Définition et grands principes

 

  • Qui est concerné par la protection des données personnelles ?

Tout organisme, public ou privé, quelles que soient sa taille et son activité, peut être concerné dès lors qu’il traite des données personnelles.

  • Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. 

Exemple : nom, prénom, date de naissance, numéro de téléphone, numéro de sécurité sociale, numéro RPPS. En revanche, un numéro de téléphone standard et un email de contact générique ne sont pas des données personnelles.

  • Qu’est-ce qu’une donnée personnelle de santé ?

C’est une donnée se rapportant à l'état de santé d'une personne concernée qui révèle des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple). 

Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin, le dispositif ou logiciel utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et des données génomiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique).

  • Qu’est-ce qu’un traitement de données personnelles ?

Un traitement désigne toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé ou support utilisé, et notamment la collecte, l’enregistrement, l’utilisation de toute donnée personnelle. 

Exemple : le dossier pharmaceutique, la gestion des salariés, les fichiers ou logiciels patients, une base de contacts de professionnels de santé, une installation de vidéosurveillance. 

Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

  • Qui est responsable de traitement ? 

Le responsable de traitement désigne la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement.

Exemple : le pharmacien titulaire d’officine est responsable des traitements qu’il met en œuvre et gère. Le dirigeant d’un laboratoire ou d’un établissement de santé est responsable des applications nécessaires à la gestion de son activité. 

  • Qui est sous-traitant ?

Le sous-traitant désigne toute personne traitant des données à caractère personnel pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur ses instructions. Exemple : le prestataire de paie agissant pour le compte d’une officine ou la société qui héberge les données des patients pour le compte d’une officine ou d’un laboratoire.

  • Qui est destinataire ?

Est destinataire de données personnelles toute personne, physique ou morale, privée ou publique, qui reçoit communication des données personnelles, qu’il s’agisse ou non d’un tiers. Les destinataires peuvent donc être des personnes internes à l’organisation, comme par exemple le personnel de l’officine ou du laboratoire, ou extérieures à l’organisation, tels que les organismes d’assurance maladie complémentaires.

Quand vous traitez des données personnelles, vous devez respecter les principes de protection des données.

  • Quels sont les grands principes ?

 

RGPD

  • Une finalité déterminée et légitime : les données personnelles recueillies et conservées doivent être traitées pour la réalisation d’un objectif précis qui correspond en général aux missions de l’organisme.

Exemple : un pharmacien qui met en place un traitement portant sur la gestion de son officine poursuit un intérêt légitime.

  • Des données adéquates, pertinentes, non excessives et mises à jour à ce qui est strictement nécessaire à l’objectif poursuivi.

Exemple : pour la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins, la collecte d’informations sur la vie familiale d’un patient n’est pas nécessairement appropriée.

  • Une durée de conservation limitée : les données des patients doivent être conservées pour une durée déterminée.

Exemple : conformément à la délibération n°2006-161 du 08/06/2006 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les pharmaciens à des fins de gestion de la pharmacie (norme simplifiée n°52), les pharmaciens conservent le dossier du patient pendant 3 ans à compter de leur dernière intervention sur ledit dossier.

  • Une obligation de sécurité : des mesures techniques et organisationnelles appropriées doivent être mises en place pour préserver la confidentialité et l’intégrité des données à caractère personnel.

Exemple : accès aux locaux sécurisés, utilisation de mot de passe personnel d’une complexité suffisante, utilisation de la carte de professionnel de santé, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc.

  • Le respect des droits de la personne : les pharmaciens, en tant que responsables de traitement, doivent communiquer aux personnes concernées par le traitement de leurs données, plusieurs informations au moment de la collecte de leurs données, notamment l’identité du responsable de traitement, les finalités du traitement, la durée de conservation, les modalités d’exercice de leurs droits (droit d’accès, de rectification, d’opposition, de portabilité, d’effacement de leurs données ou une limitation du traitement), etc.

  • Quelle est l’autorité en charge de ces questions ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur français des données personnelles. La CNIL accompagne les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et les aide à exercer leurs droits. Elle dispose également de pouvoirs de contrôles sur place ou en ligne.

  • Quelles sont les principales missions de la CNIL ? 

RGPD visuel

  • Informer / protéger : la CNIL informe les particuliers et les professionnels et répond à leurs demandes. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits.

Exemple : la CNIL met à la disposition des professionnels de santé des outils pratiques et pédagogiques sur son site

  • Accompagner / conseiller : la CNIL accompagne tous les organismes dans leur mise en conformité avec le RGPD et leur propose plusieurs outils à ce titre.

Exemple : la norme simplifiée n°52 (citée plus haut), constituera toujours des « bonnes pratiques » et sera prochainement transformée par la CNIL en « référentiels » pour guider les pharmaciens dans leurs démarches de conformité. Il en est de même pour la norme simplifiée n°53 du 8 juin 2006 relative aux traitements mis en œuvre par les biologistes à des fins de gestion du laboratoire d’analyses de biologie médicale.

  • Contrôler et sanctionner : le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la règlementation applicable en matière de protection des données personnelles.

A l'issue des contrôles, le Président de la CNIL peut décider de mettre en demeure le responsable de traitement de se mettre en conformité au terme d’un délai déterminé. La formation restreinte de la CNIL peut prononcer diverses sanctions à l'issue d'une procédure contradictoire notamment des sanctions pécuniaires dont le montant varie en fonction de la nature du manquement (pour plus de précisions, se référer à la page "les apports du RGPD ").

  • Anticiper : la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée, et contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les organismes le plus en amont possible.
Date de mise à jour : 25/06/2018