Scroll Top
Actualités Commande publique Santé numérique
Partager l'article



*




 

Le Conseil de l’Union Européenne, puis le Parlement européen ont adopté en avril 2016 un nouveau règlement qui bouleverse la loi Informatique et Libertés. Ce règlement « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » est d’application directe dans tous les Etats membres à compter du 25 mai 2018 sans qu’il soit nécessaire de le transposer dans les législations nationales.

Ce nouveau règlement allège les procédures administratives préalables au traitement des données à caractère personnel mais renforce les obligations en termes de droits des personnes, de sécurité et de confidentialité des données ainsi que le contrôle des citoyens sur l’utilisation de ses données.

Le texte de ce règlement, qui comprend 99 articles, introduit une nouvelle logique en responsabilisant le responsable du traitement. Il va nécessiter de la part de tous les établissements (quelle que soit leur taille) comme des professionnels de santé libéraux, qui traitent de données personnelles, un investissement important pour répondre aux nouvelles exigences qu’il impose : analyse d’impact, création d’un registre des traitements, nomination d’un délégué à la protection des données (DPO). L’ensemble des personnels concernés par ces traitements va devoir être sensibilisé à ces nouvelles exigences. Les sanctions prévues en cas de manquement ont été considérablement renforcées.

 

            Maître Nasséma MAHMOUDI, Maître Claude EVIN

 

***

  1. De quelles données s’agit-il ?

Le règlement s’applique au « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » (art. 2.1)

Les données à caractère personnel sont définies comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». L’identification de cette personne pouvant être faite « directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (art.4.1).

Pour la première fois, par ailleurs, un texte européen définit les données de santé. Il s’agit des « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». (art. 4.15)

Sont donc notamment concernés les dossiers médicaux des patients ou des personnes prises en charge.

 

  1. D’une logique déclarative à une responsabilisation des acteurs

 

Le responsable du traitement ne sera plus tenu de faire des déclarations préalables à l’autorité de contrôle, (en l’occurrence la CNIL), mais il devra « mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».  (art. 24)

Avant la mise en place d’un traitement de données, qui peut engendrer un risque élevé pour les droits et libertés des personnes physiques, une étude d’impact devra être réalisée. (art. 35)

Dans le cas où l’analyse d’impact indiquerait que le traitement présenterait « un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque », il devra être procédé à une consultation préalable de l’autorité de contrôle. (art. 36)

Le niveau élevé du risque n’est pas précisé. Cette imprécision laissera place à des interprétations qui ne manqueront pas de conduire à des décisions jurisprudentielles.

Cette même incertitude, quant à l’appréciation du niveau de risque, concerne l’obligation pour les responsables de traitement de signaler la violation de données à caractère personnelles. Ils devront, dans ce cas, le notifier à l’autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ». Lorsque la notification à l’autorité de contrôle n’aura pas eu lieu dans les 72 heures, elle devra être accompagnée des motifs du retard. (art. 33)

Dans le cas d’une violation de données engendrant un risque « élevé » en matière de confidentialité, les personnes concernées devront également être informées. (art. 34)

Un registre des traitements devra être obligatoirement tenu par le responsable du traitement, mais aussi par les éventuels sous-traitants. Il devra pouvoir être mis à tout moment à disposition des autorités de contrôle.

Les organisations de moins de 250 personnes ne seront pas tenues à cette obligation (sauf si le traitement comporte un risque pour les droits et libertés des personnes, qu’il est récurrent, qu’il concerne des données sensibles ou relatives à des condamnations et infractions pénales). (art. 30)

 

  1. Le traitement de données à caractère personnel devra faire l’objet d’un consentement clair et explicite

 

Le responsable de traitement devra être en mesure de démontrer que les personnes concernées par le traitement les concernant ont donné leur consentement. Celui-ci est ainsi défini : « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (art. 4)

Si le consentement écrit est donné dans un document comportant d’autres déclarations, la demande de consentement se fera sous « une forme qui la distingue clairement ». Le consentement devra être formulé dans des termes clairs et simples. (art 7)

La charge de la preuve du recueil du consentement incombera au responsable de traitement. Un moyen de retrait simple du consentement sera également mis en place.

