L’informatique évolue très rapidement. Le risque de main mise de l’État, et des entreprises, sur les données personnelles n’est pas à négliger.
La France a toujours pris très au sérieux la nécessité de protéger les données personnelles.
Ainsi, dès 1978, la loi informatique et liberté (LIL) encadrait la détention et l’utilisation des données à caractère personnel.
Dernière création juridique (européenne) : le Règlement Général sur la Protection de Données ou RGPD (1).
Les apports du RGPD
Si ce nouvel outil n’a pas apporté énormément de changements dans les droits et les pratiques des personnes concernées, il a obligé les entreprises à repenser leur gestion des données à caractère personnel.
Premier changement pour les professionnels de santé, plus d’obligation de déclaration a priori des traitements des données collectées et utilisées. Aux oubliettes donc la norme simplifiée NS50 (2).
Autre conséquence, s’approprier les principes de ce RGPD, dont notamment celui, très anglo-saxon, de l’accountability.
Accountability : désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
CNIL
La documentation, première pierre du RGPD
La prise en compte des règles du RGPD sera formalisée au sein du registre des traitements listant les actions de l’entreprise.
Une fiche est rédigée pour chaque finalité de traitement. Elle identifie notamment :
- les protocoles définis pour permettre le respect des droits des personnes,
- les règles de sécurité mises en place,
- l’utilisation de traitement de données développés dans le respect des principes du RGPD (Privacy by design),
- les règles et précautions spécifiques aux sous-traitants.
NOTA : Certains logiciels professionnels permettent déjà de générer simplement les fiches du registre des traitements. A défaut, il peut d’avérer utile de vous rapprocher de votre syndicat professionnel qui a peut être établi un modèle.
Pour vous aider : Vous trouverez plus bas des liens vers les modèles de registre de traitements établis par divers Ordres professionnels.
PIA et DPD, les pierres complémentaires
Les cabinets de groupe pourront également être contraints de désigner, si nécessaire, un délégué à la protection des données (DPD, ou DPO en anglais – Data Privacy Officer) et/ou de réaliser une analyse d’impact.
L’analyse d’impact est réalisée par le chef d’entreprise. Il peut être conseillé par le DPD désigné qui en assurera le suivi.
Le DPD est interne à l’entreprise ou peut être externalisé.
Son choix doit répondre à certains critères obligatoires :
- posséder des connaissances spécialisées de la législation et des pratiques en matière de protection des données,
- avoir une connaissance du secteur d’activité et de l’organisme pour lequel il est désigné,
- ne pas avoir de conflit d’intérêts avec ses autres missions et doit pouvoir exercer sa fonction en toute indépendance.
- être désigné auprès de la CNIL.
Sources utiles
- Modèle de registre des traitements, CNIL
- Modèle de registre des traitements, Conseil national de l’Ordre des Médecins, page 29 du GUIDE PRATIQUE SUR LA PROTECTION DES DONNÉES PERSONNELLES
- Modèle de registre des traitements, Conseil national de l’Ordre des Chirurgiens-Dentistes
- Modèle de registre des traitements, Conseil national de l’Ordre des Masseurs-Kinésithérapeutes
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) entré en application le 25 mai 2018.
(2) NS-50, norme simplifiée de la CNIL, destinée aux membres des professions médicales et paramédicales exerçant à titre libéral pour leurs traitements mis en place exclusivement à des fins de gestion de leur cabinet.