earlegal #4 - La protection des données à caractère personnel au sein des administrations publiques

❝La protection des données à caractère personnel

au sein des administrations publiquesLiège, 27 janvier 2017

Bruxelles, 2 février 2017Elodie LECROART

Fanny COTON

www.earlegal.beGroupe Larcier / Lexing 2

Fil conducteur

Hôpital public, qui gère les données :Des patientsDe facturationDu personnel employéDes litiges en coursDes travaux de recherches effectués au sein de l’hôpital


Où en est-on ?

Aujourd’huiDirective 95/46 – Loi du 8/12/1992

Demain : Règlement général 2016/679 du 27/04/16

sur la protection des données (GDPR) applicable le 25/05/18


Programme

Quelles sont les nouvelles obligations pour les administrations imposées par le règlement général 2016/679 sur la protection des données ?Traitement du numéro de registre national ou de données sensibles : quelles particularités ?A quelles conditions les administrations peuvent-elles se transmettre des données à caractère personnel ?Comment assurer la sécurité des données à caractère personnel au sein des administrations ?

Groupe Larcier / Lexing www.earlegal.be

❝

5

1.

Quelles sont les nouvelles obligations pour les administrations imposées par le règlement général sur la protection des

données ?


Notion d’autorité publique au sens RGPD

Hôpital public = autorité publique ?

Pas de définition droit national// avec marchés publics ?Avis 243 G29 au sujet délégué à la protection des données

dès que mission d’intérêt public (// cons. 45) Devrait se considérer comme autorité publique

Autorité publique peut être :Responsable de traitementSous-traitant Destinataire


Les nouvelles obligations pour les administrations publiques

Tenue d’un registre des activités de traitement (art. 30)

Réalisation d’une analyse d’impact en cas de traitement présentant un risque élevé (art. 35)Puis éventuel avis préalable de la CPVP (art.36)

Désignation d’un délégué à la protection des données (art. 37)

Privacy by design et Privacy by default (art. 25)

Fondement juridique du traitement à déterminer

Renforcement du principe du consentement explicite de la personne concernée (art. 4, §11, art. 9,§2, a,…)


Les nouvelles obligations pour les administrations publiques

Obligation de transparence et d’information (art. 12, 13, 14)

Obligations pour les sous-traitants (art. 28,…)

Droits de la personne concernée

Portabilité des données (art. 20)

Droit à l’effacement des données (art. 17)

Destinataires

Signalement en cas de fuite des données (art. 33 et 34)


Tenue d’un registre des activités de traitement

Sous la directive 95/46 : obligation de déclaration préalable

Sous le règlement 2016/679: tenue d’un registre détaillé des activités de traitementpas obligatoire pour les organisations comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des données « particulières »

Le registre contient :Les informations relatives au responsable du traitement (+DPO)Les finalités, les catégories de personnes, de données, de destinataires, les transfertsUne description générale des mesures de sécurité techniques et organisationnellesLes preuves de l’analyse d’impact effectuée + l’éventuel avis de la Commission Vie Privée


Réalisation d’une analyse d’impact

Prérequis obligatoire dès que le traitement présente un risque élevé pour les droits et libertés des personnes concernées

traitements dont il est vraisemblable qu’ils puissent avoir des conséquences néfastes considérables pour les libertés et droits fondamentaux des personnes physiques si l’on ne prévoit pas de mesures de protection adéquates (projet de recommandation CPVP + cons. 75)

Notamment : l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;le traitement à grande échelle de données particulièresla surveillance systématique à grande échelle d'une zone accessible au public.

L’autorité de contrôle doit/peut établir une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est/n’est pas requise (cfr. projet de recommandation CPVP)


Réalisation d’une analyse d’impact

Pas nécessaire (sauf décision contraire des EM) lorsque le traitement est justifié par la nécessité de respecter une obligation légale ou est exécuté dans le cadre d’une mission d’intérêt public

si fondé sur le droit de l’UE ou de l’EM et si analyse d’impact générale a déjà été exécutée lors de l'approbation de la base légale/mission d’intérêt public

AIPD doit contenir:- description systématique des opérations de traitement envisagées et des finalités du

traitement;- évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard

des finalités;- évaluation des risques pour les droits et libertés des personnes concernées Consultation de

la CPVP ;- mesures envisagées pour faire face aux risques

Consultation CPVP qui rend un avis dans un délai de 8 semaines Si avis négatif revoir le traitement projeté et soumettre à nouveau à l’avis de la CPVP. Prendre en compte ce délai dans le développement de nouveaux produits/services.


