Avril 2018 : un kit d’aide dédié à la mise en conformité avec le RGPD est également disponible pour les établissements médico-sociaux

Publié le : 9 avril 2019 par Dominique Dejean  // 0 Commentaire

Qu’est-ce que le RGPD ? (RAPPEL)

Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD) (en anglais : General Data Protection Regulation, GDPR), adopté le 27 avril 2016, constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel.

Ce Règlement est entré en vigueur dans l’ensemble des États membres à compter du 25 mai 2018.

Parmi ses mesures majeures : la nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer » en anglais dans le texte du règlement) dont le régime est explicité par les articles 37 à 39 du Règlement, est au cœur de la réforme.

 

Les établissements médico-sociaux sont concernés par le RGPD

Les établissements médico-sociaux, ainsi que leurs sous-traitants, doivent :

  1. obligatoirement désigner un délégué à la protection des données personnelles pour les deux raisons suivantes :
  • leurs activités de base les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle,
  • leurs activités de base les amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, au régime alimentaire, aux opinions politiques ou à l’appartenance syndicale.
  1. et lui confier la mise en œuvre le processus de mise en conformité (de la sensibilisation de l’entreprise à la documentation, Cf. les étapes décrites ci-après).

 

Pourquoi est-ce différent de la déclaration CNIL effectuée auparavant ?

Le RGPD n’est pas une simple adaptation européenne de la loi française « Informatique et Liberté » actuelle : il s’agit d’un changement complet de paradigme : la loi Informatique et Liberté imposait une déclaration préalable de tout traitement (souvent confondu avec logiciel). Une fois réalisée, l’établissement n’avait pratiquement aucune obligation supplémentaire.

À partir du 25 mai 2018, le RGPD inverse la charge de la preuve et impose non pas une simple déclaration mais l’existence d’un processus de protection suffisant : il appartient à l’établissement de procéder à une cartographie des risques relatifs aux données à caractères personnels pour chaque traitement et non logiciel, de les évaluer et de mettre en place des mesures pour les réduire et pour gérer les violations. En cas d’incident ou de contrôle, la CNIL, auditera le processus et non la présence d’une fiche renseignée.

 

Face à cette nouvelle exigence, souvent peu anticipée, un kit d’aide à la mise en conformité avec le RGPD est disponible pour les établissements médico-sociaux en particulier

Ce kit est mis à disposition simultanément à une formation complète synthétique à destination du DPO, des questionnaires d’évaluation pré-renseignés grâce à notre connaissance des systèmes d’information présents dans les établissements et des bases pré-renseignées pour le logiciel d’analyse d’impact standard de la CNIL (PIA).

N’hésitez pas à nous contacter

Laisser un commentaire