Effigen > Blog > Hôpitaux & Cliniques > Février 2018 : J – 3mois ! un kit de préparation au RGPD est disponible

Février 2018 : J – 3mois ! un kit de préparation au RGPD est disponible

Publié le : 14 février 2018 par Dominique Dejean

Qu’est-ce que le RGPD ? (RAPPEL)

Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD) (en anglais : General Data Protection Regulation, GDPR), adopté le 27 avril 2016, constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel.

Ce Règlement sera d’application directe dans l’ensemble des États membres à compter du 25 mai 2018.

Parmi ses mesures majeures : la nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer » en anglais dans le texte du règlement) dont le régime est explicité par les articles 37 à 39 du Règlement, est au cœur de la réforme.

 

Les établissements de santé sont concernés par le RGPD

Les établissements de santé et leurs sous-traitants devront :

  1. obligatoirement désigner un délégué à la protection des données personnelles pour les deux raisons suivantes :
  • leurs activités de base les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle,
  • leurs activités de base les amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.
  1. et lui confier la mise en œuvre le processus de mise en conformité (de la sensibilisation de l’entreprise à la documentation, Cf. les étapes décrites ci-après).

 

Pourquoi est-ce différent de la déclaration CNIL effectuée auparavant ?

Le RGPD n’est pas une simple adaptation européenne de la loi française « Informatique et Liberté » actuelle : il s’agit d’un changement complet de paradigme : la loi Informatique et Liberté imposait une déclaration préalable de tout traitement (souvent confondu avec logiciel). Une fois réalisée, l’établissement n’avait pratiquement aucune obligation supplémentaire.

À partir du 25 mai 2018, le RGPD inverse la charge de la preuve et impose non pas une simple déclaration mais l’existence d’un processus de protection suffisant : il appartient à l’établissement de procéder à une cartographie des risques relatifs aux données à caractères personnels pour chaque traitement et non logiciel, de les évaluer et de mettre en place des mesures pour les réduire et pour gérer les violations. En cas d’incident ou de contrôle, la CNIL, auditera le processus et non la présence d’une fiche renseignée.

 

Face à cette nouvelle exigence, souvent peu anticipée, un kit de préparation au RGPD est disponible pour les établissements de santé privé en particulier

Ce kit comprend une formation complète synthétique pour le DPO, des questionnaires d’évaluation pré-renseignés grâce à notre connaissance des systèmes d’information présents dans les établissements et des bases pré-renseignées pour le logiciel d’analyse d’impact standard de la CNIL (PIA).

N’hésitez pas à nous contacter