Toutefois, le règlement prévoit divers cas pour lesquels le traitement des données demeurera licite sans consentement. Il en est ainsi, par exemple, lorsque le traitement est nécessaire au respect d’une obligation légale, ou à la sauvegarde des intérêts vitaux de la personne concernée ; ou lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public. (art. 6)

Il faut, ici, rappeler que le dossier médical partagé (DMP), qui, par principe, contient des données à caractère personnel, ne peut être créé que « sous réserve du consentement express de la personne ou de son représentant légal ». (art. L. 1111-14, CSP)

Une personne devra, sous certaines conditions[1], être mesure de recevoir les données la concernant et les transmettre à un autre responsable de traitement sans que le responsable de traitement initial ne puisse s’y opposer. Elle pourra aussi obtenir la limitation du traitement de ses données à caractère personnel.

 

  1. Une organisation interne devra être mise en place avec la désignation d’un délégué à la protection des données (DPO)

 

La loi informatique et libertés avait créé le Correspondant Informatique et libertés (le CIL) que les entreprises ou organismes avaient la possibilité de désigner selon une procédure pilotée par la CNIL.

Le règlement européen rend obligatoire, dans certains cas, la nomination d’un délégué à la protection des données (Data Protection Officer, DPO) au sein des organismes privés ou publics.

Cette obligation concerne systématiquement les autorités ou les organismes publics, mais aussi tous les organismes, (donc y compris privés) dont « les activités de base … exigent un suivi régulier et systématique à grande échelle des personnes concernées » (art. 37)

Nous rencontrons là une autre incertitude avec cette notion de « suivi à grande échelle ». Que recouvre-t-elle ? A partir de quel seuil peut-on se sentir concerné ?

Il nous semble souhaitable de recommander à tous les établissements de désigner systématiquement un DPO, puisque toutes les structures devront pouvoir rendre compte à l’autorité de contrôle de l’état de leurs traitements de données.

Il sera toutefois possible de désigner un DPO pour plusieurs entreprises à condition qu’il « soit facilement joignable à partir de chaque lieu d’établissement » ou pour plusieurs autorités ou organismes publics compte tenu de leur structure organisationnelle et de leur taille.

La nomination d’un DPO unique au sein d’un GHT, voire au sein d’autres formes de groupements, va donc devoir être envisagée. Compte tenu des compétences nécessaires, il sera en effet préférable de mutualiser cette fonction.

Le délégué à la protection des données pourra être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

Le DPO sera associé à toutes les décisions qui, au sein de l’établissement sont relatives à la protection des données. Il devra informer et conseiller le responsable de traitement ainsi que les employés qui procèdent au traitement des données sur les obligations qui leur incombent. Il devra contrôler le respect du règlement, dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact, coopérer avec l’autorité de contrôle ; faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet. (art. 38 et 39)

 

  1. Des sanctions dissuasives en cas de manquement

 

Pendant longtemps, l’amende maximale que pouvait infliger la CNIL était de 150 000 euros et de 300 000 euros en cas de récidive. La loi pour une République numérique du 7 octobre 2016 a fixé à 3 millions d’euros le plafond de l’amende que pouvait fixer la CNIL.

Le règlement européen a considérablement augmenté les sanctions. En fonction de la nature de l’infraction, il pourra désormais y avoir des sanctions pécuniaires d’un montant de 2% à 4% du chiffre d’affaires, montant qui peut se situer dans une fourchette allant de 10 à 20 millions d’euros.

Ces sanctions seront donc bien plus importantes que celle du régime actuel. En conséquence, la mise en conformité au règlement européen dans les différents organismes revêt une importance particulière.

 

***

 

Comme nous l’avons déjà indiqué ce règlement sera directement applicable le 25 mai 2018. Sa mise en œuvre ne pourra se faire au dernier moment. Il s’agit là d’une matière complexe qui, de plus, exige de travailler en amont sur les process qui en découlent.

Nous ne saurions trop recommander à tous les établissements qui ne l’auraient déjà engagé de lancer dès maintenant la préparation de la mise en conformité avec le règlement européen. En commençant par désigner un pilote de la gouvernance des données personnelles traitées, et en recensant de façon précise les traitements de données personnelles pour mesurer concrètement l’impact de ce nouveau règlement.

 

Même si la CNIL a d’ores et déjà mis en ligne un guide pour se préparer[2] à cette nouvelle réglementation, l’accompagnement et le conseil pour la mise en conformité ne seront pas inutiles.

[1] Guidelines on the right to data portability adopted on 5 April 2017

[2] https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes