Les obligations des établissements à l’égard des usagers en matière de traitements de données

Repères :

1 Les droits créés ou renforcés par le RGPD
2 Permettre l’accès à toute personne aux informations la concernant intégrées à un traitement de données
3 Rectifier et effacer les données inexactes
4 Limiter et s’opposer aux traitements des données
5 Le droit à recevoir une notification pour toute demande effectuée auprès du responsable du traitement

1

Les droits créés ou renforcés par le RGPD

Un des objectifs du RGPD est de renforcer les droits des personnes concernées par les traitements de données personnelles afin de leur permettre de les maîtriser. Certains de ces droits existant dans la législation française sont repris et renforcés, d’autres droits ont été créés par le règlement européen lui-même.

Une des responsabilités des responsables de traitements (directeurs des établissements de santé et médico-sociaux), aidés des délégués à la protection des données (DPO ou DPD), est notamment d’informer les usagers de leurs droits et de la manière de les mettre en œuvre.

Les droits renforcés par le RGPD au regard de ceux que la loi Cnil garantie depuis 1978 :

le droit d’information ( RGPD , art. 12 à 14 ; L. n° 78-17, 6 janv. 1978, art. 48 ) ;
le droit d’accès (RGPD, art. 15 ; L. n° 78-17, 6 janv. 1978, art. 49 et 64) ;
le droit de rectification (RGPD, art. 16 ; L. n° 78-17, 6 janv. 1978, art. 50) ;
le droit à l’oubli (RGPD, art. 17 ; L. n° 78-17, 6 janv. 1978, art. 51) ;
le droit d’opposition (RGPD, art. 21 ; L. n° 78-17, 6 janv. 1978, art. 56) ;
le droit à réclamation (L. n° 78-17, 6 janv. 1978, art. 39) ;
le droit de recevoir une notification (obligation pour le RT) informant des rectifications, effacement ou limitation (L. n° 78-17, 6 janv. 1978, art. 54).

Les droits créés par le RGPD au regard de ceux que la loi CNIL garantie depuis 1978 :

la création du droit à la limitation du traitement/utilisation des données (RGPD, art. 18 ; L. n° 78-17, 6 janv. 1978, art. 53) ;
la création du droit à la portabilité (RGPD, art. 20 ; L. n° 78-17, 6 janv. 1978, art. 55 – non applicable en milieu sanitaire et médico-sociale) ;
l’élargissement des cas de notification des failles de sécurité (les violations de données ; RGPD, art. 34) ;
la création du droit à réparation (RGPD, art. 82) ;
le renforcement du consentement (RGPD, art. 7).

Attention

Certains de ces droits ne sont cependant pas applicables, ou d’application réduite, dans les structures de prise en charge des patients et des résidents, eu égard à l’application d’autres législations internes telles que le Code de la santé publique et le Code du patrimoine.

Ne sont pas applicables : le droit à la portabilité des données, le profilage (bien qu’il ne soit pas un droit à proprement parlé mais un processus de prise de décision pour une personne).

Sont d’application réduite : le droit d’opposition, le droit à l’oubli, le droit au consentement de la création d’un traitement de données.

2 >>

Repères :

1 Les droits créés ou renforcés par le RGPD
2 Permettre l’accès à toute personne aux informations la concernant intégrées à un traitement de données
3 Rectifier et effacer les données inexactes
4 Limiter et s’opposer aux traitements des données
5 Le droit à recevoir une notification pour toute demande effectuée auprès du responsable du traitement

<< 1 3 >>

Repères :

1 Les droits créés ou renforcés par le RGPD
2 Permettre l’accès à toute personne aux informations la concernant intégrées à un traitement de données
3 Rectifier et effacer les données inexactes
4 Limiter et s’opposer aux traitements des données
5 Le droit à recevoir une notification pour toute demande effectuée auprès du responsable du traitement

<< 2 4 >>

Repères :

1 Les droits créés ou renforcés par le RGPD
2 Permettre l’accès à toute personne aux informations la concernant intégrées à un traitement de données
3 Rectifier et effacer les données inexactes
4 Limiter et s’opposer aux traitements des données
5 Le droit à recevoir une notification pour toute demande effectuée auprès du responsable du traitement

<< 3 5 >>

Repères :

1 Les droits créés ou renforcés par le RGPD
2 Permettre l’accès à toute personne aux informations la concernant intégrées à un traitement de données
3 Rectifier et effacer les données inexactes
4 Limiter et s’opposer aux traitements des données
5 Le droit à recevoir une notification pour toute demande effectuée auprès du responsable du traitement

<< 4

Notre conseil

Évitez les erreurs

Faq

Comment s’assurer du suivi des normes relatives à la protection des données ?

Parmi les obligations issues du RGPD, la désignation d’un délégué à la protection des données s’impose comme un outil de sécurisation et d’animation de la politique de protection des données.

Ce délégué à la protection des données prendra la suite du correspondant informatique et libertés (CIL), qui a existé jusqu’en mai 2018 sous l’empire de la loi Cnil.

La désignation, la fonction, et les missions du délégué sont prévues par les articles 37 à 39 du RGPD .

On retiendra qu’un délégué à la protection des données est désigné lorsque :

le traitement est effectué par une autorité publique ou un organisme public ;
les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 du RGPD (dont les données de santé, point h).

Existe-t-il des délais de transmission des données de santé différents de ceux actuellement prévus à l’ article L. 1111-7 du CSP ?

Selon l’article 12, al. 3, du RGPD, la transmission des données doit être effectuée dans les meilleurs délais, et en tout état de cause dans le mois qui suit la demande. Au besoin, ce délai peut être prolongé de 2 mois compte tenu de la complexité et du nombre de demande.

Le profilage peut-il être utilisé dans le cadre de la prise en charge des usagers du système de santé ?

Le profilage est le fait d’utiliser des traitements notamment pour analyser ou prédire des éléments concernant la santé, les préférences personnelles, les intérêts, le comportement, la localisation ou les déplacements de cette personne physique. Le RGPD prévoit le profilage dans son article 22, mais y apporte des limites. En effet, le profilage ne peut être utilisé que si le traitement est fondé sur le consentement explicite de la personne, que la décision automatisée est nécessaire à la conclusion ou l’exécution d’un contrat, ou que ces décisions automatisées sont encadrées par dispositions légales spécifiques. De plus, toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

Pour ce qui concerne les données de santé, aucune disposition ne le permet. Aussi, le profilage est interdit dans le domaine de la santé.

Les obligations des établissements à l’égard des usagers en matière de traitements de données

Contexte

1 Les droits créés ou renforcés par le RGPD

2 Permettre l’accès à toute personne aux informations la concernant intégrées à un traitement de données

3 Rectifier et effacer les données inexactes

4 Limiter et s’opposer aux traitements des données

5 Le droit à recevoir une notification pour toute demande effectuée auprès du responsable du traitement

Notre conseil

Évitez les erreurs

Faq

Aller plus loin

Articles - Textes juridiques

Découvrez les services associés à ce module

NOS OFFRES WEKA INTÉGRAL

LA GARANTIE D'UNE SÉCURITÉ JURIDIQUE

En continu - Les derniers articles d'actualités