fehap 1ère d’information en santé · un régime d’échange et de partage désormais fondé...
TRANSCRIPT
FEHAP 1ère journée régionale « Système
d’information en santé » 12 avril 2018
Règlement européen sur la protection
des données personnelles: une révolution, une contrainte et une
opportunité
Sommaire
1. Présentation des apports du RGPD
2. Présentation des règles spéciales dans le
secteur santé
3. Présentation de l’étude d’impact sur la vie privée
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD)
• Directive 95/46, concerne les traitements de données à caractère personnel
• Transposée en France en 2004 dans la loi Informatique et Libertés du 6 janvier
1978
Avant le règlement UE 2016/679 du 27 avril 2016
• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et
Libertés
• Un texte européen, commun à tous les EM et directement applicable en France
(pas de transposition nécessaire)
• Un texte applicable dès le 25 mai 2018
• Un texte qui concerne toutes les entreprises ainsi que le secteur public
• Pour tous les traitements de données à caractère personnel localisés en Europe
ou concernant des citoyens européens
Le règlement UE 2016/679 du 27 avril 2016
Quelques définitions
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou
identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une
personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant,
tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs
éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle
ou sociale;
Données à caractère personnel : art 4.1 du RGPD
«données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d'une
personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état
de santé de cette personne; »
Données de santé à caractère personnel : art 4.15 du RGPD
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD)
Nouvelles responsabilités pesant sur le responsable de traitement (RT)
Directive 95/46 et LIL
Formalités préalables A réaliser auprès de la CNIL (avant mise en
œuvre du traitement)
Désignation facultative d’un CIL
Responsable de traitement A identifier / lié par contrat au sous-traitant
5 principes • finalité du traitement
• pertinence et proportionnalité des
données
• durée de conservation limitée des
données
• sécurité et confidentialité des données
• respect des droits des personnes
RGPD
Accountability/responsabilité mesures de protection des données appropriés
pour démontrer leur conformité à tout moment
Privacy by design/ Privacy by default garantir que les traitements de données ne
portent pas atteinte à la vie privée dès la
conception – Mettre en place des fonctionnalités
applicatives SI par défaut
Etude d’impact sur la vie privée Obligation, pour les RT d'effectuer une analyse
d'impact relative à la protection des données
préalablement aux traitements présentant des
risques.
Data Protection Officer Rendu obligatoire dans certains cas
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP)
Nouvelles responsabilités pesant sur le sous-traitant (ST)
Notion de « responsables conjoints du traitement »
Accord répartissant les obligations respectives
Responsabilité conjointe vis-à-vis des personnes
Important pour les services Cloud
Responsabilité et obligations des sous-traitants
Le ST a une responsabilité propre (sanctions)
Il ne traite que sur instruction documentée du RT
Il prend toutes les mesures de sécurité requises et aide le RT (mise en œuvre des mesures de
sécurité, analyse d’impact)
Il ne (re)sous-traite pas sans autorisation du RT et vérifie préalablement la responsabilité du nouveau ST
Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP)
• Renforcement des droits des personnes
Nouveaux devoirs pour les RT :
transparence, informations supplémentaires Nouveaux droits : droit à l’oubli, portabilité des
données, limitation
• Obligation générale de notification des failles de sécurité
Tous les RT
Dans les
meilleurs délais
> 72h
Information des personnes concernées
dans certains cas
• Renforcement des pouvoirs des autorités de contrôle et des sanctions
Montant graduel des amendes
administratives Max 20 M ou 4% CA annuel mondial
Application au secteur de la santé Champ d’application
Pas d’application aux données anonymisées /aux activités exclusivement personnelles
Différence entre anonymisation et pseudonymisation Sans lien avec une activité professionnelle ou commerciale
Donnée de santé
« données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. » (Art. 4 15 et considérant 35)
Principe général d’interdiction de collecte et de traitement, avec des dérogations : consentement exprès de la personne,
sauvegarde vie humaine, médecine préventive, diagnostics médicaux, administration de soins, recherche, intérêt public.
