RGPD et données de santé

28 mai 2018 Actualités

Depuis le 25 mai 2018, la nouvelle règlementation sur les données numériques est entrée en vigueur en Europe. Voté en 2016, le Règlement Général sur la protection des données (RGPD) est applicable à toute entreprise et organisme collectant, traitant et utilisant les données personnelles de personnes physiques. (Entreprises et sous-traitants).
 

Depuis le 25 mai 2018, la nouvelle règlementation sur les données numériques est entrée en vigueur en Europe. Voté en 2016, le Règlement Général sur la protection des données (RGPD) est applicable à toute entreprise et organisme collectant, traitant et utilisant les données personnelles de personnes physiques. (Entreprises et sous-traitants).

Une donnée à caractère personnel est une information qui permet d’identifier une personne ou de la reconnaître de manière directe, indirecte ou par rapprochement avec d’autres données.

Tenant compte des évolutions technologiques, il vient remplacer le dernier règlement datant de 1995, inadapté aux conditions actuelles d’utilisation du web et des applications.

Il vise à renforcer les droits des citoyens quant à la protection de leurs données personnelles, et à harmoniser les règles au niveau juridique en Europe, dans un soucis de transparence et de confiance.

 

Ce que prévoit la nouvelle règlementation :

Pour l’internaute citoyen  :

Globalement, le règlement permet à l’internaute d’avoir un meilleur contrôle sur l’utilisation de ses données personnelles :

  • Il renforce le droit à l’oubli : la suppression de contenus personnels susceptibles de nuire à son image est désormais possible.
  • Il permet la portabilité des données : il est possible de transférer ses données personnelles d’un service à un autre, sans avoir à tout saisir de nouveau.
  • Il permet une meilleure protection des mineurs sur le web. Le texte impose à chaque pays de fixer un âge de majorité numérique à partir duquel l’internaute devient responsable de ses données personnelles et de son image. En France, il est fixé à 15 ans.  Avant cet âge, le consentement des parents est rendu obligatoire.
  • Il permet d’être prévenu en cas de piratage de ses données.
  • Il permet à l’internaute de saisir la CNIL si ses données ont été collectées de manière abusive.

 

Pour les entreprises

Chaque organisme doit prendre des mesures pour garantir l’utilisation des données, respectueuse de la vie privée des personnes concernées. Ils doivent en particulier :  

  • Organiser la protection des données dès la conception des systèmes d’informations on parle de privacy by design et de privacy by default.)
  • Obtenir et conserver le consentement explicite des citoyens pour le recueil et la conservation des données.
  • Désigner un délégué à la protection des données.
  • Tenir un registre de toutes les activités de traitement des données (pour l’hébergement et le traitement : objectif poursuivi, les catégories des données traitées, qui a accès aux données – destinataires, durée de conservation des données).
  • Etre capable de prouver sa conformité à tout moment devant les autorités.
  • Limiter la collecte des données au strict nécessaire et pouvoir justifier de leur utilisation auprès de l’internaute.  (par qui, pourquoi).
  • Conduire, pour les données sensibles, une étude d’impact du traitement de la donnée sur la vie privée. Les données sensibles ne peuvent être recueillies et utilisées qu’avec le consentement explicite de leur propriétaire. Sont considérées comme sensibles, « toute information sur l’origine raciale ou ethnique, les opinions politiques, philosophiques, religieuses, l’appartenance syndicale, la santé ou la vie sexuelle », selon la CNIL.
  • S’il y a violation des droits, l’entreprise responsable risque une sanction pouvant s’élever à 4 % de son chiffre d’affaire mondial annuel.

 

Et pour les données de santé ?

Les données de santé sont des données considérées comme sensibles. L’article 9 du règlement interdit le traitement de ces données, excepté dans quelques cas :

  • Si l’utilisateur donne son consentement explicite.
  • Si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne.
  • Si le traitement est nécessaire pour des motifs d’intérêt public important dans le domaine de la santé publique, à des fins de recherche, en médecine préventive ou pour la médecine du travail.

Lorsqu’il est autorisé au sens du Règlement, le traitement des données de santé doit se conformer au cadre spécifique prévu par le Code de la santé concernant les modalités d’hébergement des données.

 

L’hébergement des données sensibles fait l’objet de mesures de sécurité renforcées, prévues jusqu’à maintenant par l’article L.1111-8 du Code de la Santé publique. Ces dispositions ont évolué le 1er Avril 2018.

Jusqu’à maintenant les hébergeurs étaient soumis à une procédure d’agrément (HDS), délivré par le Ministre en charge de la santé.  Depuis janvier 2017, la procédure d’agrément a été remplacée par une procédure de certification, par ordonnance n°2012-27 en modification de l’article L 1111-8 du Code de la Santé publique.

Depuis Avril 2018, pour obtenir la certification, les hébergeurs de données de santé doivent se rapprocher d’un organisme certificateur qui évaluera leur conformité à un référentiel de certification. L’audit sera à la fois documentaire et sur site. Ce certificat aura une durée de validité de 3 ans.

 

En ce qui nous concerne, l’écosystème Vivoptim Cardio répond parfaitement à la nouvelle règlementation en vigueur.

Forts des retours d’expérience de la phase pilote, nous œuvrons pour créer un écosystème à la fois hautement sécurisé et simple d’utilisation. Les données de santé collectées font l’objet d’une attention particulière pour garantir leur sécurité et leur intégrité.

Ainsi, Vivoptim Cardio a déployé toutes les mesures nécessaires afin d’être en accord avec les recommandations de sécurisation des données de santé prévues par la loi (CNIL, ASIP, et le Règlement Général sur la Protection des Données (RGPD) ).

Vivoptim Cardio est hébergé par un Hébergeur Agréé de Données de Santé (HADS), avec accès sécurisés par authentification forte (triple authentification) pour les utilisateurs et les professionnels de santé.