La mise en place d'une gouvernance de traitement des données
Afin de répondre au principe de responsabilité ou d’accountability, vous devez mettre en place une gouvernance de traitement des données au sein de votre cabinet.
Il s’agira de définir les mesures, règles et bonnes pratiques que vous souhaitez voir adoptées et respectées pour assurer la sécurité des données.
Cette gouvernance aura pour objectifs opérationnels la mise en place :
- d’une organisation interne dédiée (permettant notamment de mettre en place et d’assurer le suivi des mesures de sécurité des données, de répondre aux demandes des personnes concernées relatives à l’exercice de leurs droits…) ;
- d’un système d’évaluation des risques encourus du fait du traitement de données personnelles.
La désignation d'un délégué à la protection des données
Le délégué à la protection des données (ou DPO d’après l’acronyme anglais) est la pierre angulaire du respect du règlement européen. Il a pour missions d’assurer la mise en conformité de l’entreprise au RGPD et son suivi à long terme. Il doit donc contrôler le respect du règlement européen par la structure, alerter le responsable de traitement en cas de non-respect, le conseiller et lui proposer des mesures correctrices le cas échéant, et assurer le relai avec la CNIL.
En tant que professionnel de santé, vous pouvez être tenu de désigner un DPO notamment lorsque vous traitez des données de santé à grande échelle. Dans un guide pratique de la CNIL et du CNOM recommandent la désignation d’un DPO à titre d’exemple par les professionnels de santé exerçant au sein d’un réseau de professionnels, de maisons de santé…
Pour davantage de détails sur les modalités de désignation du DPO, les compétences requises et ses missions, nous vous invitons à consulter la fiche pratique de la CNIL.
La mise en place d'outils de travail
Le registre des activités de traitement
Un registre des activités de traitement doit être mis en place pour les entreprises de plus de 250 salariés et les structures dans lesquelles le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées.
C’est notamment le cas pour les données sensibles telles que les données de santé que vous collectez et traitez au cours de votre activité professionnelle.
Au-delà de son aspect réglementaire, ce registre est un véritable outil de pilotage de vos traitements de données qu’il recense de manière exhaustive.
Il doit être écrit mais la forme reste libre.
Quant au contenu, ce registre doit détailler notamment :
- l’identité du responsable de traitement,
- les finalités du traitement,
- les délais prévus pour l'effacement des différentes catégories de données,
- une description générale des mesures de sécurité techniques et organisationnelles mises en place,
- une description spécifique des catégories :
- de personnes concernées,
- de données à caractère personnel visées,
- de destinataires auxquels les données ont été ou seront communiquées.
Pour un modèle de registre des traitements, nous vous invitons à consulter ce lien.
La mise en conformité du cabinet avec le RGPD
Vous devez également être en mesure, en cas de contrôle de la CNIL, d’apporter la preuve de la mise en conformité de votre cabinet avec le RGPD.
Pour ce faire, il vous faut constituer et regrouper ces éléments dans un système de documentation écrite qui devra être mis à jour si besoin (exemple : un dossier informatique protégé dans lequel vous stockez vos documents).
Cette documentation doit notamment comporter :
- votre registre des traitements,
- le document d’information remis à vos patients et votre personnel,
- les procédures mises en place telles que la procédure pour l’exercice de leurs droits par les personnes concernées,
- les contrats passés avec vos prestataires sous-traitants,
- les réponses apportées aux personnes ayant exercé un de leurs droits,
- les éventuelles mesures correctrices réalisées en cas de violation de données personnelles...).
Le respect des droits des personnes concernées
- Vous devez assurer le respect des droits des personnes concernées et mettre en place les mesures leur permettant d’être informées des données collectées et de leur traitement au titre du droit à l’information.
- Vous devez également leur communiquer, par écrit et d’une façon concise, transparente, compréhensible, accessible, en des termes clairs et simples : les éléments au titre des droits d’accès, de rectification et d’effacement, de limitation du traitement, de portabilité des données et d’opposition.
La notification en cas de violation de données personnelles
Il est question de violation des données personnelles en cas de "violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données".
Une notification doit être faite :
- à la CNIL dans les meilleurs délais et si possible dans les 72H après avoir pris connaissance de l’évènement ;
- à la personne concernée dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés. Si, au contraire, des mesures de protection préalables rendent les données incompréhensibles (données chiffrées) ou si des mesures a posteriori garantissent la protection des droits et libertés de la personne concernée, la notification n’est pas obligatoire.
Enfin, si cette notification individuelle est rendue difficile en ce qu’elle exigerait des "efforts disproportionnés", une communication publique est envisageable.