A moins de deux mois de l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), Jean-Louis Fraysse, co-fondateur de Nexstep Santé*, fait le point sur la protection des données dans le secteur de la santé.
- Pourriez-vous rappeler les grands principes du RGPD ? تعلم بوكر
Jean-Louis Fraysse : « Le texte qui entrera en application le 25 mai prochain a vocation à protéger les données personnelles des citoyens que nous sommes, collectées sur l’ensemble des supports de communication. En particulier, il établit l’obligation d’informer les citoyens sur la nature, l’usage, ou encore la durée de conservation de ces données.»
- Dans le détail, que va changer ce nouveau cadre législatif pour le traitement des données de santé à caractère personnel ?
Jean-Louis Fraysse : « Jusqu’à présent la constitution d’un fichier rassemblant des données personnelles, était soumise à une demande d’autorisation préalable auprès de la Cnil (ndlr : Commission nationale de l’informatique et des libertés). Ce ne sera plus le cas avec le RGPD. En revanche l’entreprise devra, à tout moment, être en mesure de prouver à la Cnil qu’elle est en conformité avec la législation. Par ailleurs, l’information délivrée au citoyen concernant l’obtention de son consentement devra être clairement exprimée et de nouveaux droits seront pris en considération, comme par exemple le droit de retrait ou le droit à l’oubli. Comme toutes les entreprises, les acteurs de la santé doivent engager une démarche vertueuse de gestion des données personnelles dont elles disposent et s’interroger sur la criticité de leurs fichiers via, le cas échéant, une étude d’impact. Les startups qui collectent des données via des objets connectés (monitoring d’activité physique, lecteurs de glycémie…) doivent également se mettre en conformité. »
- Quelles sont les sanctions prévues en cas de non respect des nouvelles obligations ?
Jean-Louis Fraysse : « La Cnil précise que les sanctions seront encadrées, graduées et renforcées par rapport à la loi Informatique et libertés. Ainsi les autorités de protection pourront tout d’abord prononcer un avertissement, puis mettre en demeure l’entreprise de se mettre en conformité. لعبة سباق خيول حقيقية La suspension des flux de données hors UE peut également être exigée, ainsi que la limitation temporaire ou définitive d’un traitement. لعبة الدمبلة Une sanction qui peut être très pénalisante pour une structure dont l’activité est principalement basée sur les traitements de données ! Enfin, les autorités peuvent prononcer d’importantes amendes administratives : selon la catégorie de l’infraction, de 10 à 20 M€, ou, dans le cas d’une entreprise, de 2 à 4% du chiffre d’affaires annuel mondial (art. 83 du RGPD) ».
- Quels conseils donneriez-vous aux retardataires qui n’ont pas encore travaillé sur leur mise en conformité avec le RGPD ?
Jean-Louis Fraysse : « De consulter le site de la Cnil, rubrique « RGPD et données de santé », qui détaille les 6 points clés pour bien se préparer. Au-delà, l’entreprise pourra s’interroger sur les modalités de mise en œuvre et décider de nommer un pilote en interne (un Data Protection Officer) ou de déléguer ce chantier à une structure agréée. »
Propos recueillis par Chantal Delsouc, MID e-news
* Jean-Louis Fraysse interviendra le 12 avril prochain à Toulouse dans le cadre de l’événement « RGPD dernière ligne droite ».