Summary
Assurer la protection des données est un enjeu majeur pour les établissements de santé. Isabelle Vigier et Franck Terroni décryptent les obligations réglementaires et partagent des conseils pratiques pour une conformité optimisée.
En 1978, la loi Informatique et libertés (LIL) a conduit à la création de la Commission nationale de l’informatique et des libertés (CNIL). En 2016, le règlement général sur la protection des données (« RGPD » ou « GDPR » en anglais) a été adopté, après un processus d’harmonisation lancé par l’Europe, pour fluidifier la circulation des données à l’ère numérique. Cette réglementation est applicable à toutes les organisations dès lors qu’elles sont sur le sol européen ou traitent des données de personnes sur le sol européen. C’est pourquoi, depuis 2018, VIGIER Avocats accompagne les acteurs de santé, notamment les établissements de santé adhérents de CAHPP, pour assurer leur conformité au RGPD, à la loi informatique et libertés, ainsi qu’aux exigences spécifiques du code de la santé publique.
Au-delà du risque de sanctions des autorités compétentes, la mise en conformité permet de rassurer les patients sur le traitement de leurs données personnelles, et en particulier de leurs données de santé. VIGIER Avocats constate une prise de conscience croissante sur la question de l’ensemble des acteurs, notamment des patients et des établissements. Cette tendance s’explique par une meilleure compréhension des enjeux ainsi que par des sanctions prises par la CNIL, mais aussi la survenue de cyberattaques. Elle incite les établissements à prendre conscience de la nécessité de s’assurer de bien maîtriser la gestion des données personnelles.
Comment accompagnez-vous les établissements dans cette démarche ?
À la demande des établissements de santé, VIGIER Avocats réalise un état des lieux et propose un accompagnement pour assurer leur conformité avec la réglementation. Cela passe notamment par la mise à jour de la documentation appropriée sur la protection des données : mise à jour des registres de traitement, rédaction ou mise à jour de procédures, la renégociation de contrats et d’avenants… Par ailleurs, nous proposons aux délégués à la protection des données des formations certifiées Qualiopi et conformes aux exigences de la CNIL. Ces formations sont spécifiquement dédiées au secteur de la santé.
Notre objectif est de rendre les délégués à la protection des données (DPO) plus confortables dans leur mission, afin qu’ils soient des facilitateurs et un point d’appui dans les relations avec l’extérieur : fournisseurs, promoteurs… Par leur mission, ils contribuent à optimiser la gestion des données, à en réduire le volume et à travailler différemment. Pour ce faire, les DPO doivent disposer des ressources nécessaires en temps, informations et moyens pour appliquer la réglementation.
Franck Terroni, directeur des ressources humaines, juridique et conformité, précise l’organisation
de CAHPP en la matière.« Dans le cadre de l’application de la réglementation relative à la gestion des données personnelles (RGPD), CAHPP a désigné un délégué à la protection des données (DPO) et s’appuie sur l’expertise de Vigier Avocats. Le DPO travaille de manière transversale avec l’ensemble des services, en veillant à leur faire comprendre la notion de données personnelles et à les aider à identifier là où elles se nichent. Le respect de la protection des données repose sur une collaboration étroite entre les équipes.
Faire appel à un prestataire extérieur spécialisé permet d’optimiser les pratiques dans un environnement en constante évolution. Tous les collaborateurs de CAHPP confrontés à la gestion des données personnelles, bénéficient d’une formation portant sur le respect du RGPD, ainsi que sur des thématiques connexes comme la compliance, les cyberrisques et les risques de corruption. Ces sujets, parfois perçus comme contraignants, nécessitent une approche pédagogique pour favoriser l’adhésion et l’engagement des collaborateurs. »
