{"id":42406,"date":"2020-10-01T12:07:43","date_gmt":"2020-10-01T10:07:43","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=42406"},"modified":"2020-10-21T10:01:19","modified_gmt":"2020-10-21T08:01:19","slug":"le-rgpd-en-etablissement-de-sante-quel-bilan","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/le-rgpd-en-etablissement-de-sante-quel-bilan\/","title":{"rendered":"Le RGPD en \u00e9tablissement de sant\u00e9, quel bilan\u2009?"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 6<\/span> minutes<\/span><\/span>

Le RGDP impose dans certains cas la d\u00e9signation d\u2019un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO) et le place au c\u0153ur des nouvelles obligations des professionnels, en v\u00e9ritable pilote de la conformit\u00e9. La Cnil recense 4\u2009000 d\u00e9signations de d\u00e9l\u00e9gu\u00e9s pour l\u2019activit\u00e9 hospitali\u00e8re (mutualis\u00e9s ou non). On doit n\u00e9anmoins observer certaines difficult\u00e9s dans la r\u00e9alisation de leurs missions, notamment un manque de visibilit\u00e9 au sein de l\u2019\u00e9tablissement et, parfois, de soutien de la hi\u00e9rarchie,\u00a0mais \u00e9galement des difficult\u00e9s d\u2019anticipation et de quantification de la charge de travail.\u00a0<\/span><\/p>\n

La Cnil a ainsi pu constater que\u00a0le d\u00e9l\u00e9gu\u00e9 n\u2019est pas toujours associ\u00e9 aux projets qui lui sont soumis. Or, elle constate que les projets sont souvent plus conformes \u00e0 la logique de protection des donn\u00e9es lorsque le d\u00e9l\u00e9gu\u00e9 a \u00e9t\u00e9 associ\u00e9 en amont\u2009: son implication dans le projet au stade des premi\u00e8res r\u00e9flexions est essentielle afin qu\u2019il puisse \u00eatre en capacit\u00e9 de conseiller efficacement les porteurs de projets.\u00a0<\/span><\/p>\n

En dehors des cas de d\u00e9signation obligatoire, la Cnil encourage fortement les responsables de traitement \u00e0 se doter d\u2019un DPO, \u00e0 l\u2019associer \u00e0 toutes les questions relatives \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 lui donner les moyens suffisants pour qu\u2019il puisse mener \u00e0 bien sa mission.<\/p>\n

La Cnil a pu observer que certaines difficult\u00e9s proviennent d\u2019un manque de moyens allou\u00e9s aux d\u00e9l\u00e9gu\u00e9s au regard de leurs nombreuses missions. Ils doivent en effet g\u00e9rer la conformit\u00e9 de nombreux traitements de donn\u00e9es li\u00e9s notamment \u00e0 la prise en charge sanitaire, aux activit\u00e9s de recherche en sant\u00e9 et leurs formalit\u00e9s, \u00e0 la gestion du personnel, ou encore au recours \u00e0 la t\u00e9l\u00e9m\u00e9decine. Ils doivent \u00e9galement pouvoir d\u00e9gager du temps pour mettre en place des proc\u00e9dures internes pour faciliter l\u2019instruction de certains dossiers.\u00a0<\/span><\/p>\n

Il faut \u00e9galement relever la complexit\u00e9 du cadre l\u00e9gal, qui ne serait parfaitement ma\u00eetris\u00e9 que par 13,4\u2009% des DPO(2)<\/sup>.\u00a0<\/span><\/p>\n

Au-del\u00e0 de l\u2019ajout de moyens (renfort de personnel, temps suppl\u00e9mentaire, etc.), certaines difficult\u00e9s pourraient \u00eatre surmont\u00e9es via un travail de r\u00e9flexion sur l\u2019\u00e9valuation de la charge de travail du d\u00e9l\u00e9gu\u00e9 et des priorit\u00e9s \u00e0 donner pour la mise en conformit\u00e9 de l\u2019\u00e9tablissement au RGPD. L\u2019organisation d\u2019un point annuel de pr\u00e9sentation \u00e0 la direction de l\u2019\u00e9tablissement de l\u2019\u00e9tat de maturit\u00e9 vis-\u00e0-vis de la conformit\u00e9 \u00e0 la r\u00e9glementation des donn\u00e9es personnelles pourrait permettre d\u2019identifier des priorit\u00e9s, de donner de la visibilit\u00e9 \u00e0 ce sujet et d\u2019apporter de la confiance aupr\u00e8s des professionnels de l\u2019\u00e9tablissement.\u00a0<\/span><\/p>\n

En outre, il est possible de se rapprocher de r\u00e9seaux de d\u00e9l\u00e9gu\u00e9s ou de clubs utilisateurs existants qui favorisent la r\u00e9flexion et le partage d\u2019exp\u00e9rience. La Cnil organise \u00e9galement r\u00e9guli\u00e8rement des ateliers de formation d\u00e9di\u00e9s \u00e0 la sant\u00e9 \u00e0 destination des DPO.\u00a0<\/span><\/p>\n

