Logo Pictime Groupe
backgroundLayer 1

Le RGPD appliqué aux données de santé

Par Fabien Dachicourt
Publié le 20 mai 2022
Lecture : 9 min.
Pictime Groupe, en tant que société certifiée pour l’hébergement de donnée de santé (HDS), vous propose cette publication pour partager une synthèse de la vision du régulateur sur le RGPD appliqué aux données de santé, la manière dont nous avons traité le sujet, et comment nous pouvons vous aider.
2 #Santé
illustration RGPD Europe

Tout d’abord, convient de partir de l’article 4 du RGPD pour avoir une notion de ce qu’est une donnée de santé :

« données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne»

Bien que le RGPD en tant que règlement européen s’applique directement aux états membres, il leurs permet des marges de manœuvres (art. 9.4 du RGPD pour la santé). En France cela se traduit dans la nouvelle rédaction de la loi informatique et liberté (LIL) en vigueur depuis le 1er juin 2019. Alors que le RGPD s’applique à un traitement de données personnelles effectués par un responsable de traitement ou un sous-traitant établi sur le territoire de l’UE ou visant des personnes se trouvant dans l’UE, la LIL s’applique à un responsable de traitement ou un sous-traitant situé en France ou si des personnes résidant en France sont concernées. Dans la LIL, la section 3 présente les dispositions spécifiques à respecter relatives au domaine de la santé.

Un traitement sur des données de santé est tout d’abord un traitement sur des données à caractère personnel, donc les règles standards d’un traitement s’appliquent (Licéité, Loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité), ainsi que le droit des personnes concernées (transparence, accès, rectification, opposition, effacement, limitation, portabilité des données et décision individuelle automatisée).

De même que pour d’autres traitement, le responsable de traitement doit garantir et démontrer à tout moment sa conformité. Concrètement, cela passe par les registres des activités de traitement, les analyses d’impact pour les traitements à risque, encadrer les cas de sous-traitance, mettre en place les mesures pour garantir la sécurité…

Comme pour les autres traitements, le RGPD est à prendre en compte à chacune des étapes potentielles du traitement (Collecte, mise à jour, partage, réutilisation, conservation, et destruction).

Dans le cas d’une externalisation de l’hébergement de données de santé à caractère personnel, il faut recourir à un hébergeur agréé ou certifié (Article L. 1111-8 du CSP).

Attention, toutes les offres certifié HDS ne couvrent pas forcément le même périmètre ni la même répartition des rôles et responsabilités. Quoiqu’il en soit, cela reste au responsable de traitement de par exemple de mener l’analyse d’impact si cela est nécessaire, mais il peut solliciter le sous-traitant pour y participer.

Pictime Groupe est un hébergeur certifié HDS sur tous les domaines d’application (de 1 à 6), qui à travers sa marque Coreye HealthCare adresse le marché de la santé en tant que sous-traitant. Pictime Groupe a désigné un DPO dès le 25/05/2018, et disposait déjà d’un RSSI. En effet pour atteindre la conformité, les deux postes sont nécessaires. Mais avec plusieurs centaines de client, la mise en place d’un réseau de relais DPO est nécessaire pour être sûre de ne rien louper.

En tant que sous-traitant nous maintenons pour tous nos clients, dont nos clients santé des registres (traitement, notification des violations, exercice des droits et des communications vers le client ou un tiers).

Pour la conformité RGPD des contrats, nous avons mis en place les éléments suivants :

  • Contrat client précisant les obligations de chaque partie pour le RGPD (conformément à l’article 28 du RGPD)
  • Contrat sous-traitant précisant les obligations de chaque partie pour le RGPD
  • Formulaire de traitement complété avec le client pour chaque contrat
  • Demande de documenter toutes les instructions du responsable de traitement
  • Mise en place d’une charte Données et Sécurité pour tous les collaborateurs et prestataires qui reprend toutes les précautions élémentaires du guide de la CNIL
  • Renforcement de la clause de confidentialité des collaborateurs incluant le caractère particulier des données de santé.
  • Un Plan d’Assurance Qualité avec la liste des mesures de sécurité en place et une procédure de réversibilité définissant les modalités de restitution des données en fin de contrat.

 

L’article 25 (Protection des données dès la conception et protection des données par défaut) ainsi que l’article 32 (Sécurité du traitement) nous donne les attentes du RGPD d’un point de vu de la sécurité, cependant celle-ci doit s’adapter au contexte et au niveau de risque. Dans le cas de données de santé à caractère personnel, les mesures à implémenter attendues sont souvent du plus haut niveau.

