La protection des données à caractère personnel à la lumière du RGDP Hébergement des données de santé INTERMEDITECH. 16 mai 2017

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

France Luxembourg Suisse 1

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Comité réglementation et simplification du conseil national de l industrie 16 mai 2014

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

CODE DE CONDUITE FOURNISSEUR SODEXO

LA COMMISSION DE L'UNION ECONOMIQUE ET MONETAIRE OUEST AFRICAINE (UEMOA)

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Article 6 PIECES CONSTITUTIVES DU MARCHE Les pièces constitutives du marché comprennent, par ordre de priorité décroissant :

LES PENSIONS ALIMENTAIRES A L'ETRANGER

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Les clauses «sécurité» d'un contrat SaaS

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

Conseil d'état - 5ème et 4ème sous-sections réunies. Lecture du mercredi 30 mars Société Betclic Enterprises Limited

C. N. E. E. TRANSCRIPTION DES DIRECTIVES 92/49/CEE 92/96/CEE et 92/50/CEE. Titre II Article 6

La Révolution Numérique Au Service De l'hôpital de demain JUIN 2013 Strasbourg, FRANCE

ACTUALITES FISCALES. Loi de finances 2014 : les censures du Conseil Constitutionnel

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

CONDITIONS GENERALES D ACHAT

TABLE DES MATIERES SECTION 1 CONTROLE INTERNE ET AUDIT INTERNE, POLITIQUE DE PREVENTION ET COMPLIANCE

Conditions Spéciales Assurance R.C. Associations Sportives ou d'agrément. Edition B B. INDIVIDUELLE ACCIDENT CLAUSES PARTICULIERES.

POLITIQUE DE DANAHER CORPORATION EN MATIERE DE LUTTE CONTRE LA CORRUPTION

Termes et Conditions d Enregistrement des Noms de Domaine.eu

Vu la loi du 15 janvier 1990 relative à l institution et à l organisation d une Banque-carrefour de la sécurité sociale, notamment l article 15;

AVIS DE MARCHE. Marché de services de nettoyage de bâtiments et services de gestion de propriétés

Numéro du rôle : Arrêt n 136/2008 du 21 octobre 2008 A R R E T

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

PROJET DE LOI Article 1 er. I. - L article L du code du travail est ainsi modifié :

Contrat Type DroitBelge.Net. Contrat de travail AVERTISSEMENT

Numéro du rôle : Arrêt n 181/2005 du 7 décembre 2005 A R R E T

Connaître les Menaces d Insécurité du Système d Information

ATELIER SUR L ASSIETTE COMMUNE CONSOLIDÉE POUR L IMPÔT SUR LES SOCIÉTÉS (ACCIS) Critères d éligibilité pour les sociétés et définition du groupe ACCIS

Conditions Générales de Vente

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

28/06/2013, : MPKIG034,

3URSRVLWLRQ UHODWLYH j OD ILVFDOLWp GH O psdujqh TXHVWLRQVVRXYHQWSRVpHV (voir aussi IP/01/1026)

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

Le Conseil des Ministres

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Règlement de Fonctionnement

Loi n du 14 juin 2013 relative à la sécurisation de l emploi

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

L 114/8 Journal officiel de l Union européenne

2. LE REGIME DE SECURITE SOCIALE

MISE EN CONFORMITE DES CONTRATS DE PREVOYANCE, SANTE ET RETRAITE SUPPLEMENTAIRE

Permis d exploitation et de la concession minière

RECUEIL DE LEGISLATION. S o m m a i r e. ARCHIVAGE électronique

Charte de nommage du «.tn»

Envoi et réception des documents sociaux par voie électronique

Belgique-Bruxelles: Logiciels de gestion de la relation clientèle 2013/S Avis de marché. Fournitures

Les aspects paiements de la loi sur l ouverture à la concurrence du marché des jeux d argent et de hasard en ligne

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

REPERTOIRE D ENTREPRISES NATIONAL A DES FINS STATISTIQUES

TABLEAU COMPARATIF

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

Banque Carrefour de la Sécurité Sociale

L'AMIANTE : RÉGLEMENTATION

Lignes directrices relatives à la notion de personnes politiquement exposées (PPE)

Juin. Modernisation du Marché du Travail

LE CONSEIL DES COMMUNAUTÉS EUROPÉENNES,

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

PROJET DE LOI DE SEPARATION ET DE REGULATION DES ACTIVITES BANCAIRES DEUXIEME LECTURE APRES L ADOPTION DU TEXTE DE LA COMMISSION

COMPTES ETRANGERS EN DINARS ET COMPTES ETRANGERS EN DEVISES CONVERTIBLES. sont subordonnés à l'autorisation de la Banque Centrale de Tunisie (1).

