Accueil Données hospitalières Protection des données : nouvelle réglementation

Protection des données : nouvelle réglementation

0

Depuis 1995, la référence en matière de protection des données à caractère personnel dans l’Union Européenne (UE) était la directive 95/46/CE. Dès les années 2000, les nouvelles technologies apportent de nombreuses données et de nouveaux problèmes liés à la protection des données personnelles. De là, une nouvelle réglementation européenne, la RGPD : Réglementation Générale sur la Protection des Données, en découle.

À quand cette nouvelle réglementation et pour qui ?

Après 4 ans de débat, le Parlement Européen a approuvé, le 14 avril 2016, la RGPD. Cependant, elle ne rentrera en application qu’à partir du 25 mai 2018, vingt jours après sa publication au Journal officiel de l’UE.

Cette réglementation permet d’unifier le cadre juridique pour toute l’UE. N’étant pas une directive, elle est donc directement applicable et de façon identique pour tous. Son principal objectif étant de protéger tous les citoyens de l’UE contre la violation de la vie privée et les violations de données.

Elle sera applicable à toute entreprise traitant des données personnelles de personnes résidant dans l’Union Européenne, indépendamment de l’emplacement de l’entreprise.

Quels objectifs ?

Dans l’ère numérique, il faut savoir s’adapter aux nouvelles réalités numériques et aux nouveaux types de flux. Mais comment protéger les citoyens face aux traitements des données personnelles circulant ? Cette nouvelle réglementation tourne autour de 3 objectifs principaux :

  • Renforcer les droits des personnes
  • Responsabiliser les acteurs traitant des données à caractère personnel
  • Crédibiliser la régulation

Plusieurs droits gravitent autour de ces objectifs. Parmi eux, le droit à l’oublie qui permet à tout citoyen d’effacer ses données, mais aussi de cesser toutes diffusions. De plus, il sera possible de demander à consulter ou recevoir les données nous concernant, cela correspond à la portabilité des données qui sera facilité. Ce qui en découle, c’est la transparence des données et donc le droit d’obtenir confirmation du traitement ou non de ses données personnelles.

Quelles obligations ?

Dorénavant, il faut prévoir dès le début de la conception des systèmes l’inclusion de la protection des données. D’après l’article 23, « les contrôleurs ne conservent et traitent que les données absolument nécessaires à l’accomplissement de leurs tâches (minimisation des données), ainsi que la limitation de l’accès aux données personnelles à ceux qui ont besoin d’effectuer le traitement ». Pour contrôler et aider les entreprises dans cette réforme, il faudra avoir un délégué à la protection des données (DPO). Il sera là principalement pour informer et conseiller tout employé traitant les données. Il représente le point de contact de l’autorité de contrôle et des employés concernés.

Une chose qui reste très importante est le consentement. Les conditions de consentement vont être renforcées. Il devra être sous forme intelligible, facilement accessible avec un langage clair et simple. De plus, il doit être aussi facile de retirer que de donner son consentement ce qui revient au droit à l’oubli précisé plus haut. Si une personne remarque une violation, il doit impérativement le notifier sous 72h et informer les clients ainsi que les contrôleurs. S’il n’y a pas de consentement, condamnation pour l’entreprise, mais aussi pour les employés qui traitent ces données.

Toute entreprise devra donc prouver qu’il est bien en conformité à cette réglementation. Si ce n’est pas le cas, elle risque une amende représentant 4 % du Chiffre d’Affaire de l’entreprise ou 20 millions d’euros, selon le plus élevé.

Nous pouvons donc dire que cela modifie les mécanismes de conservation et de gestion des données dans tous les domaines.

Qu’en est-il pour le domaine de la Santé ?

Le domaine de la santé diffère des autres domaines. En outre par sa réglementation très stricte en matière de protection des données. En effet, la recherche clinique traitant principalement des données à caractère personnel est entourée de plusieurs règles permettant déjà de protéger les données. Avant, elle était sous la directive de la CNIL. Désormais, la RGPD va remplacer la CNIL afin que chaque entreprise devienne plus responsable et garant du respect de la vie privée. En effet, comme dit précédemment, c’est à l’entreprise de prouver sa conformité.

Il sera donc plus simple, a priori, pour la France de se conformer à cette nouvelle réglementation. Néanmoins, le chemin reste long. En effet, il sera difficile de trouver notamment une personne capable d’avoir toutes les connaissances nécessaires sur le point juridique, médical, mais aussi informatique (DPO).

 

Pour en savoir plus :

www.cnil.fr

https://www.eugdpr.org

https://www.avocat-rgpd.com

http://www.journaldunet.com/ebusiness/expert/67921/rgpd—quels-changements.shtml

Laisser un commentaire