Scroll Top
Code de conduite RGPD
Partager l'article



*




« Security is always excessive until it’s not enough »

Cette citation de Robbie Sinclair, leader australien dans de multiples secteurs publics de la sécurité, prend tout son sens aujourd’hui. L’impact de la violation de nos données personnelles se fait de plus en plus lourd et résonne au sein du secteur de la santé.

Les données de santé sont des données à caractère personnel sensibles pour lesquelles les processus de sécurité sont en voie d’amélioration et des outils sont créés pour garantir cette protection.

La « tornade « RGPD » » se fait écho des nombreux cas exposés dans les médias, et engage ainsi les acteurs dans une démarche d’amélioration continue de la protection de nos données, notamment dans les établissements de santé.

Dans le cadre de l’entrée en vigueur du règlement européen à la protection des données (ci-après « RGPD »)[1], l’un des apports majeurs est le principe d’« accountability », entraînant l’obligation, pour les personnes traitant des données à caractère personnel, de se « responsabiliser ». Ce terme est d’autant plus large qu’il sous-tend la constitution d’un dossier de conformité constitué par un ensemble d’outils.

Il est prévu par l’article 40 du RGPD[2], l’élaboration d’un code de conduite, à destination des acteurs entrant dans une démarche de mise en conformité au RGPD.

Les autorités européennes encouragent le développement de codes de conduite, qui ont vocation à préciser les modalités d’application du règlement, et notamment le caractère loyal et transparent du traitement, la pseudonomysation des données, l’exercice des droits des personnes concernées, le transfert des données hors UE, la notification à la CNIL en cas de violation.

Les associations et autres organismes (organismes professionnels tels que les syndicats, fédérations régionales ou nationales etc.), représentant les établissements du secteur sanitaire, social, médico-social[3], peuvent ainsi élaborer un code de conduite[4], et le soumettre à l’autorité de contrôle pour approbation. Dans ce cas, le code de conduite devient opposable en cas de contrôle.

Les établissements de santé d’un même organisme ou d’une association ont ainsi la possibilité de se regrouper en vue d’élaborer leur propre code de conduite. A cette occasion, la constitution de comités et groupes de travail auront pour objectif commun de développer les codes appartenant à leurs activités et leur secteur pour répondre aux obligations du RGPD.

Les structures du secteur sanitaire, social et médico-social deviennent, en se dotant d‘un code de conduite, de véritables acteurs de la protection des données de santé.

La CNIL, autorité de contrôle compétente sur le territoire français, est amenée à rendre un avis sur la construction du code de conduite, et approuve le projet s’il « offre des garanties appropriées suffisantes ». Après avoir rendu son avis et constaté le respect des dispositions du RGPD, elle enregistre et publie le code[5].

Afin de garantir le respect du code de conduite, et pour que celui-ci ne se contente pas d’exister sans être appliqué, il peut, sans préjudice des missions confiées à la CNIL, faire l’objet d’un contrôle régulier par un organisme agréé[6]. Cet organisme disposera d’ « un niveau d’expertise approprié eu égard à l’objet du code ».

Ce mécanisme de suivi du respect des codes de conduite, approuvés par l’autorité de contrôle compétente, vient toutefois trouver une limite à ne pas négliger. Le présent article 41 du RGPD précise, dans son dernier paragraphe, qu’il n’est pas applicable au traitement réalisé par les autorités publiques ou les organismes publics.

Bien que les missions de contrôle et de suivi du code de conduite soient confiées à un organisme agréé, le règlement n’offre ici qu’une possibilité de plus pour renforcer la protection des données de santé. Le contrôle du suivi du respect du code de conduite par les établissements de santé membres ou adhérents de l’organisme reste confié à l’autorité de contrôle compétente de chaque État membre.

Les organismes du secteur public se dotant d’un code de conduite n’ont pas la possibilité de recourir à un organisme agréé pour le suivi du respect dudit code, alors que les organismes privés (à but lucratif ou non) disposent de la faculté de recourir à un organisme agréé pour en assurer le suivi.

Cet outil est un moteur pour l’ensemble des acteurs du système de santé.

Cet engagement naît de la volonté des établissements membres ou adhérents. En se constituant un code de conduite, ils créent leurs propres « bonnes pratiques ».

Nous nous situons dans un process dit « bottom-up » ouvrant la voie aux établissements de santé de s’investir dans la protection des données. Cette démarche de regroupement des établissements dans la constitution d’un code de conduite pourrait être l’initiative des directions qualité, fonction transversale et au cœur des processus de rédaction de chartes, guides et procédures.

Cette possibilité offerte aux associations et organismes de santé est l’opportunité, en traduisant dans un code unique, de créer des modalités et mécanismes afin  d’assurer la conformité aux principes du règlement européen.

Être conforme au RGPD se traduit par une démarche active qu’il est impératif de mettre en œuvre. L’élaboration du code de conduite s’intègre dans cette voie, et demeure l’une des garanties principales de la volonté d’atteindre une protection adaptée, dans un secteur où nos données de santé doivent être protégées au plus haut niveau de sécurité.

[1] Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[2] Pour consulter les dispositions de l’article 40 du RGPD.

[3] Il s’agit des établissements de santé peu importe qu’ils appartiennent à des catégories  de responsables de traitement ou de sous-traitants.

[4] Ils ont le choix de prendre « l’engagement contraignant et doté de force obligatoire au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer […] » les garanties issues du code de conduite qu’ils auront élaboré.

[5] Dans le cas où les activités de traitements sont menées dans plusieurs États membres, alors la CNIL devra soumettre le projet de code de conduit à un comité selon la procédure vise à l’article 63 du RGPD. Ce comité rendra un avis et le soumettra à la Commission qui peut décider, par voie d’acte d’exécution, que le code est applicable sur le territoire de l’Union européenne. La procédure d’examen par la Commission est prévue à l’article 93, paragraphe 2 du RGPD.

[6] L’article 41 du RGPD prévoit les conditions auxquels l’organisme doit satisfaire pour obtenir l’agrément par l’autorité de contrôle. En France, il revient à la CNIL de rendre un avis sur le projet de critères d’engagement de l’organisme en voie d’obtention d’agrément.