisi
Enjeux
Si les mesures prévues
(pour respecter les
principes fondamentaux
et traiter les risques) sont
jugées suffisantes et les
risques résiduels
acceptables, alors le PIA
peut être validé par le
responsable de
traitement.
Sinon, alors il convient
d’identifier les objectifs
pour y parvenir et de
refaire une itération de
la démarche.
25. Le rapport de PIA
25
Rapport de PIA
Introduction
‐ Présentation des enjeux
Corps du PIA
‐ Description du traitement
‐ Nécessité et proportionnalité
‐ Mesures protectrices des droits
‐ Mesures de sécurité
‐ Appréciation des risques
Conclusion
‐ Plan d’action (mesures)
‐ Validation formelle du PIA
Le rapport de PIA est
validé et signé par le
responsable de
traitement.
Il doit être rendu
accessible ou
communiqué (en cas
de risques résiduels
élevés) aux autorités de
protection des données,
en tant qu’élément
d’accountability.
Il est également parfois
utile de publier et/ou de
diffuser tout ou partie
du rapport de PIA.
26. En synthèse
Le PIA permet de construire la mise en conformité d’un
traitement (et de pouvoir le démontrer).
Mener un PIA est équivalent à ce qu’on fait actuellement
pour certains traitements (dossiers de formalités et échanges
avec la CNIL).
Il ne s’agit pas d’ajouter un nouveau processus, mais de faire
converger les démarches existantes : vos processus
habituels (audits I&L, registre, gestion des risques SSI,
intégration de la sécurité dans les projets…) alimentent le PIA.
Il est facile et utile d’intégrer le point de vue « protection de
la vie privée » et le point de vue « SSI / cybersécurité ».
26
27. Les guides PIA de la CNIL
Pour intégrer la protection de la vie privée et la cybersécurité.
Pour faire du Privacy by design
27