Hospitalia et les impacts du RGPD pour les acteurs de santé
Marguerite Brac de La Perrière, interrogée sur les impacts du RGPD pour les acteurs de santé, répond à Anaïs Guilbaud pour la revue Hospitalia.
Ainsi que le présente Anaïs Guilbaud, le Règlement Général pour la Protection des Données (RGPD) adopté le 27 avril 2016, entrera en vigueur le 25 mai 2018. Cette nouvelle réglementation européenne, qui vise à renforcer la protection des données personnelles, repose sur une plus grande responsabilisation des acteurs de traitements et de leurs sous-traitants. Si de nombreuses formalités auprès de la CNIL sont amenées à disparaître, les structures et entreprises concernées devront désormais assurer une protection appropriée des données dès la conception et par défaut, mais également être en mesure de démontrer leur conformité avec le règlement à tout moment. Des changements à anticiper dès maintenant, au regard des sanctions encourues. Elle a donc interrogé Marguerite Brac de La Perrière, Avocate au cabinet Lexing Alain Bensoussan Avocats, Directrice du département santé numérique, sur les impacts du RGPD pour les acteurs de santé.
Morceaux choisis
Selon Marguerite Brac de La Perrière, le RGPD vise à « créer un espace de confiance, permettant d’assurer, aux personnes dont les données sont traitées, le respect de leurs droits ».
Un enjeu majeur au regard des sanctions encourues : selon l’avocate, jusque là, celles-ci « n’étaient pas réellement dissuasives notamment en comparaison de l’investissement nécessaire à une mise en conformité ».
Et Marguerite Brac de La Perrière de préciser : « Nous voyons déjà les effets de cette responsabilisation chez nos clients qui se bousculent pour cartographier leurs traitements, identifier les écarts à la réglementation, et entreprendre les actions nécessaires à leur mise en conformité. Si dans le domaine de la santé, les acteurs, respectueux du secret médical, étaient déjà sensibilisés et relativement vigilants vis-à-vis de la protection des données, des adaptations organisationnelles, techniques et juridiques s’imposent, notamment face à l’évolution des outils numériques.«
Quant à la désignation du délégué à la protection des données (DPO), nouveau pivot de la conformité RGPD, il conviendrait de choisir quelqu’un « qui a la possibilité de conduire ses missions en toute indépendance, d’obtenir les moyens de les réaliser, et qui rapporte au niveau le plus élevé de la direction« .
S’agissant plus particulièrement du monde de la santé, Marguerite Brac de La Perrière estime que « la sécurité des données passe par une stricte politique d’habilitations, des accès authentifiés à l’aide d’un moyen d’authentification forte, la traçabilité, le chiffrement des données ou des flux, et en tous cas des sauvegardes, et un hébergement sécurisé et dédié des données« .
In fine, avec la mise en conformité au RGPD, il s’agit d’un « travail d’envergure que de déterminer les écarts avec la réglementation. Dans le cas d’un établissement de santé, il faudra analyser le cheminement des données de leur collecte à leur suppression définitive, c’està-dire processus par processus, et ce, service par service. Il y a donc lieu de se faire aider, sur les plans juridique et technique, afin d’être en mesure d’établir une feuille de route permettant d’arriver à une complète conformité« .
Eric Bonnet
Lexing Département Communication juridique
Lire l’article :
Interview de Marguerite Brac de La Perrière par Anaïs Guilbaud, « Mise en place du RGPD : ce qu’il faut savoir« , Hospitalia n° 39 déc. 2017 p.38.