RAPPORT DE TRANSPARENCE ORCOM SCC

CONDITIONS GÉNÉRALES DE VENTE

Commissaire aux comptes

GUICHET D ENTREPRISES INSCRIPTION PERSONNE PHYSIQUE

responsabilite civile

TABLEAU COMPARATIF. Texte de la proposition de loi. Proposition de loi relative aux contrats d'assurance sur la vie.

Responsabilité Civile Conditions Générales

Notes explicatives Règles de facturation en matière de TVA

COTISATION FONCIÈRE DES ENTREPRISES COTISATION SUR LA VALEUR AJOUTÉE DES ENTREPRISES

Administration canadienne de la sûreté du transport aérien

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

La société civile de droit commun et la planification successorale

Politique sur l accès aux documents et sur la protection des renseignements personnels

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. Accompagnant le document

(Actes non législatifs) RÈGLEMENTS

PME Finance 29 avril 2014

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Le régime juridique qui est contractuellement attaché aux

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

Privacy is good for business.

PROPOSITION DE LOI N 2 ( ) RELATIVE AUX CONTRATS D ASSURANCE SUR LA VIE. Examen en commission : Mercredi 31 mars 2010 A M E N D E M E N T

LES THÉMATIQUES - UE 35 RENNES -10 mars 2015 LES THÉMATIQUES UE 35 RENNES - 10 MARS LA PROTECTION SOCIALE

FICHE PRATIQUE La généralisation de la couverture complémentaire des frais de santé

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Convention Beobank Online et Beobank Mobile

Cabinet d Avocat Patrick DUPIRE

Transcription:

La protection des données à caractère personnel à la lumière du RGDP Hébergement des données de santé INTERMEDITECH 16 mai 2017 Jean-Marie Job avocat associé 1

La donnée personnelle est au cœur des dispositifs médicaux Au stade du développement si le dispositif médical doit faire l objet d essais cliniques Les logiciels embarqués dans les dispositifs médicaux Les dispositifs médicaux connectés et les projets big data associés Les App santé lorsqu elles sont des dispositifs médicaux 2

Un cadre juridique en pleine évolution En Europe Le Règlement général sur la protection des données 27 avril 2016 En France Applicable le 25 mai 2018 Loi santé du 26 janvier 2016 : modifications de la loi Informatique et libertés (données liées à la recherche Système National des Données de Santé) Ordonnance Recherche 16 juin 2016 Décret du 26 décembre 2016 (application de la Loi informatique et libertés et SNDS) Ordonnance 12 janvier 2017 hébergement des données de santé 3

Les fondamentaux définitions du RGDP Donnée à caractère personnel Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale Traitement de données Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; Responsable de traitement La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement Sous-traitant La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement 4

Champ d application du RGDP Matériel «Traitement de données à caractère personnel, automatisé en tout ou en partie ET traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier» (article 2) Territorial : élargissement (article 3) Traitement de données à caractère personnel (DCP) dans le cadre des activités d un établissement, d'un responsable du traitement (RT) ou d'un sous-traitant (ST) établi sur le territoire de l UE (même si le traitement se fait hors UE) Traitement des DCP sur des personnes se trouvant sur le territoire de l'ue par un RT ou un ST qui n'est pas établi dans l'union, lorsque les activités de traitement sont liées : à l'offre de biens ou de services (avec ou sans paiement exigé) au suivi du comportement, ayant lieu au sein de l UE, des personnes concernées Traitement de DCP par un RT établi hors UE mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public 5

Principes et conditions de licéité des traitements Rappel ou nouveaux principes relatifs au traitement de DCP (art. 5) Licéité, loyauté et transparence Limitation des finalités Minimisation de données Exactitude Limitation de la conservation Intégrité et confidentialité Responsabilité Licéité du traitement de DCP (art. 6) Le traitement doit reposer sur l un des fondements limitativement énumérés par le RGDP Consentement Exécution d'un contrat Respect d'une obligation légale imposée au responsable du traitement Sauvegarde des intérêts vitaux Exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement Intérêts légitimes poursuivis par le RT ou par un tiers (exceptions) 6

Le renforcement des droits des personnes 1. Encadrement renforcé du consentement (+ focus enfants) (art. 7) 2. Transparence (nouveau principe) (art. 12) 3. Information et droit d accès 4. Rectification et effacement Rectification (art. 16) Droit à l oubli (art. 17) Droit à la limitation du traitement (art. 18) Notification des rectifications/effacement (art. 19) Portabilité des données (art. 20) 5. Droit d opposition et décision individuelle automatique/ profilage 6. Droit à un recours juridictionnel effectif et droit à réparation (art. 77 et suiv.) 7