La désignation d’un délégué à la protection des données

Obligation lorsqueLe responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public

Définition droit nationalServices publics– G29 conseille de désigner un DPO(également pour les tâches qui ne relèvent pas de la mission de service public (ex : gestion personnel propre)

Ex : Transports publics, fourniture d’eau et d’énergie, infrastructure routière, télé/radio diffusion, logement sociaux, autorités disciplinaires

Les activités de base du RT ou ST consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées

Ex : Publicité comportementale, fournisseurs de services téléphoniques ou internet (données de trafic, contenu, localisation)

Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données particulières (G29, avis 243)

Ex :Hôpitaux ; Assurances; Banques


La désignation d’un délégué à la protection des données

Un seul délégué pour plusieurs autorités ou organismes publics (si justifié par structure organisationnelle et taille)Possibilité de désigner un membre du personnel Indépendance

Connaissances spécialisées en matière de protection des données (mais pas de formation spécifique requise) + connaissance des règles et procédures administratives (G29)Secret professionnel/obligation de confidentialité Missions :

information/conseil au responsable, contrôle conformité règlement, conseil sur l’analyse d’impactRôle dans la tenue des registres Impliqué dans toutes les question relatives à protection des données et informé en cas d’incident, violation des donnéesApproche basée sur les risques

DPO pas personnellement responsable de l’infraction commise par le RT!

www.earlegal.beGroupe Larcier / Lexing

Privacy by design et Privacy by default

► Privacy by design :Prise en compte des exigences en matière de protection des données au moment de détermination des moyens de traitement et du traitement lui-même.

► Privacy by default :Par défaut, seules données nécessaires au regard de chaque finalité déterminée, sont traitées.

Réduire traitement de données à un minimum, pseudonymisation des données, transparence, dispositifs de sécurité,…


Fondement juridique du traitement

SOIT la personne concernée a donné son consentement

SOIT le traitement est nécessaire :

à l'exécution d'un contratau respect d'une obligation légaleà l'exécution d'une mission d'intérêt publicà la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physiqueaux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers expressément exclu pour les autorités publiques

Si traitement nécessaire au respect d’une obligation légale ou d’une mission d’intérêt public, fondement doit être défini par le droit de l’UE ou de l’EM auquel le responsable est soumis


Renforcement du principe de consentement explicite de la personne concernée

Demande de consentement compréhensible, accessible en des termes clairs et simples

Principe du consentement explicite- une action de l'intéressé est requise- Plus autorisé : consentement tacite ou passif recueilli, par exemple, au moyen de cases cochées par défaut

Démontrable

Retrait simple du consentement + informer clairement l'intéressé de cette possibilité

Enfant âgé de moins de 16 ans ne peut pas consentir sans l’autorisation de ses parents


Obligation de transparence et d’information

Obligation de transparence renforcée

Nouvelles informations à fournir :Base juridique du traitementDélai de conservation ou les paramètres permettant de déterminer le délai de conservationCoordonnées du DPDLe droit de retirer son consentementLe droit d'introduire une réclamation auprès de l'autorité de contrôleLa finalité du traitement ultérieur et les éléments d'information pertinents relatifs à ce traitement ultérieurL'existence d'une prise de décision automatiséeDes informations sur les nouveaux droits et le droit d'opposition dans tous les cas (et non seulement dans le cas de prospection)

De manière transparente et concise, en termes clairs et simples

Informations doivent aussi être fournies si les données ne sont pas obtenues auprès de la personne concernée mais d’un tiers

Exception : lorsque l'obtention ou la communication des informations sont expressément prévues par le droit national qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée


Obligations pour les sous-traitants

RT doit uniquement faire appel à des sous-traitants qui présentent des garanties suffisantes

Obligations des sous-traitants visées explicitement

Mentions contractuelles obligatoires

Violation de ses obligations : même sanctions que le responsable de traitement

Solidarité pour l’indemnisation de la personne concernée


Droits de la personne concernée

Droit d’accès et de rectification

Législation vie privée VS législation publicité documents administratifs

« Considérant que les lois des 11 avril 1994 et 8 décembre 1992 poursuivent des objectifs différents; que la première accorde en principe à tout citoyen le droit de consulter tous les documents administratifs, y compris évidemment ceux qui l'intéressent personnellement; que la seconde, par contre, entend protéger la vie privée des personnes concernées en leur accordant un droit de contrôle des données qu'une autorité ou quelque tiers que ce soit recueille à leur sujet dans un "fichier"; que dans les deux cas, il est prévu des exceptions au droit de consultation, qui ne coïncident pas toujours; qu'il ne peut donc être affirmé sans plus que l'applicabilité de la loi du 8 décembre 1992 en tant que loi spéciale exclut celle de la loi du 11 avril 1994 en tant que loi générale » C.E. (9e ch.) n° 91.531, 11 décembre 2000