Données à caractère personnel
Données directement identifiantes : nom et prénom, photo, e-mail nominatif, …
Données indirectement identifiantes : numéro de carte bancaire…
Recoupements d’informations : « le fils aîné du notaire habitant au 11 bd
Raspail à Paris », …
Application au secteur de la santé Les formalités préalables
Les formalités simplifiées existantes
Les autorisations uniques :
AU-013 : Pharmacovigilance ;
AU-037 : Messagerie sécurisée ;
AU-047: Accompagnement et suivi social et médico-social des personnes handicapées et des
personnes âgées
Les normes simplifiées
NS-050: Cabinet médical et paramédical
Les méthodologies de référence :
MR-001 : recherches biomédicales (en cours de mise à jour)
MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro
MR-003 : recherches non interventionnelles
Formalités à l’heure du RGPD
Disparition des déclarations normales
Désignation d’un DPO
Analyse d’impact (PIA)
Conformité à un référentiel sectoriel
Notification des violations de données
Les Etats membres peuvent fixer des conditions ou des restrictions supplémentaires au niveau national
En France, maintien du régime d’autorisation/avis :
Santé, biométrie, génétique
Numéro d’identification national (NIR)
Emploi, travail
Missions d’intérêt public ou d’autorité publique
Archivage, Recherche
=> Régime relatif à l’hébergement des données de santé
Sommaire
1. Présentation des apports du RGPD
2. Présentation des règles spéciales dans le
secteur santé
3. Présentation de l’étude d’impact sur la vie privée
Règles particulières
Secret professionnel et données de santé : les règles d’échange et de partage
11
L’article L.1110-4 du CSP définit les règles d’échange et
de partage des données de santé
Echange Partage
Professionnels identifiés participant à la
coordination, la continuité des soins et le suivi
social et médico-social d’un même patient
Information préalable
+ droit d’opposition
Professionnels participant à la coordination, la
continuité des soins et le suivi social et médico-
social d’un même patient
Au sein
de la même
équipe de soins
En dehors
de la même
équipe de soins
Information préalable
+ droit d’opposition Consentement
exprès
Ensemble de professionnels qui participent directement au profit d’un même patient à la
réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap ou de
prévention de perte d’autonomie, ou aux actions nécessaires à leur coordination, et qui :
12
Un régime d’échange et de partage désormais fondé sur la notion
d’équipe de soins : art. L.1110-12 du CSP
Exercent dans la même
structure (ES, ESMS,
structures de
coopération, etc.)
Se sont vus
reconnaître cette
qualité par le patient
Exercent dans un
semble comprenant au
moins un ES et
respectant un cahier
des charges
OU OU
Décret 2016-996 du
20 juillet 2016
Arrêté du ministre chargé
de la santé du 25
novembre 2016
Règles particulières
Secret professionnel et données de santé : la notion d’équipe de soins
Règles particulières
La Politique Générale de Sécurité des Systèmes d’Information de Santé
(PGSSI-S)
13
Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel
et leur protection,
les professionnels de santé, les établissements et services de santé, les hébergeurs de
données de santé à caractère personnel et tout autre organisme
participant
à la prévention, aux soins ou au suivi médico-social et social
utilisent, pour leur traitement, leur conservation sur support informatique et leur
transmission par voie électronique, des systèmes d'information conformes aux
référentiels d'interopérabilité et de sécurité élaborés par le groupement d'intérêt public
mentionné à l'article L. 1111-24.
Cf. Article L1110-4-1 du CSP créé par LOI n° 2016-41 du 26 janvier 2016
Règles particulières
La Politique Générale de Sécurité des Systèmes d’Information de Santé
(PGSSI-S)
14
Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés:
• un palier cible (palier dont le numéro est le plus élevé) et des paliers intermédiaires permettant de
bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires,
• un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre comportant les exigences de
sécurité indiscutables.
