Comment s’assurer du suivi des normes relatives à la protection des données ?

Parmi les obligations issues du RGPD, la désignation d’un délégué à la protection des données s’impose comme un outil de sécurisation et d’animation de la politique de protection des données. Ce délégué à la protection des données a pris la suite du correspondant informatique et libertés (CIL), qui a existé jusqu’en mai 2018 sous l’empire de la loi Cnil. La désignation, la fonction et les missions du délégué sont prévues par les articles 37 à 39 du RGPD . On retiendra qu’un délégué à la protection des données est désigné lorsque : le traitement est effectué par une autorité publique ou un organisme public ; les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 du RGPD (dont les données de santé, point h ).

Peut-on recueillir tout type de données concernant une personne prise en charge ?

Non, et pour deux raisons : d’une part, selon le principe de proportionnalité et, d’autre part, selon celui de pertinence. En effet, le RGPD impose la minimisation de la collecte et/ou conservation des données, ce qui signifie que les informations collectées enregistrées doivent être pertinentes et strictement nécessaires au moment de leur collecte au regard de la finalité du fichier.

Le profilage peut-il être utilisé dans le cadre de la prise en charge des usagers du système de santé ?

Le profilage est le fait d’utiliser des traitements notamment pour analyser ou prédire des éléments concernant la santé, les préférences personnelles, les intérêts, le comportement, la localisation ou les déplacements de cette personne physique. Le RGPD prévoit le profilage dans son article 22, mais y apporte des limites. En effet, le profilage ne peut être utilisé que si le traitement est fondé sur le consentement explicite de la personne, que la décision automatisée est nécessaire à la conclusion ou l’exécution d’un contrat, ou que ces décisions automatisées sont encadrées par des dispositions légales spécifiques. De plus, toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Pour ce qui concerne les données de santé, aucune disposition ne le permet. Aussi, le profilage est interdit dans le domaine de la santé.

Les référentiels de la CNIL portant sur la protection des données sont-ils contraignants ?

Non. Les responsables de traitement peuvent s’écarter de ses préconisations (par exemple, en identifiant d’autres bases de traitement pour tel ou tel traitement spécifique, etc.), à condition toutefois de pouvoir justifier leur choix et qui demeure de leur responsabilité.

Santé

11046

Les obligations des établissements à l’égard des usagers en matière de traitements de données

Droit à l'information CNIL Loi et réglementation Information du patient

Mise à jour le 29 juin 2023

Nos fiches mettent en partage l’expérience terrain. Elles vous offrent un décryptage synthétique d’une problématique et vous accompagnent dans la compréhension des différents enjeux.

Contexte

La protection des données était jusqu’à présent régie, en droit français, par la loi informatique et libertés du 6 janvier 1978 (dite « loi Cnil »). Le règlement communautaire 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel est entré en vigueur le 25 mai 2018. Il constitue le cadre normatif imposé pour les traitements de données existants dans les établissements sanitaires et médico-sociaux. La loi Cnil a été elle-même mise en conformité avec le règlement général sur la protection des données (RGPD) de manière définitive en juin 2019. Le RGPD, qui crée des droits et en renforce un certain nombre pour la personne concernée par des traitements, est régulièrement la référence à laquelle la loi informatique et liberté renvoie. Ces droits sont parallèlement autant d’obligations pour les établissements que pour les professionnels responsables de la protection de ces données.

La lecture complète de cette fiche
et le téléchargement du pdf sont réservés aux abonnés

Se connecter

Vous êtes abonné à cette offre ?
Connectez-vous !

Faire un essai gratuit

Pas encore abonné ?
Cette fiche est incluse dans l'offre :

Responsabilités des professionnels

Tester gratuitement

RESTEZ EN CONTACT

Recevez toute l'actualité en temps réel des dossiers, les nouvelles fiches, les mises à jour, les nouveaux outils...