Nous rappelons aussi à nos clients santé qu’ils doivent sur la partie du système d’information sous leur responsabilité être conforme aux référentiels d’interopérabilité et de sécurité élaboré par l’Agence du Numérique en Santé (Art L.1110-4-1 du CSP). Nous demandons donc à nos clients pour la partie identification, authentification ou imputabilité de suivre le référentiel associé de la PGSSI-S.

Pictime Groupe met en œuvre en interne de nombreuses mesures standards comme par exemple, la formation au RGPD des collaborateurs ou bien la classification de l’information. Mais, pour la partie HDS, nous mettons des mesures plus évoluées comme, entre autres, l’authentification forte, l’utilisation d’un bastion pour l’administration ou le chiffrement des postes de travail.

L’offre santé Coreye HealthCare embarque de nombreuses mesures de sécurité minimale dont entre autres :

  • Pas d’utilisation d’identifiant générique
  • Journalisation de toutes les opérations d’infogérance et des systèmes
  • Serveur de trace séparé des serveurs d’origines
  • Isolation de tous les réseaux
  • Chiffrement des flux avec le client
  • Sécurité périmétrique
  • Détection d’intrusion
  • Protection contre les logiciels malveillants
  • Sécurisation et maintien en condition de sécurité des systèmes en exploitation
  • Sauvegarde sur site distant avec chiffrement

 

En plus de son activité d’hébergeur certifié HDS et ISO27001, Pictime Groupe propose un accompagnement RGPD personnalisé allant de la cartographie des données à la rédaction du référentiel sécurité (PPSSI, chartes…) en passant par la mise en place du registre. Nous offrons également à nos clients de les assister dans la réalisation de leurs analyses d’impact sur la protection des données ou dans la complétion des formalités préalables requises par la CNIL, notamment en ce qui concerne les traitements de données de santé.

Pour les structures de type start-up, nous pouvons ajouter la mise à disposition d’un expert RGPD, susceptible de répondre à toute demande relative à leur conformité et d’assurer une veille législative et réglementaire adaptée aux spécificités de leur activité.

En parallèle, et afin d’assurer une prise en compte de la réglementation relative à la protection des données dans les projets qui nous sont confiés, nous proposons à nos clients d’inclure un référent RGPD au sein du dispositif projet. Celui-ci est alors en charge du suivi permanent de la conformité du projet à la réglementation. Son rôle de conseiller du client et des différents acteurs du projet permet de conjuguer au mieux performance commerciale et respect de la vie privée des utilisateurs.

 

Pour en savoir plus sur les rôles et responsabilités du sous-traitant et du responsable de traitement dans l’application du RGPD, nous vous proposons de retrouver un webinar sur le sujet, présenté par nos experts Pictime Groupe.

Pour voir le replay, c’est par ici.

 

Vous aimerez aussi

2 #Santé
SANTEXPO 2022 – Retour en images

Retour en images sur la présence de l’équipe Coreye au salon Santexpo 2022 avec notre partenaire Amazon Web Services.

Lire la suite
2 #Santé
Certification HDS : un accompagnement sur-mesure

Notre démarche d’accompagnement à la certification HDS vise avant tout à rendre le cadre normatif plus accessible pour les acteurs opérationnels et métier, et à permettre une démarche d’implémentation la plus pragmatique possible.

Lire la suite
Suivez-nous
COMMERCE
SANTÉ
GROUPE
Nos secteurs d'activité
Nos services
Nos Références
Notre entreprise
LILLE
Campus du digital

Parc de la Haute Borne
61, Avenue de l’Harmonie
59262 Sainghin-en-Mélantois
03 28 52 05 20

PARIS
Campus du digital

19 rue Michel Le Comte
75003 Paris
01 85 65 32 52

E-commerce

E-santé

Business Services

Digital Experience Management

Application Management

Cloud Management

Security Management

Nos clients

Nos partenaires

Nos certifications

Offres d’emploi

Pourquoi nous rejoindre ?

Ce que nous sommes

Ce que nous faisons

LILLE
Campus du digital

Parc de la Haute Borne
61, Avenue de l’Harmonie
59262 Sainghin-en-Mélantois
03 28 52 05 20

PARIS
Campus du digital

19 rue Michel Le Comte
75003 Paris
01 85 65 32 52

Mentions légales
Données Personnelles
Contactez-nous

E-santé

E-commerce

Business Services

Digital Experience Management

Application Management

Cloud Management

Security Management

Nos clients

Nos partenaires

Nos certifications

Ce que nous sommes

Ce que nous faisons

Nos Campus

RSE

Offres d’emploi

Pourquoi nous rejoindre ?

Étudiants

Nos valeurs

Votre parcours

Blog
Contactez-nous
Logo Pictime Groupe
FR   |   EN