La CNIL a publié un Référentiel (Délibération du 18 juin 2020, JO du 28 juillet 2020) visant à aider les professionnels de santé libéraux (*), médicaux et paramédicaux, dans leur mise en conformité au RGPD.
(*) Hors établissements de santé ou CPTS, pharmaciens, laboratoires d’analyses de biologie médicale ou encore opticiens
NOTA : Si vous aviez déclaré votre traitement de données auprès de la CNIL avant la mise en place du RGPD – Norme simplifiée NS50 -, « cette formalité n’ayant plus de valeur juridique, il est nécessaire d’appliquer les nouvelles obligations portées par le RGPD qui s’appliquent à tous les traitements, anciens comme nouveaux, et qui sont recensées dans le nouveau référentiel ».
https://www.cnil.fr/fr/la-cnil-publie-trois-referentiels-pour-le-secteur-de-la-sante
Un accompagnement pas à pas
Le référentiel vous apporte des éléments de réponse pour compléter le registre des traitements, première pierre de votre « accountability » (*).
Les différents items sont abordés :
- Les finalités du traitement ;
- Les bases légales du traitement ;
- Les données personnelles concernées ;
- Les destinataires des données collectées et les personnes y aillant accès ;
- La durée de conservation ;
- L’information des personnes ;
- Les droits des personnes ;
- La sécurité des données.
(*) Accountability : obligation de documenter la conformité au RGPD.
Sur les durées de conservation : la CNIL a publié récemment un guide sur ce sujet ainsi qu’un référentiel détaillant celles concernant les données de santé.
https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_traitements_dans_le_domaine_de_la_sante_hors_recherches.pdf
Analyse d’impact (AIPD) et Délégué à la protection des données (DPD ou DPO en anglais)
A partir de quel volume un professionnel de santé devrait-il réaliser une analyse d’impact et/ou désigner un DPD ?
La réponse est enfin donnée en termes clairs pour les praticiens en groupe :
« La CNIL estime que la réalisation d’une AIPD et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients. »
Un référentiel non contraignant, mais…
Ce référentiel n’est pas obligatoire.
Mais si vous choisissez de ne pas suivre les recommandations qu’il contient, il conviendra d’expliquer les conditions particulières tenant à votre situation justifiant cet écart.
Par la suite, vous devrez prendre toutes les mesures appropriées à même de garantir la conformité des traitements au RGPD.