Une AIPD (PIA en anglais) doit être réalisée si le traitement envisagé présente un risque élevé pour les droits et liberté des personnes.
Le RGPD précise par ailleurs que l’AIPD doit être faite dès lors que le traitement envisagé est « à grande échelle » et concerne notamment des « catégories particulières de données » (comme les données de santé).
Fin 2019, la CNIL a publié une liste de traitements pour lesquels le responsable de traitement était dispensé de réaliser cette AIPD.
On y trouve notamment les « traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale »
Mais alors, quid des cabinets de groupe ? Certes, ceux-ci n’apparaissent pas dans la liste des traitements pour lesquels une AIPD est requise. Cependant, l’iconographie de la CNIL d’aide à la décision l’impose dès lors que deux critères sont associés : le traitement à grande échelle et les données dites « sensibles » (données de santé).
La question reste donc entière : où place-t-on le curseur pour définir la notion de grande échelle ?
En d’autres termes, les cabinets de groupe doivent-ils réaliser une AIPD ? Et si oui, à partir de combien de dossiers patients traités ?
(*) PIA (Privacy Impact Assessment), ou AIPD (Analyse d’impact relative à la protection des données) – Article 35 du RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
Retour de ping : Un référentiel pour la gestion des traitements de données en cabinet médical > apfac.fr