Les outils de simplification\u00a0<\/span><\/h2>\n

La logique de responsabilisation des acteurs introduite par le RGPD trouve \u00e0 s\u2019appliquer dans le cadre des activit\u00e9s des \u00e9tablissements de sant\u00e9, notamment s\u2019agissant de la recherche en sant\u00e9.\u00a0<\/span><\/p>\n

Pour all\u00e9ger les formalit\u00e9s li\u00e9es aux traitements de donn\u00e9es r\u00e9alis\u00e9s \u00e0 des fins de recherche dans le domaine de la sant\u00e9, la Cnil a adopt\u00e9 cinq m\u00e9thodologies de r\u00e9f\u00e9rence adapt\u00e9es au cadre juridique en mati\u00e8re de donn\u00e9es de sant\u00e9(3)<\/sup>. Elle observe ainsi un nombre grandissant d\u2019engagements de conformit\u00e9 \u00e0 ces m\u00e9thodologies de r\u00e9f\u00e9rence mais \u00e9galement de demandes d\u2019autorisations.\u00a0<\/span><\/p>\n

Cela refl\u00e8te une appropriation par ces acteurs des outils de simplification mis \u00e0 leur disposition, ainsi qu\u2019une pr\u00e9occupation plus importante li\u00e9e \u00e0 la protection des donn\u00e9es dans le cadre des recherches en sant\u00e9. \u00a0<\/span><\/p>\n

Risques et menaces de violation de donn\u00e9es\u00a0<\/span><\/h2>\n

L\u2019utilisation de plus en plus importante d\u2019outils num\u00e9riques et de techniques innovantes (t\u00e9l\u00e9m\u00e9decine, objets de sant\u00e9 connect\u00e9s, intelligence artificielle, etc.) d\u00e9multiplie les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 et aux fuites de donn\u00e9es. \u00c0 ce titre, on doit constater que les \u00e9tablissements de sant\u00e9 sont des cibles privil\u00e9gi\u00e9es de cyberattaques.\u00a0<\/span><\/p>\n

Une attention particuli\u00e8re doit ainsi \u00eatre port\u00e9e \u00e0 la s\u00e9curit\u00e9 des traitements de donn\u00e9es de sant\u00e9 par ces \u00e9tablissements et \u00e0 leur conformit\u00e9 en mati\u00e8re de donn\u00e9es personnelles. Cette d\u00e9marche s\u2019inscrit dans le cadre de la strat\u00e9gie du gouvernement \u00ab\u2009Ma sant\u00e9 2022\u2009\u00bb qui, dans sa feuille de route du num\u00e9rique en sant\u00e9, vise l\u2019intensification de la s\u00e9curit\u00e9 et l\u2019interop\u00e9rabilit\u00e9 des syst\u00e8mes d\u2019information en sant\u00e9. Garantir la s\u00e9curit\u00e9 des donn\u00e9es est un \u00e9l\u00e9ment cl\u00e9 pour pr\u00e9server l\u2019excellence de notre syst\u00e8me de sant\u00e9 et contribuer \u00e0 la qualit\u00e9 du syst\u00e8me de sant\u00e9 et des soins.<\/p>\n

Introduite par le RGPD, l\u2019obligation de notification des violations de donn\u00e9es personnelles \u00e0 la Cnil t\u00e9moigne de l\u2019importance port\u00e9e \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es.<\/p>\n

En 2019, la Cnil a re\u00e7u 2\u2009287\u00a0notifications, dont 174 pour le secteur sant\u00e9(4)<\/sup>, soit un peu plus de 7\u2009%. Celles-ci font l\u2019objet d\u2019une instruction individuelle et constituent ainsi un barom\u00e8tre permettant \u00e0 la Cnil d\u2019appr\u00e9hender la maturit\u00e9 des organismes, d\u2019\u00e9valuer les menaces qui p\u00e8sent sur les donn\u00e9es personnelles et de veiller \u00e0 une information appropri\u00e9e des personnes concern\u00e9es. Il ressort de ces notifications que les deux causes principales proviennent pour 50\u2009% de violations dues \u00e0 un acte externe malveillant (piratages \u00e0 distance, vols \u00ab\u2009physiques\u2009\u00bb, etc.) et, pour 23\u2009%, \u00e0 un acte interne accidentel (donn\u00e9es personnelles adress\u00e9es au mauvais destinataire, publication non volontaire d\u2019informations, etc.).<\/p>\n

Afin de renforcer la s\u00e9curit\u00e9, la Cnil publie r\u00e9guli\u00e8rement des guides pour accompagner les responsables de traitement et leurs sous-traitants(5)<\/sup>.<\/p>\n

Un nombre de plaintes stable\u00a0<\/span><\/h2>\n

Depuis l\u2019entr\u00e9e en application du RGDP en mai 2018, 17\u2009% des plaintes re\u00e7ues concernent le secteur de la sant\u00e9. Si on note, ces derni\u00e8res ann\u00e9es, une augmentation des plaintes concernant le secteur de la sant\u00e9, le nombre de plaintes visant des \u00e9tablissements de sant\u00e9 semble stable. La majorit\u00e9 des plaintes visant des \u00e9tablissements de sant\u00e9 provient de patients et concerne principalement deux difficult\u00e9s\u2009:\u00a0<\/span><\/p>\n