View
3
Download
0
Category
Preview:
Citation preview
34, rue Pétrelle • 75009 PARIScontact@desmarais-avocats.fr • www.desmarais-avocats.fr
RGPD : une révolution, une contrainte et une opportunité1re Journée Régionale « SYSTEMES D’INFORMATION EN SANTÉ »FEHAP Grand Est
Desmarais Avocats • Metz, le jeudi 12 avril 2018 2
Présentation du RGPD
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Le RGPD, c’est quoi ?
• Une « loi » européenne
• De 88 pages = 173 considérants (37) + 99 articles (51)
• Révisant un cadre juridique désormais inadapté (1995)
• Créant de nouveaux droits aux personnes concernées
• Et de nouvelles obligations pour les responsables de traitement
3
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Champ d’application matériel du droit des données
• Chacun d’entre vous a au minimum trois types de traitements de données :
• Patients / usagers• Ressources humaines• Fournisseurs
4
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Santé et médico-social, 2 secteurs, 1 catégorie de données
• Données relatives à la santé• Toute donnée relative à la santé physique ou mentale, y compris la prestation de
services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne
• Comprend notamment :• Donnée génétique, clinique, physiologique ou biomédical, « indépendamment de
sa source »• Donnée médico-administrative, dont le NIR• Donnée relative au handicap
è Le médico-social entre dans la sphère des données relatives à la santé
5
Desmarais Avocats • Metz, le jeudi 12 avril 2018
D’anciennes obligations renforcées
• Les principes fondamentaux du traitement :• Licéité, loyauté, transparence• Limitation des finalités• Minimisation des données• Exactitude• Limitation de la conservation• Intégrité et confidentialité
• La confidentialité des données :• La sensibilisation des personnels• L’encadrement des sous-traitants• La cybersécurité
• Le respect des droits des personnes
6
Desmarais Avocats • Metz, le jeudi 12 avril 2018
De nouvelles obligations
• La majorité des obligations ne sont que des évolutions du cadre posé en… 1978 et modifié en… 1995
• Les principales nouveautés applicables au secteur santé / médico-social :
• Notifier les violations de données• Réaliser une analyse d’impact ou Privacy Impact Assessment• Assurer la portabilité des données• Désigner un délégué à la protection des données • Tenir des registres• Documenter la conformité
7
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Notifier les violations de données
• Violation de données : Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données ou l'accès non autorisé • Notification à la CNIL sous 72h :
• Nature de la violation et nombre approximatif de personnes / données concernées
• Nom et coordonnées du DPD ou du point de contact• Description des conséquences probables de la violation• Description des mesures prises ou envisagées pour y remédier et pallier
aux conséquences négatives• En cas de risque élevé pour leurs droits et libertés, communication aux
personnes concernées dans les meilleurs délais
8
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Réaliser une analyse d’impact
• Il s’agit d’étudier l’impact sur la personne concernée (Patient/usager) d’une violation de donnée à caractère personnel, c’est-à-dire une atteinte à :
• L’intégrité• La disponibilité• La confidentialité
• Dans vos secteurs, l’impact peut aller très au-delà de la « simple » atteinte à la vie privée :
• Indisponibilité du Dossier Patient lors de l’utilisation d’un Logiciel d’Aide à la Prescription peut entrainer le décès du patient
• En cas de risque élevé ou pour des traitements spécifiques, consultation préalable de la CNIL
9
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Assurer la portabilité des données
• Le RGPD confère aux personnes un droit à la portabilité sur les données qu’elles ont fournies au responsable de traitement
• Aucune difficulté théorique pour vos établissements, les patients/usagers disposant d’un droit d’accès à leurs données
• Difficulté pratique envisageable, puisque les données devront être fournies dans un format numérique, structuré et interopérable
10
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Le délégué à la protection des données, 1 mouton à 5 pattes?
• Désignation d’un délégué obligatoire, en cas de traitement de données relatives à la santé• Indépendance (è nombreuses incompatibilités)• Expertise juridique et pratique en matière de protection des données et
connaissance approfondie du RGPD• Niveau d’expertise « proportionné à la sensibilité, à la complexité et au
volume des données traitées »• DPD interne ou externe, mutualisation possible• Rôle parallèle avec les correspondants de « vigilance »
11
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Tenir un registre des activités de traitement
• Une obligation de formalisme remplaçant les formalités préalables à la CNIL
• Attention, certains traitements de données relatives à la santé resteront soumis à des formalités préalables
• Un modèle accessible ici : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
• Et un exemple ici : https://www.cnil.fr/sites/default/files/typo/document/20140922-MOD-FICHE_REGISTRE-VD.pdf
12
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Documenter la conformité
• L’obligation de documenter les conditions d’implémentation du RGPD dans un « dossier de conformité »
• Comment les droits de la personne sont-ils assurés ?• Quelles mesures de sécurité ont été décidées ? Pour pallier quels
risques ? Etc.• Le cas échéant :• Pourquoi un délégué n’a-t-il pas été désigné ?• Quelles raisons justifient l’absence de réalisation d’une EIVP ?
• Vous savez déjà le faire !• Traçabilité des DM, évènements indésirables, etc.