Palier 1
Palier 2
Palier 3
Conférence débat 22 /11/2017_Congrès FEHAP_FEON
Une logique de paliers
Règles particulières
L’identifiant national de santé ( le NIR)
15
La loi n°2016-41 du 26/01/2016 codifiée à l’article L. 1111-8-1 CSP
« Le numéro d’inscription au répertoire national d’identification des personnes physiques est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales dans les conditions prévues à l’article L. 1110-4 […].»
Le décret n°2017-412 du 27 mars 2017 codifié aux articles R. 1111-8-1 à 7 CSP
Le référentiel mentionné à l’article R.1111-8-7 : le « référentiel INS »
Décret
relatif au
NIR en tant
qu’INS
27/03/17 31/03/18
1er janvier 2018 1er janvier 20201er janvier 2019
Référentiel INS
Web-services
de
consultation
de l’INS
Obligation d’utiliser le
l’INS
Utilisation du NIR-INS possible
Avec formalités préalables
Utilisation ( dont la saisie ) du NIR-INS possible dans le
respect du référentiel
Hébergement des données de santé
De l’agrément à la certification
La nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique va remplacer l’actuelle procédure d’agrément dès le 1er avril 2018 (les dossiers de demande d’agrément reçus avant la fermeture du guichet d’agrément sont traités selon la procédure d’agrément actuellement en vigueur).
Elle prévoit d’encadrer l’activité d’hébergement de données de santé par une évaluation de conformité à un référentiel de certification, délivrée par un organisme de certification accrédité par le COFRAC.
Pour obtenir une certification : » L’hébergeur doit choisir un organisme certificateur accrédité par le COFRAC.
Le certificat est délivré par l’organisme certificateur pour une durée de 3 ans. Un audit de surveillance annuel est effectué par l’OC (audit documentaire puis sur site).
Dépôt d’un dossier de demande d’agrément auprès du secrétariat de
la procédure ( ASIP Santé)
Pré-instruction du dossier par l’ASIP Santé
Analyse et avis CNIL
Analyse et avis CAH*
Procédure d’agrément
3 ans
Dépôt d’un dossier de demande de certification auprès d’un OC accrédité
par le COFRAC (ou équivalent)
Audit documentaire réalisé par l’OC
Audit sur site réalisé par l’OC
Procédure de certification
3 ans
Hébergeur Hébergeur
Décision du ministre chargé de la santé
Délivrance certificat de conformité par l’OC
*Comité d’agrément des hébergeurs
Hébergement des données de santé au sein des GHT
Procédure et niveaux de certification
Le référentiel de certification est composé de : La norme ISO 27001 « système de gestion de la sécurité des systèmes d’information ».
D’exigences de la norme ISO 20000 « système de gestion de la qualité des services». D’exigences de la norme ISO 27018 « protection des données à caractère personnel ». D’une exigence de la norme ISO 27017 « Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage ». D’exigences spécifiques à l’hébergement de données de santé.
Une dimension internationale :
La certification HDS pourra être délivrée par tout organisme certificateur accrédité par un organisme d’accréditation européen signataire des accords de reconnaissance EA/IAF.
Mise à disposition ou maintien en condition opérationnelle de la plateforme logicielle (système d’exploitation, middleware, base de données, etc.) du système d’information de santé.
Mise à disposition ou maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé.
Infogérance d’exploitation du système d’information de santé.
Sauvegardes externalisées des données de santé.
Hébergeur infogéreur
Hébergeur d’infrastructure physique
Mise à disposition ou maintien en condition opérationnelle de locaux permettant d’héberger l’infrastructure matérielle du système d’information de santé.
Mise à disposition ou maintien en condition opérationnelle de l’infrastructure matérielle du système d’information de santé.