Les acteurs du traitement Possibilité de responsables conjoints (art. 26) Responsable de traitement (art. 24) Un ou plusieurs RT déterminent conjointement les finalités et moyens du traitement Accord définissant les rôles respectifs Mise en œuvre des mesures techniques/organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGDP : - Privacy by design: Protection des données dès la conception et protection des données par défaut (pseudonymisation, minimisation des données) - Garantir la protection des droits des personnes reconnus par le RGDP (transparence, droit à l oubli, limitation, portabilité ) (art. 25) - Tenue d un registre (art. 30) - Garantir la sécurité technique du traitement en fonction des risques de chaque traitement (art. 32) - Notification des violations DCP (art. 33) - Réalisation d analyses d impact sur la protection des données (art. 35) - Désignation d un DPO (art. 37) - Code de conduites et certification facultatif (art. 40 et 42) - RT doit vérifier et garantir que le ST respecte le RGDP Mêmes obligations que les RT 8

Les acteurs du traitement Sous-Traitant (art. 28) - Présente des garanties suffisantes (mesures techniques et organisationnelles) - Pour recrutement d un autre ST: Autorisation écrite et préalable du RT - Contrat sous-traitant: obligations minimales (action sur instruction RT, confidentialité, aide RT à respecter dispositions liées à la notification/communication des violations et analyses d impact) - Code de conduite ou mécanisme de certification possible - Tenu d un registre (art. 30) - DPO - Clauses contractuelles types - ST tombe sous la qualification de RT s il détermine les finalités et moyens du traitement (en violation du RGDP) 9

Accountability Une responsabilisation contre moins de formalités dès lors que la conformité peut être démontrée Registre Quels outils pour cette démonstration? Notifications de violations Codes de conduite et certifications DPO Suppression des obligations déclaratives (formalités possibles pour données sensibles) Analyses d impact 10

Les données de santé Données sensibles/ données de santé (Article 9 : données de santé et données génétiques) données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne (article 4.15)) données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question (article 4.13)) Principe: interdiction de collecter les données sensibles Exceptions: Consentement Motif d intérêt public dans le domaine de la santé publique Médecine préventive, curative, gestion des systèmes de santé/protection sociales : «le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'union ou du droit de l'état membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel» (Art. 9.2.i) ( ) 11

Les données de santé Dérogations aux traitements nécessaires à des fins de recherche scientifique (art. 89) Respecter l exercice du droit à la protection Prévoir des mesures appropriées pour assurer le respect du principe de minimisation Privilégier la pseudonymisation Possibilité de déroger aux droits d accès, rectification, limitation et opposition 12

Les données de santé La subsidiarité : données de santé «Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé» (art. 9.4) Le maintien en vigueur de certaines dispositions de la Loi Informatique et Libertés est-il possible/ probable? L article 8-III de la Loi Informatiques et Libertés Le chapitre IX de la Loi Informatiques et Libertés 13

Les nouveautés en matière d hébergement des données de santé Ordonnance du 12 janvier 2017 Prestations d hébergement, rôles / responsabilités de l hébergeur, stipulations du contrat d hébergement, conditions délivrance des certificats : fixés par décret en CE Agrément hébergement DP sur support numérique=> certificat de conformité (ISO) délivré par organisme accrédité (agrément pour la conservation DPS support papier ou l archivage sur support numérique) Entrée en vigueur fixée par décret et au 1 er janvier 2019 maximum (dispositions transitoires délai minimum de mise en conformité pour agréments prenant fin dans les 12 mois après application nouveau régime) 14

Entrée en vigueur du RGDP 25/05/2018 Méthodologie de travail Inventaire et analyse des traitements concernés Identification des traitements Statut au regard des obligations LIL Ecarts RGDP Audits informatique / sécurité Désignation ou non d un DPO obligatoire ou non Avantages/inconvénients Préparation registres Réalisation ou non d analyses d impact Intégration du privacy by design Adaptation contrats/formulaires d informations Adaptation procédures internes Sensibilisation : DG CoDir Création : Equipe projet 15

Merci de votre attention Jean-Marie Job : jmjob@dgfla.com De Gaulle Fleurance & Associés 9 rue Boissy d Anglas 75008 Paris France Tél.: +33 (0)1 56 64 00 00 Fax.: +33 (0)1 56 64 00 01 222 avenue Louise 1050 Bruxelles Belgique Tél.: +32 (0)2 644 01 64 Fax.: +32 (0)2 644 31 16 www.degaullefleurance.com

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back