Le RGPD appliqué aux données de santé

Par Fabien Dachicourt
Publié le 1 octobre 2020
Lecture : 9 min.
Pictime Groupe, en tant que société certifiée pour l’hébergement de donnée de santé (HDS), vous propose cette publication pour partager une synthèse de la vision du régulateur sur le RGPD appliqué aux données de santé, la manière dont nous avons traité le sujet, et comment nous pouvons vous aider.
2 #Santé

Tout d’abord, il convient de partir de l’article 4 du RGPD pour avoir une notion de ce qu’est une donnée de santé :

« données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne».

Bien que le RGPD en tant que règlement européen s’applique directement aux états membres, il leurs permet des marges de manœuvre (art. 9.4 du RGPD pour la santé). En France cela se traduit dans la nouvelle rédaction de la loi informatique et liberté (LIL) en vigueur depuis le 1er juin 2019. Alors que le RGPD s’applique à un traitement de données personnelles effectué par un responsable de traitement ou un sous-traitant établi sur le territoire de l’UE ou visant des personnes se trouvant dans l’UE, la LIL s’applique à un responsable de traitement ou un sous-traitant situé en France ou si des personnes résidant en France sont concernées. Dans la LIL, la section 3 présente les dispositions spécifiques à respecter relatives au domaine de la santé.

Un traitement sur des données de santé est tout d’abord un traitement sur des données à caractère personnel, donc les règles standards d’un traitement s’appliquent (Licéité, Loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité), ainsi que le droit des personnes concernées (transparence, accès, rectification, opposition, effacement, limitation, portabilité des données et décision individuelle automatisée).

De même que pour d’autres traitement, le responsable de traitement doit garantir et démontrer à tout moment sa conformité. Concrètement, cela passe par les registres des activités de traitement, les analyses d’impact pour les traitements à risque (https://www.cnil.fr/fr/liste-traitements-aipd-requise), encadrer les cas de sous-traitance, mettre en place les mesures pour garantir la sécurité…

Comme pour les autres traitements, le RGPD est à prendre en compte à chacune des étapes potentielles du traitement (Collecte, mise à jour, partage, réutilisation, conservation, et destruction).

Dans le cas d’une externalisation de l’hébergement de données de santé à caractère personnel, il faut recourir à un hébergeur agréé ou certifié (Article L. 111-8 du CSP).

Attention, toutes les offres certifiées HDS ne couvrent pas forcément le même périmètre ni la même répartition des rôles et responsabilités. Quoi qu’il en soit, cela reste au responsable de traitement de, par exemple, mener l’analyse d’impact si cela est nécessaire, mais il peut solliciter le sous-traitant pour y participer.

Pictime Groupe est un hébergeur certifié HDS sur tous les domaines d’application (de 1 à 6), qui à travers sa marque Coreye adresse le marché de la santé en tant que sous-traitant. Pictime Groupe a désigné un DPO dès le 25/05/2018, et disposait déjà d’un RSSI. En effet pour atteindre la conformité, les deux postes sont nécessaires. Mais avec plusieurs centaines de client, la mise en place d’un réseau de relais DPO est nécessaire pour être sûr de ne rien louper.

En tant que sous-traitant, nous maintenons pour tous nos clients, dont nos clients santé, des registres (traitement, notification des violations, exercice des droits et des communications vers le client ou un tiers).

Pour la conformité RGPD des contrats, nous avons mis en place les éléments suivants :

  • Contrat client précisant les obligations de chaque partie pour le RGPD (conformément à l’article 28 du RGPD)
  • Contrat sous-traitant précisant les obligations de chaque partie pour le RGPD
  • Formulaire de traitement complété avec le client pour chaque contrat
  • Demande de documenter toutes les instructions du responsable de traitement
  • Mise en place d’une charte Données et Sécurité pour tous les collaborateurs et prestataires qui reprend toutes les précautions élémentaires du guide de la CNIL
  • Renforcement de la clause de confidentialité des collaborateurs incluant le caractère particulier des données de santé.
  • Un Plan d’Assurance Qualité avec la liste des mesures de sécurité en place et une procédure de réversibilité définissant les modalités de restitution des données en fin de contrat.

L’article 25 (Protection des données dès la conception et la protection des données par défaut) ainsi que l’article 32 (Sécurité du traitement) nous donne les attentes du RGPD d’un point de vu de la sécurité, cependant celle-ci doit s’adapter au contexte et au niveau de risque. Dans le cas de données de santé à caractère personnel, les mesures à implémenter attendues sont souvent du plus haut niveau.

Nous rappelons aussi à nos clients santé qu’ils doivent sur la partie du système d’information sous leur responsabilité être conforme aux référentiels d’intéropérabilité et de sécurité élaboré par l’ASIP Santé (Art L.1110-4-1 du CSP). Nous demandons donc à nos clients pour la partie identification, authentification ou imputabilité de suivre le référentiel associé de la PGSSI-S (https://esante.gouv.fr/securite/pgssi-s/espace-de-publication).

Pictime Groupe met en œuvre en interne de nombreuses mesures standards comme par exemple, la formation au RGPD des collaborateurs ou bien la classification de l’information. Mais, pour la partie HDS, nous mettons des mesures plus évoluées comme, entre autres, l’authentification forte, l’utilisation d’un bastion pour l’administration ou le chiffrement des postes de travail.

L’offre santé Coreye embarque de nombreuses mesures de sécurité minimale dont entre autres :

  • Pas d’utilisation d’identifiant générique
  • Journalisation de toutes les opérations d’infogérance et des systèmes
  • Serveur de trace séparé des serveurs d’origines
  • Isolation de tous les réseaux
  • Chiffrement des flux avec le client
  • Sécurité périmétrique
  • Détection d’intrusion
  • Protection contre les logiciels malveillants
  • Sécurisation et maintien en condition de sécurité des systèmes en exploitation
  • Sauvegarde sur site distant avec chiffrement

En plus de son activité d’hébergeur certifié HDS et ISO27001, Pictime Groupe propose un accompagnement RGPD personnalisé allant de la cartographie des données à la rédaction du référentiel sécurité (PPSSI, chartes…) en passant par la mise en place du registre. Nous offrons également à nos clients de les assister dans la réalisation de leurs analyses d’impact sur la protection des données ou dans la complétion des formalités préalables requises par la CNIL, notamment en ce qui concerne les traitements de données de santé.

Pour les structures de type start-up, nous pouvons ajouter la mise à disposition d’un expert RGPD, susceptible de répondre à toute demande relative à leur conformité et d’assurer une veille législative et réglementaire adaptée aux spécificités de leur activité.

En parallèle, et afin d’assurer une prise en compte de la réglementation relative à la protection des données dans les projets qui nous sont confiés, nous proposons à nos clients d’inclure un référent RGPD au sein du dispositif projet. Celui-ci est alors en charge du suivi permanent de la conformité du projet à la réglementation. Son rôle de conseiller du client et des différents acteurs du projet permet de conjuguer au mieux performance commerciale et respect de la vie privée des utilisateurs.

 


Pour en savoir plus sur les rôles et responsabilités du sous-traitant et du responsable de traitement dans l’application du RGPD, nos experts Pictime Groupe vous donne RDV le 15 octobre à 14h.

Pour s’inscrire au webinar, c’est par ici.


 


Vous aimerez aussi

2 #Santé
Est-ce qu’un GHT doit obligatoirement passer la certification HDS ?

Nous travaillons régulièrement sur des projets de certification HDS auprès des GHT et sommes régulièrement interrogés sur la validité de cette obligation de certification dans le cas très particulier des GHT.

Lire la suite
2 #Santé
L’eXpérience Humaine (HX) est scientifique ! (3/3)

L’eXpérience Humaine (communément appelée eXpérience Utilisateurs) peut paraître un sujet purement poétique ou philosophique. Pourtant elle entre de plus en plus dans le champ scientifique.

Lire la suite
FR   |   EN