Deux niveaux de certification Procédure de certification
Règles particulières
18
Régime général de la
protection des données
personnelles
Les bons outils
juridiques Les questions essentielles
Contrats / marchés publics informatiques
Référentiels et guides
Labels et certifications
Quelques questions essentielles
19
Quelles sont les données traitées ?
Quel régime juridique s’applique aux données, au support, ou à
l’activité ?
Quelles formalités à remplir avant de lancer l’application ?
Quels droits possèdent les personnes ?
Quelles mesures de sécurité sont nécessaires ?
Qui est responsable de l’application, du point de vue du traitement
des données, de la sécurité des données, de la qualité de
l’application ?
20
Objet et périmètre du contrat
Engagement de niveau de services (ou Service Level Agreement)
Contrats informatiques / marchés publics : clauses essentielles
Protection des données à caractère personnel
Procédure de réversibilité
Présentation de l’étude d’impact sur la vie privée
Privacy Impact Assessment
Respect des
principes fondamen-
taux
Gestion des risques
sur la vie privée
PIA
Privacy Impact
Assessment
Les principes et droits
fondamentaux (finalité,
information…), « non
négociables », fixés
par la loi, devant être
respectés et ne
pouvant faire l’objet
d’aucune modulation
La gestion des risques
sur la vie privée des
personnes concernées,
qui permet de déterminer
les mesures techniques
et d’organisation
appropriées pour
protéger les données
Le Privacy Impact
Assessment (PIA) est
un moyen de se
mettre en conformité
et de le démontrer
(notion
d’accountability)
À quoi s’applique un PIA ?
Produits Traitements
Il s’adresse aux fournisseurs (dont les solutions seront utilisées dans de
nombreux traitements)
Le PIA est idéalement mené
dans le cadre de la
conception de leurs produits.
Il s’adresse aux responsables
de traitements
Le PIA est idéalement mené
dans le cadre de la conception
de leurs traitements de
données à caractère personnel.
Démarche méthodologique :Étape 1 – Le contexte De quoi parle-t-on ?
Le traitement de données à caractère personnel
Quelle est sa finalité ?
Quels sont ses apports ? (pour l’organisme, pour les personnes concernées, pour la société…)
Le plus important : comprendre le cycle de vie des données
Quelles sont les données ?
Qui sont les destinataires ?
Qui peut y accéder ?
Quelle est leur durée de conservation ?
Quelles sont les étapes du traitement ?
Sur quoi reposent-elles ?
Collecte Conservation Utilisation Transfert Destruction
Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?
Analyse des mesures garantissant la proportionnalité
et la nécessité du traitement
Finalités déterminées, explicites et légitimes
Fondement/licéité du traitement – interdiction du
détournement de finalité
Données adéquates, pertinentes, non excessives
(minimisation)
Donnée exactes et tenues à jour
Durées de conservation limitées
Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?
Analyse des mesures protectrices des droits des
personnes des personnes concernées
Information des personnes (loyauté et transparence)
Recueil du consentement des personnes concernées
Droit d’accès et droit à la portabilité
Droit de rectification, d’effacement, de limitation et
d’opposition
Sous-traitance : contractualisation
Transferts de données en dehors de l’UE
Formalités préalables applicables au traitement
o Obligation de consulter l’autorité de contrôle si les risques
résiduels sont élevés.
Étape 3 – Les risques Quelles sont les mesures existantes ou prévues ?
Sécurité des données du traitement
Chiffrement
Anonymisation
Cloisonnement des données (par rapport au reste du système d’information)
Contrôle des accès logique des utilisateur
Traçabilité
Sécurité des documents papier
Mesures générales de sécurité
Sécurité de l’exploitation
Gestion des postes de travail et lutte contre les logiciels malveillants
Sécurité des sites web
Sauvegardes
Maintenance
Sécurité des canaux informatiques (réseaux)
Contrôle d'accès physique
Sécurité des matériels
Mesures organisationnelles
Politique (gestion des règles)
Gestion des projets
Gestion des incidents et des violations de données
Gestion des personnels
Relations avec les tiers
En synthèse
Le PIA permet de construire la mise en conformité d’un traitement (et de pouvoir le démontrer).