Nécessité d’effectuer une balance des intérêts

Nouveaux droits :PortabilitéOubli numérique (droit à l’effacement)


Portabilité des données

Droit pour personne concernée de recevoir les données la concernant

Dans un format structuré, couramment utilisé et lisible par une machine

Si techniquement possible, droit d’obtenir que les données soient directement transmises à un autre RT

Ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement

Travail de préparation nécessaire


Droit à l’effacement/oubli numérique

Effacer les données de la personne concernée dans les meilleurs délais

Quand ? Données plus nécessaires au regard des finalités initiales ;Le consentement sur lequel reposait le traitement a été retiré ;Lorsque la personne s’oppose au traitement de ses données à des fins de prospection (y compris le profilage)

Exceptions : Traitement nécessaire pour des motifs d’intérêt public dans domaine de la santé publique; Traitement nécessaire au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public, …


Destinataires

Mesures raisonnables pour informer tout tiers (y compris sous-traitants) en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Identifier et tenir une liste des tiers auxquels les données ont été transférées

à moins que cela se révèle impossible ou exige des efforts disproportionnés

le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande


Fil conducteur

Que faire si un employé maladroit met en ligne des données relatives aux

patients ?


Signalement en cas de fuite des données

Signaler fuite de données à la Commission Vie PrivéeDécrire la nature de la violation de données, les catégories et le nb de personnes concernées, décrire les csq probables et les mesures prises pour y remédier, communiquer les coordonnées du DPO

Brefs délais (si possible, dans les 72h de la prise de connaissance)

Limiter les conséquences négatives d’une fuite de données (chiffrement de données par exemple)

réagir vite : procédure à préparer former le personnel


❝

25

2.

Traitement du numéro de registre national ou de données sensibles :

quelles particularités ?


Fil conducteur

Employé de la comptabilité de l’hôpital veutvérifier l’adresse d’une connaissance

perdue de vue


Données du registre national

Principe : Interdiction de collecter, d’utiliser ou de demander communication de telles données

(Loi du 8 août 1983 organisant un registre national des personnes physiques)


Portée de l’interdiction de principe

Simple collecte est un traitement

PAS POSSIBLE de déroger à l’interdiction par le biais du consentement de la personne concernée

Non-respect de la loi du 8/8/83 = infraction pénale !emprisonnement de huit jours à un an et/ou d'une amende de cent euros à deux mille euros


Exceptions

Soit par arrêté royalSoit par autorisation du Comité sectoriel du Registre national:

aux autorités publiques belges pour les informations qu'elles sont habilitées à connaître en vertu d'une loi, d'un décret ou d'une ordonnance ;aux organismes publics ou privés de droit belge pour les informations nécessaires à l'accomplissement de tâches d'intérêt général qui leur sont confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou de tâches reconnues explicitement comme telles par le Comité sectoriel du Registre national ; pas à des personnes physiquesleurs sous-traitants (personnes physiques ou morales)


Exemples de tâches où est utilisé le numéro de RN

obligations en matière sociale dans le cadre de DIMONA (relation avec l'ONSS)fiches fiscales dans le cadre de Belcotax (AR/CIR 1992, art. 30) devoir d'investigation dans le cadre des contrats dormants ainsi que des bénéficiaires de contrat d'assurance dormants (loi du 24 juillet 2008 portant dispositions diverses)obligation de vérifier l'identité et l'adresse dans le cadre de la lutte contre le blanchiment (loi du 11 janvier 1993)…


Demande systématique d’autorisation

Même si une loi autorise une autorité publique à prendre connaissance des données du RN, elle doit demander une autorisation au Comité sectoriel

Ne peut PAS être utilisé à d’autres fins que celles visées par l’autorisation

Ex : pas à des fins privées évidemment (responsabilité pénale du fonctionnaire)pas comme identifiant interne de l’administré


Obligations en cas d’autorisation

Obligations supplémentaires pour les autorités/organismes publics ayant obtenu l’accès aux informations du Registre National ou la communication de ces infos :

Désigner un consultant en sécurité de l'information et en protection de la vie privée (interne ou externe)

Désigner nominativement les organes ou préposés ayant l’accès/communication des informations

Faire signer une déclaration de confidentialité par les personnes effectuant le traitement de ces informations

Souhaitable : Formation et rappel ponctuel + message pop up


Obligations en cas d’autorisation

Obligation de transparence Information des personnes concernées Doit quand même déclarer (aujourd’hui)

Et tenir un registre des traitements (demain)

Circulaire du 9 janvier 2002 relative à l’accès aux informations enregistrées dans le Registre national des personnes physiques et aux mesures en vue de garantir la sécurité des donnéesnécessité de la mise en place de mesures techniques et organisationnelles adéquates permettant d’identifier la personne physique qui a effectué une certaine transaction à un moment donné


Droit d’accès de la personne concernée

Accès par chaque citoyenÀ ses données À l’identité de toutes les autorités, organismes ET PERSONNES qui ont, au cours des 6 mois écoulés, consulté ou mis à jour ses données

http://www.mondossier.rrn.fgov.be

ou

auprès de la commune oùil est inscrit

http://www.mondossier.rrn.fgov.be/


Fil conducteur

Quid si l’employé a accès à la Banque Carrefour de Sécurité Sociale ?


Données de la BCSS

Régime assez similaire au Registre National:

Interdiction de principeInfraction pénale (code de droit pénal social)AutorisationTraçage des accèsConseiller en matière de sécurité de l'information et de protection de la vie privée


Fil conducteur

L’employé de la comptabilité voit le nom d’un voisin dans les examens qu’il est en train de

facturerEt voit par qui l’examen a été prescrit

Donnée médicale ?


Directive : données « sensibles »

raciale ou ethniqueopinions politiquesconvictions religieuses ou philosophiquesappartenance syndicaledonnées relatives à la santé données relatives à la vie sexuellesuspicions, poursuites ou condamnations pénales ou administratives.


Règlement : données « particulières »

Art 9 : données à caractère personnel qui révèlentl'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques l'appartenance syndicale, des données concernant la santé des données génétiques, des données biométriques des données concernant la vie sexuelle

ou l'orientation sexuelleArt. 10

relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes


Données « particulières »

Nouveautés :

Définition des données relatives à la santé : « relative à la santé physique ou mentale d’un individu, incluant des prestations de soins de santé, qui révèlent de l’information sur l’état de santé de l’individu ».données génétiques : toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises et qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne, résultant en particulier d'une analyse d'un échantillon biologique de la personne en questiondonnées biométriques : données à caractère personnel résultant d’un traitement technique spécifique relatives à des caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permettent ou confirment une identification unique de l’individu, telles que des images faciales ou des données dactyloscopiques


Données sensibles / particulières

Principe : Interdiction de traiter de telles données


Traitement de données sensibles (1)

Actuellement :Interdiction de collecter, enregistrer ou demander communication de ces données sauf si

Consentement expliciteEt possibilité de retirer le consentement à tout moment effacementobligations du responsable du traitement en matière de droit du travail, de la sécurité sociale et de la protection sociale,sauvegarde des intérêts vitauxnécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;Ou nécessaire à l’exercice des tâches de l’autorité publique


Traitement de données sensibles (2)

Moyennant garanties supplémentaires :

Liste des catégories de personnes ayant accès aux données avec mention de leurs fonctions au regard du traitement de données (profils d'accès: ex : les médecins et infirmières de l'hôpital) (>< RN : nominativement)Liste tenue à disposition de la CPVPVeiller à ce que les personnes désignées respectent (légalement/contractuellement/statutairement) le caractère confidentiel des données

(>< RN : signer un engagement)Information de la personne concernée

base légale ou règlementaire autorisant le traitementliste des catégories de personnes ayant accès aux données.


Spécificité pour les données de santé

Aussi protégées par le secret médical (sanctionné pénalement)

Traitement uniquement sous la responsabilité d'un professionnel des soins de santé (ex : médecin conseil)sauf

consentement écrit de la personne concernée traitement nécessaire pour la prévention d'un danger concret ou la répression d'une infraction pénale déterminée

Obtention exclusivement auprès de la personne concernée elle-mêmesauf

sous responsabilité d’un prof. soins de santéOu personne concernée ne peut pas les fournir elle-même


Spécificités pour les hôpitaux

Arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre.