13
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Conclusion
• Il n’y aura pas d’Apocalypse Juridique le 25 mai 2018
• Le RGPD est un élément à prendre en compte, pas le seul• Le droit à l’effacement ne s’applique pas lorsque la conservation de la
donnée est obligatoire (ex : dossier médical)
• Dans la mesure du possible, essayez de réutiliser les processus et fonctions existants plutôt que d’en créer
14
Desmarais Avocats • Metz, le jeudi 12 avril 2018 15
Quelques outils
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Avant-propos
• Le RGPD n’est pas une affaire d’outils, un tableur suffit à établir l’ensemble de la documentation
• Aucun outil ne peut mettre un établissement en conformité avec le RGPD
• Les outils présentés ci-après n’ont vocation qu’à vous aider dans :• La compréhension du texte• La définition de vos priorités• La réalisation de certaines obligations du RGPD
16
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Clevy,Un chatbot RGPD
17
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Besoin de réponses à vos questions sur le RGPD ?
18IDENTITÉ VISUELLE • 19 AVRIL 2017
clevy
Le chatbot n’a pas la réponse ?
19
Desmarais Avocats • Metz, le jeudi 12 avril 2018
SmartDataDecision,Un outil d’autoévaluation
20
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Besoin d’auditer votre conformité et de prioriser les chantiers ?
21
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Evaluation de la conformité sur 200 critères
22
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Evaluation du risque pour définir vos priorités
23
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Aide à la définition de solutions
24
Desmarais Avocats • Metz, le jeudi 12 avril 2018
GDPR WorkplaceUne application pour accélérer et sécuriser le processus de mise en
conformité
25
Lun 2 janv.09:12
PrénomNOM
26
Accélérer le recensement et la formalisation de la cartographie des traitements
n Les informations saisies par les responsables métiers, techniques, ainsi que les utilisateurs sont remontées automatiquement
n Le module permet de valider le contenu de chaque traitement
Cartographie des traitements
GDPR Workplace – Cartographie des traitements
Lun 2 janv.09:12
PrénomNOM
Permettre à l’équipe GDPR d’obtenir une vision globale de la nature des risques pour chaque traitement
Un système de filtres permet de visualiser ou de masquer les réponses des différentes entités, ou d’agréger les applications par thème
Légende :
n la gravité des risques est affichée sur l’axe horizontal
n le nombre de risques est affiché sur l’axe vertical
n la taille des cercles indique le nombre de personnes ayant répondu
n la couleur des cercles correspond à une entité
Cartographie des risques : analyse des traitements 27
GDPR Workplace – Cartographie des risques
Lun 2 janv.09:12
PrénomNOM
Chantier Thème Responsable Acteurs Action Statut
SalesForce Commentaires Benoit G. MOA Identifier les champs à risques, et définir plan d’action
SalesForce Formations Romain P. MOA Former les commerciaux aux bonnes pratiques
SalesForce Extractions Corentin M. MOE Restreindre l’accès à la plateforme
Candidats Accord des candidats Sarra J. MOA Rédiger un doc pour recueillir l’accord des candidats
Candidats Nature des données Yann S. MOA Revoir la nature des données dans le template
Candidats Suppression des archives Quentin D. MOE Automatiser la suppression des archives
App Client Hébergement Denis D. MOE Vérifier les accès mutualisés sur le datacenter UKR
App Client Audit sécurité Julien X. MOE Réaliser un audit sécurité
App Client Identifiants Cécile M. MOA Proposer une solution afin d’anonymiser les statistiques
Permettre à chaque responsable ou contributeur de piloter la mise en œuvre des actions via un espace dédié :
n Filtres par chantier (définis lors du macro-planning), par phase, ou responsable
n Liste détaillée des actions à réaliser, avec une indication de leur statut
n Suivi de l’action de sa création à sa finalisation, en mesurant le temps passé
n Messagerie dédiée à chaque action, pour un échange simple et rapide (questions / réponses, échange de fichiers, rappels)
n Notifications automatiques
Mise en conformité : suivi des actions 28
PHASE
Tous
CHANTIER
SalesForce
Bilans annuels
Candidats
Registre Fournisseurs
App Client
Evaluations
RESPONSABLE
Tous
ORIGINE
Toutes
ACTEURS
MOA
MOE
STATUT
51 2 3 4
Nouvelle action
ACTION
Taper un message
Penses tu tenir le jalon prévu?24/02/17, 16h44
Action en cours. Attente retours des équipes de communication interne
24/02/17, 15h32
Oui sans problème25/02/17, 10h45
CM
BG
CM
Préparer les supports de mise en marché4
Responsable Corentin M.
Chantier SalesForce
Thème Extractions
Description de l’action Empêcher l’accès depuis les mobiles personnels
Création 20/02/2017 Fin prévue 10/03/2017
Charge estimée
5 jours Charge consommées 3 jours
GDPR Workplace – Mise en Conformité
Desmarais Avocats • Metz, le jeudi 12 avril 2018
PIA,Un outil d’analyse d’impact
29
Desmarais Avocats • Metz, le jeudi 12 avril 2018
PIA : Guide méthodologique
30
Desmarais Avocats • Metz, le jeudi 12 avril 2018
PIA : Outil de mise en œuvre
31
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Un outil accessible
32
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Modèle de registre
33
Desmarais Avocats • Metz, le jeudi 12 avril 2018
La fiche d’identité du traitement
34
Desmarais Avocats • Metz, le jeudi 12 avril 2018
La description des données
35
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Les caractéristiques du traitement
36
Desmarais Avocats • Metz, le jeudi 12 avril 2018
Conclusion
• Le RGPD n’est pas qu’une affaire d’outils, logiciels ou juridiques
• La principale difficulté du RGPD n’est pas de mettre vos établissements en conformité, mais de maintenir cette conformité sur la durée
• Il faut établir des process et les porter à la connaissance de tous les acteurs, au sein de l’entité
37
34, rue Pétrelle • 75009 PARIScontact@desmarais-avocats.fr • www.desmarais-avocats.fr 38
Recommended