Un cadre juridique unique pour l’ensemble de l’Union européenne
La nature juridique du RGPD est un règlement européen. À ce titre, il s’applique simultanément, en l’état et sans transposition requise dans chaque pays de l’Union européenne. Il peut néanmoins être complété par les droits nationaux.
Les cibles du RGPD
- Le RGPD s’applique à toutes les organisations responsables du traitement de données personnelles (soit les organismes qui décident des finalités autant que des modalités de traitement de données personnelles) ou leurs « sous-traitants », dès lors que ceux-ci sont établis sur le territoire de l’Union européenne.
- Le RGPD s’applique en outre aux données personnelles relatives à tous les résidents européens, quand bien même l’organisation responsable de leur traitement ou son « sous-traitant » n’est pas établie sur le territoire européen.
Le droit européen, et le RGPD en particulier, s’appliquera donc dans toute organisation responsable établie sur le territoire européen et/ou chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris via Internet.
Remarque
Tous les établissements publics de santé étant établis sur le territoire européen et ne pouvant embaucher durablement que des résidents européens, ils sont donc concernés à double titre par les obligations découlant du RGPD (les mêmes dispositions s’appliqueront toutefois à un agent hors union européenne qui serait embauché dans le cadre d’un contrat à durée déterminée).
La coopération renforcée entre les autorités compétentes pour les traitements de données personnelles transnationaux
Les organisations françaises, et les EPS en particulier, bénéficient d’un interlocuteur unique en matière de protection des données personnelles, lorsqu’ils mettent en œuvre des traitements transnationaux au sein de l’Union européenne : il s’agit de la Commission nationale de l’informatique et des libertés (Cnil). Ce cas de figure peut en effet survenir dans le cadre de la mutation d’un agent dans un autre pays membre mais demeure exceptionnel.
Les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD), qui veille à l’application uniforme du droit sur la protection des données.
A noter
Si la Cnil est l’interlocuteur privilégié de l’EPS dans le cadre du traitement transnational de données personnelles, a contrario les autorités de protection des données des différents États membres concernés sont juridiquement compétentes pour s’assurer de la conformité des traitements de données mis en œuvre. En clair, l’EPS pourra être contrôlé par l’autorité compétente d’un autre État membre, qui ne sera donc pas la Cnil mais son homologue.
Toutefois, afin d’assurer une réponse unique pour l’ensemble du territoire européen, la Cnil est tenue de coopérer avec les autorités de protection des données des autres pays membres afin de prononcer des positions et des décisions conjointes et partagées, notamment en termes de sanctions.
A savoir
En cas de litige quant à la décision du CEPD, décision portée localement par la Cnil, c’est le Conseil d’État qui représente la juridiction compétente auprès de laquelle l’EPS pourra porter son recours.
La consolidation des droits individuels des personnes
Le RGPD vient catégoriquement renforcer les droits individuels des personnes, en l’occurrence les agents hospitaliers, et faciliter leur mise en œuvre.
Le droit à l’information et l’expression du consentement
Le RGPD impose la mise à disposition d’une information claire, intelligible et aisément accessible aux agents hospitaliers quant à l’utilisation et la protection de leurs données personnelles collectées dans un cadre professionnel.
Ils doivent ensuite, en principe, donner leur accord exprès pour le traitement de leurs données, voire avoir la possibilité de s’y opposer.
Attention
La charge de la preuve du consentement incombe à l’hôpital et la matérialisation de ce consentement doit être « non ambiguë », en se matérialisant par exemple par la signature par l’agent d’un document explicite (élaboré et suivi par la direction des ressources humaines de l’hôpital).
Les droits nouveaux issus du RGPD
- Le droit à la portabilité des données : il permet en l’occurrence à l’agent hospitalier de récupérer les données qu’il a transmises à l’hôpital employeur sous une forme facilement réutilisable (un fichier informatique protégé, dans un format standard), afin de les transférer, le cas échéant, à un tiers, tel qu’un nouvel établissement employeur. La volonté sous-jacente à ce nouveau droit consiste à restituer aux agents la propriété et la maîtrise de leurs données personnelles.
- Le droit à réparation des préjudices matériel et/ou moral : tout agent ayant subi un dommage matériel (un préjudice financier lié à une malversation par un tiers sur la paie de l’agent par exemple) ou moral (une stigmatisation par son environnement professionnel liée à un accès illégitime à des informations personnelles sur sa situation familiale par exemple) du fait d’une violation du RGPD a le droit d’obtenir de l’hôpital employeur la réparation des dommages subis.
- Le droit à des actions collectives : à l’instar de la législation relative à la protection des consommateurs, il existe des associations spécialisées dans le domaine de la protection des droits et libertés des personnes en matière de protection des données, et celles-ci devraient se multiplier dans le contexte nouveau du RGPD. Ces organismes pourront ainsi introduire des recours collectifs contre l’hôpital en matière de protection des données personnelles. Ces recours pourront alors concerner des données de patients autant que d’agents.
Des sanctions mieux encadrées, plus fermes et échelonnées
Les responsables de traitement des données en général et les EPS en particulier peuvent faire l’objet de sanctions administratives sérieuses en cas d’insuffisance relative aux dispositions du RGPD.
L’échelle des sanctions retenues par les autorités de protection des données est la suivante :
- l’avertissement ;
- la mise en demeure de l’hôpital ;
- la limitation temporaire ou définitive d’un traitement de données désigné ;
- la suspension des flux de données (qui peut être extrêmement dommageable au bon fonctionnement de l’hôpital, y compris pour les données relatives au personnel) ;
- l’injonction de satisfaire sans délai aux demandes des agents de pouvoir exercer leurs droits précités ;
- l’injonction de corriger, circonscrire ou supprimer certaines données à caractère personnel concernant les agents hospitaliers.
Ces sanctions peuvent être assorties du retrait, par l’autorité compétente, de la certification idoine pour traiter des données à caractère personnel.
Quant aux sanctions pécuniaires dites amendes administratives, elles peuvent aller jusqu’à 10 ou 20 millions d’euros (à titre d’illustration, dans le cas d’une entreprise internationale, cette amende peut s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial).