Actualités

Les services OIIS induisent le stockage et l'échange de données de santé, le traitement de ces données sera donc soumis au RGPD. Concrètement, ça veut dire quoi ?

1) Quels sont les objectifs du RGPD ?

Le principal enjeu, c'est le renforcement de la sécurité des données personnelles. Pour parvenir à ses fins, le RGPD mise sur l'implication des professionnels qui traitent des données et le renforcement des droits du citoyens.

2) Qu'est-ce qu'une donnée personnelle ?

Selon la Commission Nationale de l'Informatique et des Libertés : "Toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...)."

Les données de santé traitées dans le cadre des services OIIS sont des données à caractère personnel considérées comme sensibles. Elles ne peuvent être recueillies et traitées qu'avec le consentement explicite des personnes.

Illustration: Michael Brandon Myers

3) Qui est protégé par le RGPD ?

Tous les Européens dont les données personnelles font l'objet d'un traitement. Par traitement, on entend toutes les formes d'opérations possibles sur ces données : collecte, enregistrement, consultation, transmission, etc.

Dans le cas d'OIIS, il s'agit des patients dont les données de santé sont enregistrées, mais aussi des professionnels de santé utilisateurs des services, dont certaines données à caractère personnel liées à leur compte utilisateur sont stockées (par exemple, les numéros de téléphone ou les adresses mails).

À noter: le RGPD concerne tous les citoyens européens, quel que soit le lieux de stockage de leurs données. Mais si vous êtes européen et qu'une entreprise héberge des données vous concernant ailleurs dans le monde, le RGPD s'applique tout de même. Les données OIIS sont stockées à La Réunion, sur le datacenter de santé régional.

Illustration: Michael Brandon Myers

4) Quels sont les grands principes du RGPD ?

On en compte quatre :

• Le principe de finalité : les données ne peuvent être collectées que dans un but précis et déterminé, dont la personne doit être informée.
   
• Le principe de légalité : le traitement des données doit être licite, loyal et transparent.
   
• Le principe de légitimité : l'entité qui collecte les données doit être légitime à les traiter sur les plans juridique, économique et technique. Exemple : un garagiste n'est pas légitime à traiter des données de santé, mais il pourrait conserver l'historique de vos pannes dans un fichier client.Dans le cadre d'OIIS, il est légitime de traiter des données de santé, mais nous ne pourrions collecter d'autres données sensibles comme les opinions politiques ou philosophiques.
   
• Le principe de proportionnalité : seules les données nécessaires et rigoureusement exactes peuvent être utilisées. Leur conservation doit être limitée dans le temps. Par exemple : 20 ans en ce qui concerne les dossiers médicaux.

5) Qui est responsable du respect du RGPD ?

C'est à l'entreprise responsable des données — à savoir pour OIIS, le GCS TESIS — de s'assurer en permanence et dès la conception de ses services du respect des règles imposées par le RGPD.

Illustration: Michael Brandon Myers

6) Quelles sont ses obligations ?

• Mener des analyses d'impacts pour évaluer la nécessité d'utiliser les données et les risques pour les droits et libertés des personnes concernées
• Considérer, en l'absence d'autorisation explicite de la personne concernée, que les données sont réputées confidentiels par défaut
• Prévoir les mesures à mettre en œuvre pour faire face aux risques auxquels les données peuvent être exposées,
• Informer les personnes concernées du traitement de leurs données et de s'assurer qu'elles sont en mesure de comprendre ce qui est fait de leurs données. Le recueil du consentement de chaque patient est donc essentiel avant le stockage et le traitement de ses données,
• Assurer un droit à l'oubli et à l'effacement des données à la demande des personnes concernées,
• Être en mesure d'assurer la portabilité des données. La portabilité, c'est la possibilité de transférer de manière sécurisé l'ensemble de ses données (par exemple, un patient pourra demander le transfert de ses données stockées dans OIIS vers le DMP)
• Prévenir la CNIL et les personnes concernées en cas de fuite de données (par exemple, la parution sur internet de données de santé),
• Tenir un registre de toutes les activités menées autour des données personnelles stockées. C'est ce registre que consultera en premier lieu la CNIL lors des contrôles pouvant être menés.
• Changement majeur par rapport à la loi informatique et liberté : le mode de régulation. Exit les formalités préalables auprès de la CNIL, bonjour la conformité continue ! Cette responsabilisation des professionnels ira de pair avec un renforcement des sanctions en cas de non respect des règles.
• Enfin, l'application du RGPD par le GCS TESIS oblige la structure à désigner un délégué à la protection des données. Son rôle : s'assurer que les différentes obligations du RGPD soient bien appliquées.

Mathias Laurent, référent sécurité du GCS TESIS