Embed Size (px)
Citation preview
Règlement européen sur la protection
des données personnelles: quels enjeux?
Atelier animé par Erik BOUCHER de CREVECOEUR, CNIL
et Florence EON, ASIP Santé
2
Sommaire
1. Présentation des apports du RGPD
2. Présentation de l’étude d’impact sur la vie privée
La CNIL
Régulateur des données personnelles depuis 1978
Autorité administrative indépendante
Membre du Groupe des CNIL européennes (« G29 »)
3
L’ASIP Santé
4
Mener une action de régulation et d’urbanisation
favorisant le développement maîtrisé de la e-santé
Promouvoir la santé numérique en conduisant des
projets numériques d’intérêt national
Favoriser les usages et permettre aux acteurs de
santé de bénéficier des mutations numériques
L’ASIP Santé est l’agence française de la santé numérique. Créée en 2009, elle compte
130 collaborateurs et pilote un large portefeuille de projets organisés autour de trois
missions complémentaires :
Télémédecine
Dispositifs médicaux
Pharmacies en ligne
Open data en santé
Procédures de certification
mHealth
…
Le cadre juridique de la e-santé: un cadre juridique à multiples facettes
5
Règles constituant le régime
de droit commun
Règles issues des textes relatifs à la protection des données personnelles
Textes spécifiques
Protection des données
à caractère personnel
Loi Informatique et
Libertés / RGPD
Secret professionnel, droit au
respect de la vie privée, échange et
partage, équipe de soins
HDS, INS etc.
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD)
• Directive 95/46, concerne les traitements de données à caractère personnel
• Transposée en France en 2004 dans la loi Informatique et Libertés du 6 janvier
1978
Avant le règlement UE 2016/679 du 27 avril 2016
6
• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et
Libertés
• Un texte européen, commun à tous les EM et directement applicable en France
(pas de transposition nécessaire)
• Un texte applicable dès le 25 mai 2018
• Un texte qui concerne toutes les entreprises ainsi que le secteur public
• pour tous les traitements de données à caractère personnel localisés en Europe
ou concernant des citoyens européens
Le règlement UE 2016/679 du 27 avril 2016
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD)
Nouvelles responsabilités pesant sur le responsable de traitement (RT)
Directive 95/46 et LIL
Formalités préalables A réaliser auprès de la CNIL (avant mise en
œuvre du traitement)
Désignation facultative d’un CIL
Responsable de traitement A identifier / lié par contrat au sous-traitant
5 principes • finalité du traitement
• pertinence et proportionnalité des
données
• durée de conservation limitée des
données
• sécurité et confidentialité des données
• respect des droits des personnes
RGPD
Accountability mesures de protection des données appropriés
pour démontrer leur conformité à tout moment
Privacy by design/ Privacy by default garantir que les traitements de données ne
portent pas atteinte à la vie privée dès la
conception
Privacy Impact Assessment Obligation, pour les RT d'effectuer une analyse
d'impact relative à la protection des données
préalablement aux traitements présentant des
risques.
Data Protection Officer Rendu obligatoire dans certains cas
7
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP)
8
Nouvelles responsabilités pesant sur le sous-traitant (ST)
Notion de « responsables conjoints du traitement »
Accord répartissant les obligations respectives
Responsabilité conjointe vis-à-vis des personnes
Important pour les services Cloud
Responsabilité et obligations des sous-traitants
Le ST a une responsabilité propre (sanctions)
Il doit désigner son propre DPO (dans certains cas)
Il ne traite que sur instruction documentée du RT
Il prend toutes les mesures de sécurité requises et aide le RT (mise en œuvre des mesures de
sécurité, analyse d’impact)
Il ne (re)sous-traite pas sans autorisation du RT et vérifie préalablement l’accountability du nouveau ST
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP)
• Renforcement des droits des personnes
Nouveaux devoirs pour les RT :
transparence, informations supplémentaires Nouveaux droits : droit à l’oubli, portabilité des
données, limitation
• Obligation générale de notification des failles de sécurité
Tous les RT
Dans les
meilleurs délais
> 72h
Information des personnes concernées
dans certains cas
• Renforcement des pouvoirs des autorités de contrôle et des sanctions
Montant graduel des amendes
administratives Max 20 M ou 4% CA annuel mondial
9
Application au secteur de la santé Champ d’application
10
Pas d’application aux données anonymisées /aux activités exclusivement personnelles
Différence entre anonymisation et pseudonymisation Sans lien avec une activité professionnelle ou commerciale
Donnée de santé
« données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. » (Art. 4 15 et considérant 35)
Principe général d’interdiction de collecte et de traitement, avec des dérogations : consentement exprès de la personne,
sauvegarde vie humaine, médecine préventive, diagnostics médicaux, administration de soins, recherche, intérêt public.
Données à caractère personnel
Données directement identifiantes : nom et prénom, photo, e-mail nominatif, …
Données indirectement identifiantes : numéro de carte bancaire…
Recoupements d’informations : « le fils aîné du notaire habitant au 11 bd
Raspail à Paris », …
Application au secteur de la santé Les formalités préalables
11
Les formalités simplifiées existantes
Les autorisations uniques :
AU-013 : Pharmacovigilance ;
AU-037 : Messagerie sécurisée ;
AU-047: Accompagnement et suivi social et médico-social des personnes handicapées et des
personnes âgées
Les normes simplifiées
NS-050: Cabinet médical et paramédical
Les méthodologies de référence :
MR-001 : recherches biomédicales (en cours de mise à jour)
MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro
MR-003 : recherches non interventionnelles
Formalités à l’heure du RGPD
Disparition des déclarations normales
Désignation d’un DPO
Analyse d’impact (PIA)
Conformité à un référentiel sectoriel
Notification des violations de données
Les Etats membres peuvent fixer des conditions ou des restrictions supplémentaires au niveau national
En France, maintien du régime d’autorisation/avis :
Santé, biométrie, génétique
Numéro d’identification national (NIR)
Emploi, travail
Missions d’intérêt public ou d’autorité publique
Archivage, Recherche
=> Régime relatif à l’hébergement des données de santé
Application au secteur de la santé Référentiels et guides sectoriel
Il existe des documents de référence concernant la sécurité des
données de santé.
Corpus documentaire de la PGSSI-S
Référentiel d’agrément HDS
Référentiel de bonnes pratiques pour les applications et les objets
connectés en santé
Il existe des référentiels sectoriels opposables.
Certains référentiels PGSSI-S ont vocation à être rendus opposables :
gouvernance, authentification, traçabilité (Art. L1110-4-1 du code de la santé
publique)
Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L1111-8 du
code de la santé publique)
Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous
les systèmes mettant à disposition des données du SNDS. (Arrêté du 22
mars 2017)
12
13
Présentation de l’étude d’impact sur la vie privée
Privacy Impact Assessment
14
Respect des
principes fondamen-
taux
Gestion des risques
sur la vie privée
PIA
Privacy Impact
Assessment
Les principes et droits
fondamentaux (finalité,
information…), « non
négociables », fixés
par la loi, devant être
respectés et ne
pouvant faire l’objet
d’aucune modulation
La gestion des risques
sur la vie privée des
personnes concernées,
qui permet de déterminer
les mesures techniques
et d’organisation
appropriées pour
protéger les données
Le Privacy Impact
Assessment (PIA) est
un moyen de se
mettre en conformité
et de le démontrer
(notion
d’accountability)
À quoi s’applique un PIA ?
15
Produits Traitements
Il s’adresse aux fournisseurs (dont les solutions seront utilisées dans de
nombreux traitements)
Le PIA est idéalement mené
dans le cadre de la
conception de leurs produits.
Il s’adresse aux responsables
de traitements
Le PIA est idéalement mené
dans le cadre de la conception
de leurs traitements de
données à caractère personnel.
PIA : démarche méthodologique
Experts techniques Juristes
Contexte
Description fonctionnelle
Données
Supports des données
Etc. Principes fondamentaux
Proportionnalité et nécessité
Mesures protectrices des droits
Risques liés à la sécurité des données
Mesures existantes ou prévues
Appréciation des risques
Validation du PIA
Évaluation (intégrée aux étapes précédentes)
Plan d’action (intégré aux étapes précédentes)
Décision
16
Réitérations possibles
(PIA non validé, mise à
jour du traitement…)
Étape 1 – Le contexte De quoi parle-t-on ?
Le traitement de données à caractère personnel
Quelle est sa finalité ?
Quels sont ses apports ? (pour l’organisme, pour les personnes concernées, pour la société…)
Le plus important : comprendre le cycle de vie des données
Quelles sont les données ?
Qui sont les destinataires ?
Qui peut y accéder ?
Quelle est leur durée de conservation ?
Quelles sont les étapes du traitement ?
Sur quoi reposent-elles ?
17
Collecte Conservation Utilisation Transfert Destruction
Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?
Analyse des mesures garantissant la proportionnalité
et la nécessité du traitement
Finalités déterminées, explicites et légitimes
Fondement/licéité du traitement – interdiction du
détournement de finalité
Données adéquates, pertinentes, non excessives
(minimisation)
Donnée exactes et tenues à jour
Durées de conservation limitées
18
Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?
Analyse des mesures protectrices des droits des
personnes des personnes concernées
Information des personnes (loyauté et transparence)
Recueil du consentement des personnes concernées
Droit d’accès et droit à la portabilité
Droit de rectification, d’effacement, de limitation et
d’opposition
Sous-traitance : contractualisation
Transferts de données en dehors de l’UE
Formalités préalables applicables au traitement
o Obligation de consulter l’autorité de contrôle si les risques
résiduels sont élevés.
19
Étape 3 – Les risques Quelles sont les mesures existantes ou prévues ?
20
Sécurité des données du traitement
Chiffrement
Anonymisation
Cloisonnement des données (par rapport au reste du système d’information)
Contrôle des accès logique des utilisateur
Traçabilité
Sécurité des documents papier
Mesures générales de sécurité
Sécurité de l’exploitation
Gestion des postes de travail et lutte contre les logiciels malveillants
Sécurité des sites web
Sauvegardes
Maintenance
Sécurité des canaux informatiques (réseaux)
Contrôle d'accès physique
Sécurité des matériels
Mesures organisationnelles
Politique (gestion des règles)
Gestion des projets
Gestion des incidents et des violations de données
Gestion des personnels
Relations avec les tiers
Étape 3 – Les risques Que peut-il arriver aux personnes concernées ?
Un risque sur la « vie privée » est un scénario décrivant un événement
redouté et toutes les menaces qui le rendent possible. Il est estimé en
termes de gravité et de vraisemblance
21
Supports Matériels
Logiciels
Réseaux
Personnes
Supports papier
Canaux papier
Données
Données du traitement
Données liées aux mesures
Impacts potentiels
Vie privée
Identité humaine
Droits de l’homme
Libertés publiques
Sources de risques
Supports Données Impacts
potentiels
Vraisemblance Gravité
Menaces Événements redoutés
Risques
Sources de risques
Personnes externes
Personnes internes
Sources non humaines
Étape 3 – Les risques Comment les décrire ?
22
Les impacts sont ceux sur la vie privée des personnes concernées, et non ceux sur l’organisme
Les menaces sont tous les moyens que les risques se concrétisent
Les mesures sont celles qui contribuent à traiter le risque parmi celles identifiées
La gravité est essentiellement estimée en fonction des impacts potentiels
La vraisemblance est essentiellement estimée en fonction des vulnérabilités exploitables
Accès illégitime à
des données
Modification non
désirée de données
Disparition de
données
Sources de risques
Impacts potentiels
Menaces
Mesures
Gravité
Vraisemblance
Étape 3 – Les risques Comment les présenter ?
23
Vraisemblance
Gravité
1. Négligeable
2. Limitée
3. Important
4. Maximal
1. Négligeable 2. Limité 3. Important 4. Maximal
Accès illégitime aux DCP
Disparition des DCP
Modification non désirée des
DCP
Cartographie des risques
Accès illégitime aux données
Disparition des données
Modification non désirée des
données
Une cartographie des risques permet de comparer visuellement les risques les uns par rapport aux autres.
Elle permet également de faciliter la détermination des objectifs pour les traiter (par « zones »).
Étape 4 – La décision Les risques résiduels sont-ils acceptables ?
24
Dispositif choisi
Enjeux Si les mesures prévues (pour respecter les principes fondamentaux et traiter les risques) sont jugées suffisantes et les risques résiduels acceptables, alors le PIA peut être validé par le responsable de traitement.
Sinon, alors il convient d’identifier les objectifs pour y parvenir et de refaire une itération de la démarche.
Le rapport de PIA
25
Rapport de PIA
Introduction
‐ Présentation des enjeux Corps du PIA
‐ Description du traitement ‐ Nécessité et proportionnalité ‐ Mesures protectrices des droits ‐ Mesures de sécurité ‐ Appréciation des risques
Conclusion
‐ Plan d’action (mesures) ‐ Validation formelle du PIA
Le rapport de PIA est validé et signé par le responsable de traitement.
Il doit être rendu accessible ou communiqué (en cas de risques résiduels élevés) aux autorités de protection des données, en tant qu’élément d’accountability.
Il est également parfois utile de publier et/ou de diffuser tout ou partie du rapport de PIA.
En synthèse
Le PIA permet de construire la mise en conformité d’un traitement (et de pouvoir le démontrer).
Mener un PIA est équivalent à ce qu’on fait actuellement pour certains traitements (dossiers de formalités et échanges avec la CNIL).
Il ne s’agit pas d’ajouter un nouveau processus, mais de faire converger les démarches existantes : vos processus habituels (audits I&L, registre, gestion des risques SSI, intégration de la sécurité dans les projets…) alimentent le PIA.
Il est facile et utile d’intégrer le point de vue « protection de la vie privée » et le point de vue « SSI / cybersécurité ».
26
Les guides PIA de la CNIL
Pour intégrer la protection de la vie privée et la cybersécurité.
Pour faire du Privacy by design
27