Mener un PIA est équivalent à ce qu’on fait actuellement pour certains traitements (dossiers de formalités et échanges avec la CNIL).
Il ne s’agit pas d’ajouter un nouveau processus, mais de faire converger les démarches existantes : vos processus habituels (audits I&L, registre, gestion des risques SSI, intégration de la sécurité dans les projets…) alimentent le PIA.
Il est facile et utile d’intégrer le point de vue « protection de la vie privée » et le point de vue « SSI / cybersécurité ».
Les guides PIA de la CNIL
Pour intégrer la protection de la vie privée et la cybersécurité.
Pour faire du Privacy by design
Focus sur le DPO
Le délégué à la protection des données (DPO) : missions principales, compétences et qualités clés
Droit
Traitement des Données
Gestion de projets
Les compétences transverses Les qualités clefs
Les missions principales
Conseiller
» Sur la mise en conformité (cartographie des traitements, documentation, etc.) de l’existant avec le nouveau cadre légal induit par le RGPD.
» Sur les nouvelles manières d’exploiter les données personnelles.
Sensibiliser
» Sur les nouvelles obligations induites par le RGPD (vérification de la bonne exécution des analyses d’impacts pour l’ensemble des projets du GHT).
» Sur le traitement des données personnelles auprès des personnes concernées.
Systèmes d’information
Solides connaissances juridiques
Proximité opérationnelle
Solides connaissance en technologies de l’information
Appétence pour le secteur hospitalier
DPO
Est-il envisageable d’être à la fois RSSI et DPO ?
Des missions différentes mais complémentaires
» Conseiller sur la mise en conformité de l’existant avec le
cadre légal induit par le RGPD et sur les nouvelles manières d’exploiter les données personnelles.
» Sensibiliser sur les nouvelles obligations induites par le RGPD et sur le traitement des données personnelles.
Délégué à la protection des données Responsable de la sécurité des systèmes d’information
» Définir et mettre en œuvre la politique générale de sécurité et du système d’information.
» Informer, conseiller et alerter la direction générale et les fonctions sur les enjeux de la sécurité du SI,
Les fonctions de DPO et de RSSI sont-elles compatibles?
Le règlement européen de la protection des données de santé (RGPD) ne répond pas à cette question*. Il précise toutefois que le délégué ne peut pas occuper des fonctions au sein de l’organisme le conduisant à déterminer les finalités et les moyens d’un traitement afin d’éviter d’être «juge et partie». L’existence d’un tel conflit est donc apprécié au cas par cas.
https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees*.
Quelles sont les situations pour lesquelles il peut exister un conflit d’intérêts ? »
Décision de l’autorité bavaroise de protection des données (« BayLDA »)
En conclusion … pour se préparer au RGPD
Désigner un pilote : une personne disposant de relais internes et chargée de s’assurer de la mise en conformité au règlement européen délégué à la protection des données (DPO).
Cartographier vos traitements de données personnelles.
Gérer les risques en menant une étude d’impact sur la protection des données pour chacun de vos traitements de données personnes.
Organiser les processus internes qui garantissent la protection des données à tout moment en prenant en compte l’ensemble des évènements.
Prioriser les actions à mener au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Documenter la conformité au règlement et la tenir à jour.
2
3
4
6
1
5
En collaboration avec les services de la CNIL, le service juridique de l’ASIP Santé publie des notes pour préparer les acteurs de la santé au RGPD
Pour se préparer au RGPD, la CNIL propose et outille une démarche en 6 étapes
Publication de fiches pratiques en novembre 2017 : http://esante.gouv.fr/services/reperes-juridiques/rgpd-le-reglement-europeen-sur-la-protection-des-donnees-personnelles-s
Pour se préparer à la mise en œuvre du règlement européen pour la protection des données (RGPD)
www.cnil.fr CNIL @cnil