RGPD : Un code de conduite pour les établissements sanitaires et médico-sociaux

Aujourd’hui, la numérisation de la prise en charge médicale est une réalité. Il est alors nécessaire que chaque établissement de santé dispose d’un système d’information indéfectible. Les données de santé sont extrêmement sensibles car personnelles. La mise en œuvre du RGPD est donc devenue une obligation dans les établissements sanitaires et médicaux-sociaux.

Qu’est ce que le RGPD ?

Règlement Général sur la Protection des Données, il encadre le traitement des données personnelles sur le territoire de l’Union Européenne. Il vise à renforcer le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Le RGPD harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. De manière pratique, il se traduit sous formes de fiches opérationnelles pensées par le métier et pour le métier. Il permet ainsi de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Le cercle de confiance du RGPD.

Données personnelles & traitement de données

Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), une donnée personnelle est formée de toute information se rapportant à une personne physique identifiée ou identifiable.

Son traitement correspond à une opération, ou ensemble d’opérations, portant sur des données personnelles quel que soit le procédé utilisé (collecte, enregistrement ou conservation par exemple). Chaque traitement de données doit avoir une finalité et être justifié, légal et légitime au regard de l’activité professionnelle.

Contextualisation – Pourquoi
avoir mis en place le RGPD ?

Suite à la démocratisation totale du commerce en ligne, les objets connectés et nouvelles technologies se multiplient. Les données dans les entreprises sont de plus en plus importantes. C’est pourquoi cette loi vient structurer l’usage des données et les uniformiser à l’échelle européenne.

Le but de la démarche est de fournir un niveau de protection identique aux citoyens et un processus d’utilisation des données par une réglementation commune des données de santé dans les pays de l’UE aux entreprises. Ces dernières bénéficieront également d’une réduction de la concurrence.

Qui est concerné par le RGPD ?

Le RGPD concerne toutes les organisations qui traitent des données personnelles. Les entreprises publiques ou privées, européennes ou dont l’activité cible des résidents européens sont donc concernées.

Dans le but de protéger la vie privée ainsi que les libertés individuelles, les établissements ont dorénavant des obligations en matière de protection des données. Une étroite collaboration entre la CNIL et la FHF a alors vu le jour. Elle aide les organisations à se mettre en conformité de manière simple et sécurisée.

Qui est concerné par le RGPD ?

Les enjeux de la coopération CNIL / FHF et ses premières réalisations

Qu’est ce que la CNIL ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été créée en 1978 pour veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. En d’autres termes, elle veille à ce que l’informatique soit au service du citoyen et non contre. Agissant au nom de l’État, cet organisme public a un rôle d’alerte, de conseil et d’information vers tous les publics. Mais elle dispose aussi de moyens de contrôle et de sanction.
La CNIL accompagne en effet la FHF dans l’élaboration de ce code, en participant notamment à son comité de DPO.

Qu’est ce qu’un DPO ?

Le Data Protection Officer (DPO), ou encore le Délégué à la Protection des Données se charge de la protection des données personnelles traitées par un organisme (entreprises, institutions,…).
Le RGPD 2018 a rendu cette désignation obligatoire pour un grand nombre de responsables de traitement de données. En effet, son rôle est primordial. Il informe, conseille et forme le responsable du traitement de données ou son sous-traitant ainsi que ses employés sur les obligations qu’ils doivent respecter au regard de la réglementation européenne.
Le DPO est en contactavec la CNIL, qui veille à préserver l’identité humaine et la vie privée de tous.

La CNIL & la FHF – Un code de conduite pratique

À l’occasion du Salon International Santé et Innovation, le Ptit Biomed a eu l’occasion de découvrir le travail issu de la collaboration entre la CNIL et la FHF : le “code de conduite”.
Présenté comme un petit guide pratique sous forme de fiches, il vise à aider les organismes dans la compréhension et l’application du RGPD en matière d’information au patient. La publication officielle aura lieu à la fin de l’année 2019.
La présidente de la CNIL, Madame Marie- Laure Denis ainsi que la déléguée générale de la FHF Madame Zaynab Riet, sont catégoriques : il ne s’agit pas d’ajouter de la complexité au RGPD mais au contraire de diffuser de manière claires et concises les bases nécessaires à sa compréhension et à sa mise en œuvre.

Pratique car pensé par les acteurs du terrain pour le terrain

Le code est destiné aux professionnels chargés de mettre en conformité leur établissement avec le RGPD. Il apporte des solutions concrètes et opérationnelles, avec le langage et les méthodes du terrain. La loi exige même que le code soit consulté avant publication. Cela permet ainsi de pouvoir prendre en compte leur remarques et avis.

Pratique de part son format

Le RGPD aspire à la protection des données personnelles de chacun d’entre nous. C’est pourquoi le code de conduite nous concerne aussi. Comment informer les patients de l’existence de ce code de conduite ? Selon Armande François, DPO de l’AP-HP, il faut être exhaustif dans l’information remis aux patients. En résulte, une réelle volonté de transparence quant à l’utilisation des données afin d’instaurer un climat de confiance entre le patient et son établissement de santé.
Pour le DPO de Bordeaux, Moufid Hajjar, il faut rendre ce code et ses fiches visibles par les patients.

Le format de ce code a lui aussi une grande importance parce que l’on veut diffuser clairement certaines informations basiques mais primordiales.
La FHF et la CNIL ont alors cherché à diffuser les principales informations de manière claire et simple. Dans ce but, le format de ce code a lui aussi été important. Une fiche dans une salle d’attente attire l’œil, est assez concise pour ne pas s’ennuyer et contient assez d’informations pour s’occuper.

Couplé à des mots que les personnes connaissent et comprennent, le code de conduite se veut accessible par tous. Êtes-vous prêts à devenir des experts du RGPD ?
Les DPO sont des spécialistes du RGPD qui connaissent et comprennent le sujet. Or, la mise en pratique, la conformité peut-être difficile à obtenir et dépend des établissements et du domaine d’application. 5 membres du comité de DPO participaient à la table-ronde et ont témoigné des problématiques rencontrées.

Le code de conduite « information
des usagers », les outils d’échanges et partage avec les DPO

Les mineurs, les personnes âgées et leurs données personnelles

Guillaume Deraedt, DPO du GHT de Lille, souligne le cas des personnes âgées et des mineurs. Pour lui, le code pratique ne devrait pas se limiter à une seule transcription du RGPD : plusieurs versions devraient exister selon la personne à qui on s’adresse et selon
le type de données traitées.

Les petits établissements de santé et le RGPD

Pour le DPO du GHT d’Armor, Yohann Fourchon, les petits établissements de santé ont moins de ressources à consacrer à l’application du RGPD. Il propose alors de fournir des conseils “pratico-pratique” issus de l’expertise des CHU conformes.

Quand les données personnelles sont sources d’anxiété

Enfin, Belaïd Ait-Hamouda, DPO du GHU de Paris a exprimé ses craintes quant à l’anxiété que pouvait générer ce flux d’informations et leur devenir chez des patients souffrant de problèmes de santé mentale.

Que sont mes données ? Que deviennent-elles ?

Nous sommes à l’ère de la numérisation et les données en sont le socle. De la collecte à son stockage, jusqu’à son utilisation, les données doivent êtres protégées. On tente même une nouvelle approche : le “privacy by design” où la protection de la vie privée est intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.

Les étapes du RGPD.
  • Marie-Laure DENIS, Présidente de la CNIL
  • Zaynab RIET, Déléguée Générale FHF
  • Thomas DAUTIEU, Directeur
  • de la conformité CNIL
  • Ingrid NKOUENJIN, Cheffe de service outils
  • de conformité CNIL
  • Dr Moufid HAJJAR, Information médicale
  • et DPO CHU Bordeaux
  • Armande FRANÇOIS, DPO APHP
  • Guillaume DERAEDT, DPO GHT Lille
  • Bélaïd AIT-HAMOUDA, DPO GHU Paris
  • Yohann FOURCHON, DPO Côtes d’Armor
  • Fabien VIRY, RSI de la FHF
  • Me Laurent HOUDART, Cabinet Houdart et associés
  • Cyrille POLITI, Conseiller Transition Numérique FHF
  • Benoit LOUVET, Fondateur de Mon DPO Santé

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *