Le RGPD, consécration des bonnes pratiques existantes dans le domaine de la santé

Le 25 mai 2018, un règlement européen relatif à la protection des données des personnes physiques, le RGPD, entrera en vigueur. Clara Leclaire, Privacy Officer, Corporate Legal Affairs – Global Privacy au sein du Groupe Sanofi décrypte ce nouveau règlement.

Si les plus grands groupes ont, pour la plupart, depuis longtemps préparé leur conformité au RGPD, les entreprises de petite taille voient dans ce nouveau règlement un obstacle difficile à mettre en place. Selon un sondage Mailjet, sur plus de 4 000 startups sondées, principalement établies en France, la majorité n’est pas encore en conformité…

Qu’est-ce que ce règlement général sur la protection des données (RGPD) et pourquoi a-t-il été mis au point ?

Clara Leclaire. – Jusqu’à maintenant, les données personnelles sont protégées en France par la « loi Informatique et Libertés » de 1978, modifiée en 2004 pour intégrer les dispositions de la directive européenne de 1995. Ce cadre juridique évolue aujourd’hui avec l’entrée en vigueur le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). L’Europe a souhaité modifier son cadre législatif pour s’adapter aux nouvelles réalités du numérique, afin d’étendre le droit des citoyens dans la protection de leur vie privée.

Les formalités auprès de la CNIL (déclarations, autorisations) sont remplacées par une responsabilisation accrue des organismes (et de leurs sous-traitants) qui doivent assurer une protection optimale des données à chaque instant, et être en mesure de la démontrer en documentant leur conformité. Le RGPD concerne tous les organismes, tant publics que privés, et tous les secteurs d’activité.

Comment le RGPD va-t-il impacter les entreprises qui traitent des données de santé en France ?

C.L. – Ce règlement est surtout une consécration des bonnes pratiques existantes dans le domaine de la santé : les données de santé ont toujours été considérées comme « sensibles » en France. De façon identique au régime actuel, le RGPD fixe un principe d’interdiction de collecte de ces données en raison de leur sensibilité. Toutefois, ce principe est assorti de plusieurs exceptions, comme dans la loi Informatique et Libertés. A titre d’exemple, il est possible de traiter des données de santé à caractère personnel à des fins de diagnostics médicaux, de recherche ou encore, lorsque la personne concernée a donné son consentement exprès. Dans ce dernier cas, une notice d’explication transparente sera portée à la connaissance de la personne concernée pour qu’elle soit informée et reste maître de ses données. En outre, l’entreprise qui recueille les données devra conserver la trace des consentements.

L’entreprise devra aussi désigner un délégué à la protection des données (DPD). Il s’agit d’une personne disposant de relais internes et chargée de s’assurer de la mise en conformité au règlement européen. Les petites structures ont la possibilité d’externaliser ce point en ayant recours à un cabinet d’avocat par exemple.

Gérer les risques fait également partie de la nouvelle feuille de route. Lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données doit être menée.

Quelles sont les autres conditions à respecter pour être conforme au RGPD ?

C.L. – Il convient également de cartographier les traitements de données personnelles, de faire une analyse des écarts et de prioriser les actions à mener au regard des risques pesant sur les droits et les libertés des personnes concernées. Enfin, il faut organiser les processus internes qui garantissent la prise en compte de la protection des données dès la conception des projets et tout au long de leur vie. Le RGPD n’est pas qu’un sujet juridique, c’est un vrai projet d’entreprise, qui implique du data management. Il faudra former les collaborateurs de l’entreprise. Enfin, documenter la conformité au règlement et la tenir à jour sera un impératif.

S’il y avait un conseil à donner à une start-up de la santé qui se met en conformité avec le RGPD, quel serait-il ?

C.L. – Les équipes doivent montrer qu’elles ont un plan et qu’elles le mettent en route. Documenter la conformité, par exemple, peut être réalisé, dans un premier temps, sur un tableur. Il convient d’adopter simplement de bons réflexes. Pour encourager les start-up à mener à bien l’ensemble du processus de mise en conformité, il y a un argument de taille : à l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses clients, peut être un argument commercial. Enfin, le fait de traiter des données justes et mises à jour sera également profitable. Les statistiques et autres résultats n’en seront que plus fiables !

Retrouvez-nous sur sanofi.fr