Comprendre la RGPD

règlement général sur la protection des données

Le 25 mai 2018 sera opposable le nouveau règlement européen de protection des données (RGPD), qui vient renforcer les grands principes de la loi Informatique et Libertés de 1978.

À l’occasion de ce nouveau texte, il est opportun de se rappeler les grands principes de la loi de 1978 et de relever les nouveaux droits et les nouvelles obligations des citoyens et des personnes en charge du traitement des données personnelles.

En effet, les professionnels du secteur sanitaire, social et médico-social sont particulièrement concernés par ce sujet de la manipulation et de la protection des données dites « sensibles ».

Renforcer les droits des personnes :

Le RGPD garantit aux personnes concernées l’exercice d’un certain nombre de droits. Certains datent de 1978[1] : droit d’accès et de rectification, droit à l’information, …
D’autres datent des évolutions successives de cette même loi : droit d’opposition[2], …
Ou sont même créés par le règlement : droit à la limitation du traitement[3], droit à la portabilité des données[4], droit à l’effacement[5], …
Les véritables évolutions du RGPD touchent plus aux mesures destinées à garantir l’effectivité des droits qu’à la création de nouveaux droits.

[1] Article 38 à 43 de la loi 1978
[2] loi n°2004-801 du 6 août 2004
[3] Article 18 RGPD
[4] Article 20 RGPD
[5] Article 17 RGPD

Responsabiliser les acteurs traitant des données :

Les responsables du traitement passent d’une obligation de déclaration préalable à un principe de responsabilité : celle de mettre en œuvre les principes et droits du RGPD et surtout d’en apporter la preuve, si nécessaire, à l’autorité de contrôle : la CNIL.

Certaines obligations déjà préexistantes sont maintenues et renforcées. Quelques exemples :

  • Recueil du consentement de la personne, qui doit désormais être « libre, spécifique, éclairé et univoque»[1] ;
  • Respect du principe de finalité[2]: les traitements doivent avoir un but précisément défini ;
  • Respect du principe de minimisation (proportionnalité)[3]: seules les données nécessaires à la finalité doivent être traitées ;
  • Limitation de la durée de conservationdes données[4].

[1] Article 4 al.11 RGPD
[2] Article 5.1.b
[3] article 5.1.c
[4] Article 5.1.e

Et de nouvelles obligations à la charge du responsable de traitement sont créées :

  • Garantir les nouveaux droits des personnes concernées
  • Notifier les failles de sécuritédans les 72h à la CNIL et à la personne concernée si besoin[1] ;
  • Dans certains cas, obligation de nommer un DPO (délégué à la protection des données), qui aura pour missions[2]:
    Informer et conseiller leu responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
    Contrôler le respect du règlement et du droit national en matière de protection des données ;
    Conseiller, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et en vérifier l’exécution ;
    Coopérer avec la CNIL.

[1] Article 33 RGPD
[2] Article 37 RGPD

Tout l’enjeu aujourd’hui se situe au niveau de la création du projet de mise en conformité des responsables de traitements des données avec le Règlement.

La fédération souhaite accompagner les réseaux dans ce changement.
Dans ce cadre, la première étape pour les fédérations consiste à identifier un Délégué à la protection des données personnelles à l’échelle grande-région d’ici le 25 mai. Dans un second temps, ce délégué se rapprochera des réseaux de manière individuelle pour les accompagner dans le cadre de la mise en conformité des pratiques de précaution.

Dans cette perspective, nous vous invitons dès à présent à consulter les fiches CNIL (bien construites) et à prendre acte des recommandations. Consulter et/ou télécharger la note détaillée sur la RGPD.

*******************************
Contributions : Sabine Jeanny (chargée de mission), Hector Girault (chargé de projet web PPS), Laetitia Vanhove (chargée de gestion administrative et financière)