Numéro 599 - octobre 2020dossier

sécurité

Le RGPD en établissement de santé, quel bilan ?

L’entrée en application du Règlement européen sur la protection des données personnelles (RGPD) le 25 mai 2018 a marqué une prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers : 70 % des Français se disent aujourd’hui plus sensibles à la protection de leurs données personnelles(1). Dans le domaine de la santé, les enjeux sont particulièrement forts en raison de la sensibilité évidente des données traitées. Deux ans après l’entrée en application du RGPD, les établissements ont-ils su s’approprier ce cadre législatif ambitieux ? Les missions de conseil, d’accompagnement à la conformité, de contrôles et de sanctions de la Cnil permettent de dresser un état des lieux de la conformité des traitements de données des établissements de santé. 

Le RGDP impose dans certains cas la désignation d’un délégué à la protection des données (DPO) et le place au cœur des nouvelles obligations des professionnels, en véritable pilote de la conformité. La Cnil recense 4 000 désignations de délégués pour l’activité hospitalière (mutualisés ou non). On doit néanmoins observer certaines difficultés dans la réalisation de leurs missions, notamment un manque de visibilité au sein de l’établissement et, parfois, de soutien de la hiérarchie, mais également des difficultés d’anticipation et de quantification de la charge de travail.  La Cnil a ainsi pu constater que le délégué n’est pas toujours associé aux projets qui lui sont soumis. Or, elle constate que les projets sont souvent plus conformes à la logique de protection des données lorsque le délégué a été associé en amont : son implication dans le projet au stade des premières réflexions est essentielle afin qu’il puisse être en capacité de conseiller efficacement les porteurs de projets.  En dehors des cas de désignation obligatoire, la Cnil encourage fortement les responsables de traitement à se doter d’un DPO, à ...

Vous pouvez lire la suite en vous identifiant ou en créant votre profil si vous ne l’avez pas encore fait.