RGPD : Tout ce que vous devez savoir

Date: 
Vendredi 21 Septembre 2018

Quelles sont vos obligations dans le cadre du RGPD ?

Créer un registre des activités de traitement

Si vous traitez des données « sensibles », ce qui est votre cas en tant que dispensateur de soins, vous devez créer un registre par type de traitements, mis à jour régulièrement. Exemples de types de traitement : données des dossiers patient, données enregistrées via l’agenda online des consultations. Vous devez conserver ce registre et pouvoir le présenter sur demande de l’Autorité de protection des données (APD). Ce registre reprendra les informations comme le responsable du traitement, sa finalité, le type de données, le support, les personnes avec lesquelles vous les avez partagées, les infos quant aux risques et les mesures de sécurité. 

Désigner un délégué à la protection des données
Le RGPD prévoit dans certains cas la désignation d’un délégué à la protection des données, mieux connu par l’abréviation anglaise DPO pour « Data Protection Officer ». Ce DPO est une personne au sein de l’organisation qui veille à ce que vous traitiez correctement les données à caractère personnel. Seules les opérations de traitement à grande échelle nécessitent la désignation d’un DPO. Le §91 du préambule du RGPD spécifie :
• « Par traitement à grande échelle, on entend le traitement qui vise à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peut affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible.(…)
• Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas être obligatoire. »
Réaliser une analyse d’impact relative à la protection des données (AIPD)
En vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une « analyse d'impact relative à la protection des données » (AIPD) (ou « DPIA » en anglais pour Data Protection Impact Assessment). Il s’agit d’une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. Seules les opérations de traitement à grande échelle nécessitent la désignation d’un DPO. (voir explication ci-dessus relative au §91 du RGPD pour le traitement à grande échelle)

Quelles sont vos responsabilités en tant que responsable de traitement ?
Conformité avec les règles du RGPD
En tant que responsable du traitement, vous devez agir en conformité avec les règles du RGPD et être en mesure de le démontrer (par une obligation de documentation, notamment, par la création du registre des activités de traitement).
Traitement et stockage de données par un sous-traitant
Si le stockage ou le traitement de vos données est sous-traité (p. ex. agenda en ligne, données dans le Cloud, service externe de tarification), il est notamment de votre responsabilité de vérifier que votre prestataire répond aux exigences du RGPD en termes de sécurité et de confidentialité des données et fournit des garanties suffisantes contre leur perte, leur destruction, leur altération, ou encore leur accès et leur diffusion sans autorisation. Nous attirons votre attention sur l’article 28 du RGPD qui est plus complet quant à votre responsabilité.
Utilisation des services e-Santé
Les différents services e-Santé mis à votre disposition sur le portail e-Santé ont également tenus de respecter les obligations prévues par le RGPD.
Utilisation des logiciels dans le cadre de votre pratique
Si vous utilisez un logiciel dans le cadre de votre pratique (p. ex. gestion de dossier patient, facturation), il est notamment de votre responsabilité de vérifier que votre prestataire répond également aux exigences du RGPD, via votre contrat.
Sécurisation de l’échange de données électronique
Vous devez veiller à utiliser un canal sécurisé, avec un niveau adapté au risque pour transmettre les données médicales de manière électronique (p. ex. eBox citoyen, eHealthBox, 7-Zip File manager).

Quelles sont les sanctions en cas de non-respect du RGPD ?
En cas de non-respect du RGPD, l’Autorité de protection de données peut exiger du responsable de traitement ou de son sous-traitant de prendre des mesures correctrices (p. ex. mise en conformité dans un délai déterminé, limitation de traitement, rectification ou effacement de données). Le non-respect du RGPD peut également s’accompagner de sanctions financières dissuasives déterminées par les Autorités de contrôle locales
En savoir plus :  Lisez ceci?