_edited.png)
LE DPO & LA PROTECTION DES DONNÉES DE SANTÉ
Les données de santé : des données à caractère personnel bien particulières
Les données de santé sont des données à caractère personnel bien particulières car considérées comme sensibles. Ainsi, elles font l'objet d'une protection renforcée afin de garantir le respect de la vie privée des personnes concernées. Fréquence cardiaque, groupe sanguin, données génétiques, etc. : ces données font l’objet d’une protection renforcée par les textes de lois, afin de garantir la vie privée des personnes.
Il est important de savoir que les données de santé sont les données les plus convoitées par les cyber criminels qui les revendent à prix d’or ! En effet, ces données personnelles sont parmi les plus chères du marché dans la mesure où elles permettent de mener à bien d'autres attaques de types usurpation d’identité, arnaques à l’assurance maladie, remboursement de santé frauduleux, etc.
Ainsi, le prix d’un dossier médical dérobé peut atteindre les 350$ sur le darknet.
Hôpitaux, Ehpad, solutions connectées de santé : quels enjeux ?
Les établissements de santé ou les professionnels développant des produits connectés de santé et réalisant des traitements de données sont les responsables de la sécurité de ces données.
En cas de manquement à ces obligations, les conséquences sont nombreuses :
-
des conséquences juridiques, car les responsables de traitements ont l'obligation de tout mettre en oeuvre pour garantir la sécurité, la confidentialité, l'intégrité et la disponibilité des données personnelles traitées. Lorsque cette sécurité n'est pas assurée, le responsable de traitement doit ainsi rendre des comptes.
-
des conséquences financières, car très régulièrement lorsque ces établissements de santé se trouvent attaqués, les attaquants demandent une rançon en échange de la non-divulgation des données volées.
-
des conséquences humaines, car la vie privée de vos patients, clients et utilisateurs est fortement impactée lors d'une violation de données de santé.
-
et des conséquences réputationnelles également, lorsque le message circule et que les personnes concernées prennent conscience du risque et du danger auquel elles sont ainsi exposées.
De plus, certaines données de santé, lorsqu’elles perdent en confidentialité, peuvent amener une très forte stigmatisation de la part des entourages professionnel et / ou personnel, l’impact sur la vie personnel est alors très grand (c'est le cas de certaines maladies ou infection).
La conformité réglementaire au RGPD et ainsi la protection des données de personnelles sont donc des éléments d’autant plus encadrés pour les établissements de santé ou solutions connectées de santé. De ce fait, la désignation officielle d’un DPO auprès de la CNIL est un impératif pour ces établissements et entreprises.
Les traitements de données de santé à des fins de recherche : un cas à part.
Le domaine de la recherche en santé est le dernier domaine pour lequel il est nécessaire de se voir accorder une autorisation par la CNIL pour réaliser les traitements de données personnelles.
En effet, à l'exception des études dites "internes", tous les projets de recherche dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l'objet d'une autorisation préalable de la CNIL.
Afin de faciliter ces projets de recherche, la CNIL a élaboré 6 méthodologies de référence applicables en fonction des typologies d'études : lorsque l'une de ces méthodologies de référence est applicable aucune autorisation préalable de la CNIL n'est nécessaire.
Votre conformité grâce à l’accompagnement d’un DPO experimenté en protection des données de santé
David Rozier, co-fondateur de CyberSecura et prestataire expert en conformité RGPD, dispose d’une solide expérience en tant que DPO du CHU Grenoble-La Tronche, et de d’autres établissements hospitaliers et de santé. David est responsable de la branche d’activité de conformité au RGPD chez CyberSecura.
Grâce à l’aide de deux collaboratrices juristes, nous accompagnons déjà des établissements de santé (services de prévention et santé au travail, entreprises privées ou associations impliquées dans le domaine du soin à la personne et du handicap, etc.) dans leur conformité au RGPD.
ILS TÉMOIGNENT
Découvrez les témoignages de quelques uns de nos clients (tous dans le domaine de la santé) quant à notre prestation de DPO externalisé en temps partagé.
Frédérique Guede, Responsable organisation opérationnelle chez PST38
"Je ne suis pas sûre que l'offre qui est faite existe chez d'autres prestataires [...]. C'est une prise en main complète que je n'ai pas trouvée ailleurs [...]. Monsieur Rozier sait nous mettre en confiance, nous écouter pour comprendre notre problématique, la façon dont nous travaillons, quelle est la spécificité de notre service, de façon à nous répondre au mieux, et de manière à nous permettre de continuer à travailler efficacement."
Jean Christian Borel, Directeur Recherche et Développement chez AGIR à Dom
"Nous avons particulièrement apprécié l'expertise de CyberSecura, cette capacité de vulgarisation, la disponibilité, mais également la proximité humaine. David Rozier a assez vite compris notre besoin, et la relation a été très simple dès le départ."
Khalide Seddik, Responsable des Opérations Cliniques chez NH TherAguix.
"Cette prestation est une vraie prise en charge globale du volet RGPD [et] lorsque nous avons une question ou une difficulté nous savons que nous pouvons solliciter vos équipes."
Découvrez plus de détails sur notre prestation de DPO externalisé en temps partagé
-
Quels sont les principaux enjeux de la protection des données de santé ?Les principaux enjeux en termes de protection des données de santé sont : Un enjeu réglementaire avec de possibles sanctions juridiques en cas de violation de données personnelles. Un enjeu financier avec les amendes de la CNIL. Ainsi qu'un enjeu réputationnel, lorsque le bouche à oreille diffuse une mauvaise protection de données ou quand la CNIL rend une sanction publique.
-
Les établissements de santé et les SPSTI ont-ils obligation de nommer un DPO ?Oui. Tous les organismes, publics ou privés, traitant des données sensibles (e.g. des données de santé) ou traitant des données personnelles de manière massive ont obligation de nommer un DPO auprès de la CNIL.
-
Quelle expertise/quelles compétences particulière(s) un DPO doit-il avoir pour travailler dans le domaine de la santé ?Comme dans tout domaine, un accompagnement lié aux données utilisées est d’autant plus pertinent que les missions effectués grâce a ces données sont connues et comprises. Il est important de bien connaître et de bien maîtriser le domaine afin d'être pertinent lors de l’accompagnement.