RGPD : Tout ce que vous devez savoir

Date:
Vendredi 21 Septembre 2018

Quelles sont vos obligations dans le cadre du RGPD ?

• Créer un registre des activités de traitement

Si vous traitez des données « sensibles », ce qui est votre cas en tant que dispensateur de soins, vous devez créer un registre par type de traitements, mis à jour régulièrement. Exemples de types de traitement : données des dossiers patient, données enregistrées via l’agenda online des consultations. Vous devez conserver ce registre et pouvoir le présenter sur demande de l’Autorité de protection des données (APD). Ce registre reprendra les informations comme le responsable du traitement, sa finalité, le type de données, le support, les personnes avec lesquelles vous les avez partagées, les infos quant aux risques et les mesures de sécurité.

• Désigner un délégué à la protection des données
Le RGPD prévoit dans certains cas la désignation d’un délégué à la protection des données, mieux connu par l’abréviation anglaise DPO pour « Data Protection Officer ». Ce DPO est une personne au sein de l’organisation qui veille à ce que vous traitiez correctement les données à caractère personnel. Seules les opérations de traitement à grande échelle nécessitent la désignation d’un DPO. Le §91 du préambule du RGPD spécifie :
• « Par traitement Ă  grande Ă©chelle, on entend le traitement qui vise Ă  traiter un volume considĂ©rable de donnĂ©es Ă  caractère personnel au niveau rĂ©gional, national ou supranational, qui peut affecter un nombre important de personnes concernĂ©es et qui sont susceptibles d’engendrer un risque Ă©levĂ©, par exemple, en raison de leur caractère sensible.(…)
• Le traitement de donnĂ©es Ă  caractère personnel ne devrait pas ĂŞtre considĂ©rĂ© comme Ă©tant Ă  grande Ă©chelle si le traitement concerne les donnĂ©es Ă  caractère personnel de patients ou de clients par un mĂ©decin, un autre professionnel de la santĂ© ou un avocat exerçant Ă  titre individuel. Dans de tels cas, une analyse d’impact relative Ă  la protection des donnĂ©es ne devrait pas ĂŞtre obligatoire. »
• Réaliser une analyse d’impact relative à la protection des données (AIPD)
En vertu du RGPD, il est obligatoire, dans certaines circonstances, de procĂ©der Ă  une « analyse d’impact relative Ă  la protection des donnĂ©es » (AIPD) (ou « DPIA » en anglais pour Data Protection Impact Assessment). Il s’agit d’une procĂ©dure destinĂ©e Ă  Ă©valuer si un traitement de donnĂ©es Ă  caractère personnel comporte des risques pour les droits et libertĂ©s de la personne dont les donnĂ©es sont traitĂ©es et Ă  Ă©valuer la manière dont ces risques peuvent ĂŞtre maĂ®trisĂ©s. Seules les opĂ©rations de traitement Ă  grande Ă©chelle nĂ©cessitent la dĂ©signation d’un DPO. (voir explication ci-dessus relative au §91 du RGPD pour le traitement Ă  grande Ă©chelle)

Quelles sont vos responsabilités en tant que responsable de traitement ?
• Conformité avec les règles du RGPD
En tant que responsable du traitement, vous devez agir en conformité avec les règles du RGPD et être en mesure de le démontrer (par une obligation de documentation, notamment, par la création du registre des activités de traitement).
• Traitement et stockage de données par un sous-traitant
Si le stockage ou le traitement de vos données est sous-traité (p. ex. agenda en ligne, données dans le Cloud, service externe de tarification), il est notamment de votre responsabilité de vérifier que votre prestataire répond aux exigences du RGPD en termes de sécurité et de confidentialité des données et fournit des garanties suffisantes contre leur perte, leur destruction, leur altération, ou encore leur accès et leur diffusion sans autorisation. Nous attirons votre attention sur l’article 28 du RGPD qui est plus complet quant à votre responsabilité.
• Utilisation des services e-Santé
Les différents services e-Santé mis à votre disposition sur le portail e-Santé ont également tenus de respecter les obligations prévues par le RGPD.
• Utilisation des logiciels dans le cadre de votre pratique
Si vous utilisez un logiciel dans le cadre de votre pratique (p. ex. gestion de dossier patient, facturation), il est notamment de votre responsabilité de vérifier que votre prestataire répond également aux exigences du RGPD, via votre contrat.
• Sécurisation de l’échange de données électronique
Vous devez veiller à utiliser un canal sécurisé, avec un niveau adapté au risque pour transmettre les données médicales de manière électronique (p. ex. eBox citoyen, eHealthBox, 7-Zip File manager).

Quelles sont les sanctions en cas de non-respect du RGPD ?
En cas de non-respect du RGPD, l’Autorité de protection de données peut exiger du responsable de traitement ou de son sous-traitant de prendre des mesures correctrices (p. ex. mise en conformité dans un délai déterminé, limitation de traitement, rectification ou effacement de données). Le non-respect du RGPD peut également s’accompagner de sanctions financières dissuasives déterminées par les Autorités de contrôle locales
En savoir plus :  Lisez ceci?

Imprimer đź–¨ Pdf đź“„