Chaque hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d'un règlement relatif à la protection de la vie privée.

Les dispositions de ce règlement relatives aux droits des personnes sont communiquées aux patients

Désignation d’un conseiller en sécurité chargé de la sécurité de l'information cumulable avec la fonction de délégué à la protection des données ?? – à clarifier


RGPD : Conséquence du traitement de données sensibles

Interdiction maintenue évidemmentMais nouvelles conséquences sur :

Fondement du traitementObligation de tenir un registre de traitementMesures de sécurité accruesPossibilité de disparités nationales (santé)

Si traitement à grande échelle :Obligation de réaliser une étude d’impactObligation de désigner un DPD


GDPR : fondement du traitement (1)

consentement explicite de l'intéressé

(possibilité de retirer le consentement à tout moment valable pour toutes les catégories de données)

Mais la loi nationale pourra prévoir des cas où ce consentement est sans effet


GDPR : fondement du traitement (2)

Quid des données pénales :

Seulement :sous le contrôle de l'autorité publiqueou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées


Obligation de tenir un registre de traitement

En principe pas d’obligation de tenir un registre Si moins de 250 employés,

sauf si le traitement porte notamment sur des données particulières


Mesures de sécurité accrues

considérants 75 et 76 : exemples des traitements présentant des risques particuliers : notamment : (…) lorsqu’il s’agit d’un traitement des données sensibles.

Mesures de sécurité accrues


Données de santéPossibilités de disparités nationales

Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.


Traitement à grande échelle

Si traitement à grande échelle de données particulières

Analyse d’impact requiseSauf si analyse d'impact générale a été réalisée dans le cadre de l'adoption de la base juridique sur laquelle on se fonde

Sauf si l’Etat membre l’oblige (à suivre)

Désignation obligatoire DPD


❝3.

A quelles conditions les administrations peuvent-elles se transmettre

des données à caractère personnel ?


Fil conducteur

Une école publique spécialisée pour les enfants sourds

demande que l’hôpital lui communique les adresses d’enfants atteints de surditépour leur envoyer de la documentation sur

l’école


A quelles conditions les administrations peuvent-elles se transmettre des données à caractère personnel ?

Création de réseaux d’échange des donnéesEx: plateforme BCSS (loi du 15/01/90)

Transfert = traitement nécessite une base juridique

Information individuelle des personnes concernées au regard du transfert de leurs données

Dérogation: le droit de l’UE ou de l’EM prévoit l’obtention ou la communication des données + garanties appropriées visant à protéger les intérêts légitimes de la personne concernée

Nécessité d’une mesure législative qui définisse les informations transmissibles ainsi que les modalités de mise en œuvre de la transmission



Gand (5e ch.) n° 2014/AR/1346, 13 octobre 2015: Échange de données entre la Direction de l’Immatriculation des Véhicules (DIV) et l’administration fiscale

Art. 1er, § 1er, de la loi du 28 juillet 1938 tendant à assurer l’exacte perception des impôts imposent aux services administratifs de l’État, organismes et établissements publics, lorsqu’ils en sont requis par un fonctionnaire chargé de l’établissement ou du recouvrement des impôts, de lui fournir tous renseignements en leur possession, que ledit fonctionnaire juge nécessaires pour assurer l’établissement ou la perception des impôts perçus par l’État.

Lorsque l’administration fiscale consulte le répertoire matricule des véhicules informatisé tenu par le SPF Mobilité et Transports, elle adresse une demande de renseignements telle qu’autorisée par la loi. Il n’est donc pas question de communication spontanée et systématique des données du répertoire par la DIV au SPF Finances.

Pas de violation de la loi du 8 décembre 1992. L’établissement de l’impôt des personnes physiques doit être vu comme une finalité déterminée, explicite et légitime au sens de l’article 4, § 1er, 2°, de cette loi. L’établissement des impôts relève de l’intérêt général et rentre à ce titre dans les prévisions de l’article 5, e), de la même loi qui permet d’effectuer le traitement de données à caractère personnel lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

CJUE (1er octobre 2015, arrêt Bara, C-201-14) invalide le transfert:

la législation roumaine ne définit pas les informations transmissibles et les modalités de mise en œuvre (protocole) + les personnes concernées n’ont pas été informées des finalités et catégories de données visées

Interprétation stricte: uniquement les données visées par la législation autorisant la transmission


Fil conducteur

L’hôpital ne peut pas transmettre la liste demandée à l’école,

Mais peut par contre transmettre les données de rémunération de son personnel à l’administration

fiscale(AR/CIR 92, art. 30)



D’où, un simple accord entre administration n’est pas suffisant!

Pas possible de convenir de règles d’entreprises contraignantes

Car notion d’entreprise vise activité économique

Après le transfert : Signaler les demandes de rectification, d’effacement, etc. aux destinataires

Si les informations visées contiennent le numéro de registre national, il faut introduire une demande d’autorisation au comité sectoriel (consentement ne suffit pas)


Fil conducteur

L’hôpital peut-il s’associer avec plusieurs autres hôpitaux

pour créer et utiliser une plateforme de prise de rendez-vous en ligne

commune ?


Responsables conjoints ?

« Définition conjointe des finalités et des moyens de traitement » Doute sur l’interprétation de cette notion Mêmes obligations que le responsable de traitement ou sous-traitantSeules conséquences :

Accord prévoyant les obligations respectives des resp. conjoints Mise à disposition des personnes concernées des grandes lignes de cet accord

Être prudent et convenir rôles respectifs

❝ 4.

Comment assurer la sécurité des données à caractère personnel

au sein des administrations ?


Fil conducteur

L’hôpital a déjà un conseiller en sécurité de l’information.

Il utilise des badges pour l’accès de tout le personnel

et des codes d’accès pour accéder au logiciel contenant les données médicales.

Suffisant ?


Comment assurer la protection des données à caractère personnel au sein des administrations ?

Mesures de sécurité préconisées par la CPVP :

Adoption d’une politique de sécurité de l’information

Désignation d’un conseiller en sécurité de l’information (responsable de l’exécution de la politique de sécurité)

Définir responsabilités et processus de gestion en matière de sécurité :Classification de l’information Information correcte des acteurs + formationSuivis disciplinaires Mêmes obligations de sécurité dans contrat de sous-traitance

Assurer protection physique des données Accès limité des supports de données et des personnes traitant ces données Dispositifs de prévention, détection, traitement des dangers physiquesMesures de sauvegardes (back up)



Mesures de sécurité préconisées par la CPVP :

Sécurisation des réseaux

Sécurisation logique des accès

Journalisation, traçage et analyse des accès

Révision des mesures de sécurité techniques et organisationnelles

Plan de gestion des incidents de sécurité

Documentation complète et mise à jour concernant la sécurité des informations



Dans le Règlement :Article 32 du RGPD - mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque :

Pseudonymisation et chiffrement

Moyens garantissant confidentialité, intégrité, disponibilité et résilience constante des systèmes et services de traitements

Moyens pour rétablir disponibilité et accès aux données en cas d’incident physique/technique

Procédure visant à tester, analyser, évaluer régulièrement l’efficacité des mesures de sécurité

Mesures empêchant traitement par des personnes sous l’autorité du responsable et ayant accès aux données

Application d’un code de conduite ou mécanisme de certification


Mesures actuelles suffisantes ?

Technologie encore actuelle ?

Budget // risque encouru (réputation et amende)

Personnel suffisamment formé ?

Prêt à réagir en cas de fuite ?


Mesures actuelles suffisantes ?

DPO doit donner son avis sur les mesures prises

Demande d’avis préalable auprès de la CPVP après l’AIPD

Fournit avis CPVP sur l’adéquation des mesure prises

+

Réexamen régulier


Pourquoi anticiper les futures règles?


Points à analyser

Identification des traitements actuellement réalisés

Détermination fondementSi consentement : adaptations nécessaires ?

Tiers à qui les données ont été transmises

Façon dont la documentation au sujet des traitements est conservée

Mesures de sécurités actuellement en vigueur suffisantes ?

Sous-traitants adéquats ?

Analyse des incidents qui ont déjà eu lieu et de la façon dont ils ont été gérés.


Actions

Désigner un délégué à la protection des données

Adaptation des polices vie privées et contrats

Mise en place de procédures types

Application des procédures aux traitements existants.


Actions

Effacement des données dont la conservation ne peut plus être justifiée mise en œuvre d’un processus automatisé d’effacement

Limitation des risques de brèches de sécurité par l’anonymisation/le chiffrement

Formation du personnel

Simulation d’une brèche de sécurité

Communication publique quant aux efforts mis en place par l’entreprise.


Bénéfices ?

COMPLIANCE = BENEFICES d’un point de vue :

gestion des risques réputation économique

Law

earlegal #4 - La protection des données à caractère personnel au sein des administrations publiques