Le RGPD implique la création d’une fonction, désormais obligatoire, de Data Protection Officer (DPO) pour les établissements de santé. Quelles sont les conséquences de ce changement pour le CHRU de Lille ?
Guillaume Deraedt : Elles seront plutôt subtiles, du moins en termes organisationnels. Le CHRU est en effet de longue date sensibilisé à la question de la protection des données et a, dès 2006, réuni sous une même casquette les fonctions complémentaires de Responsable de la Sécurité des Systèmes d’Information (RSSI) et de Correspondant Informatique et Libertés (CIL). Début 2017, mon poste de CIL a évolué vers celui de DPO, afin de préparer l’entrée en vigueur du RGPD. Je conserve donc mes missions historiques de RSSI, chargé de définir, de mettre en œuvre et d’animer la politique de sécurité en lien avec la direction générale du CHRU. S’y ajoutent les nouvelles missions de DPO, qui vont au-delà de celles du CIL pour adresser l’ensemble des problématiques liées à la protection des données de santé.
Justement, quelles sont ces nouvelles missions ?
Le RGPD modifie l’angle d’analyse du risque en ce qui concerne la donnée médicale : nous passons du point de vue de l’établissement à celui de la personne. Plutôt que d’identifier l’impact des failles de sécurité dans le cadre fonctionnel d’une prise en charge médicale, nous sommes désormais tenus de les identifier au regard du patient-citoyen. C’est le Privacy Impact Assessment, ou PIA, qui place l’intérêt de la personne comme enjeu de la protection. Ce règlement renforce par ailleurs le principe de transparence et de traçabilité dans le traitement des données personnelles : les hôpitaux doivent non seulement fournir aux personnes concernées une information complète sur le traitement de leurs données, mais aussi notifier toute faille de sécurité à l’autorité nationale de contrôle, aux tutelles et, le cas échéant, aux patients. Troisième grand changement : la notion d’accountability, qui désigne l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Guillaume Deraedt : Elles seront plutôt subtiles, du moins en termes organisationnels. Le CHRU est en effet de longue date sensibilisé à la question de la protection des données et a, dès 2006, réuni sous une même casquette les fonctions complémentaires de Responsable de la Sécurité des Systèmes d’Information (RSSI) et de Correspondant Informatique et Libertés (CIL). Début 2017, mon poste de CIL a évolué vers celui de DPO, afin de préparer l’entrée en vigueur du RGPD. Je conserve donc mes missions historiques de RSSI, chargé de définir, de mettre en œuvre et d’animer la politique de sécurité en lien avec la direction générale du CHRU. S’y ajoutent les nouvelles missions de DPO, qui vont au-delà de celles du CIL pour adresser l’ensemble des problématiques liées à la protection des données de santé.
Justement, quelles sont ces nouvelles missions ?
Le RGPD modifie l’angle d’analyse du risque en ce qui concerne la donnée médicale : nous passons du point de vue de l’établissement à celui de la personne. Plutôt que d’identifier l’impact des failles de sécurité dans le cadre fonctionnel d’une prise en charge médicale, nous sommes désormais tenus de les identifier au regard du patient-citoyen. C’est le Privacy Impact Assessment, ou PIA, qui place l’intérêt de la personne comme enjeu de la protection. Ce règlement renforce par ailleurs le principe de transparence et de traçabilité dans le traitement des données personnelles : les hôpitaux doivent non seulement fournir aux personnes concernées une information complète sur le traitement de leurs données, mais aussi notifier toute faille de sécurité à l’autorité nationale de contrôle, aux tutelles et, le cas échéant, aux patients. Troisième grand changement : la notion d’accountability, qui désigne l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
C’est là une modification radicale.
En effet, nous étions jusqu’ici dans un processus de déclaration et d’autorisation : le responsable du traitement devait réaliser des formalités préalables auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Désormais la logique de conformité prend le pas sur la logique déclarative : il convient de prendre l’ensemble des mesures techniques et organisationnelles visant à garantir le respect de la réglementation, mais aussi et surtout de pouvoir démontrer cette conformité en cas de contrôle. Cette responsabilisation nouvelle, ou accountability, s’applique par ailleurs à toute la chaîne. Elle concerne donc aussi bien le responsable du traitement, c’est-à-dire celui qui détermine les moyens et la finalité du traitement, mais aussi les sous-traitants qui l’effectuent pour le compte du premier et qui n’étaient, jusque-là, que peu responsabilisés. De la même manière, ces sous-traitants sont désormais tenus à une obligation de transparence et de traçabilité en cas de faille de sécurité, et à une obligation d’assistance et de conseil envers les donneurs d’ordre. Il nous faudra donc faire évoluer les contrats signés avec l’ensemble de nos partenaires.
Qu’en est-il des données traitées hors de l’Europe ?
Le RGPD s’applique dès lors que les données traitées sont celles de citoyens européens, y compris lorsque les data centers sont situés hors d’Europe. La société qui effectue le traitement n’en sera pas moins soumise au droit européen. Les données de santé représentent toutefois un cas particulier, puisqu’il est interdit de les traiter en-dehors des frontières européennes. Confronté à la domination réelle des GAFA, le législateur a donc souhaité renforcer la souveraineté européenne, anticipant la montée en puissance des technologies Big Data et des algorithmes d’intelligence artificielle.
Vous avez mentionné la nécessaire recontractualisation avec tous vos partenaires. Comment vous y préparez-vous ?
La CNIL a élaboré un ensemble de clauses conformes avec les nouvelles exigences du RGPD, qu’il s’agit désormais d’intégrer avec nos partenaires. Nous y travaillons activement puisque, d’un point de vue juridique, le RGPD est entré en vigueur le 25 mai. Nous pouvons toutefois être amenés à négocier avec des multinationales qui, pour limiter les risques financiers, seraient tentées de proposer des clauses les dégageant de leurs responsabilités. Or un établissement public de santé n’a pas toujours les compétences juridiques pour déterminer si une clause est conforme ou pas à l’esprit de la loi. Fort heureusement, le cadre posé par le RGPD est clair ; une clause dégageant un sous-traitant de ses responsabilités pourrait être jugée abusive.
Comment alors revoir tous les contrats ?
La CNIL elle-même a admis qu’un certain temps de latence sera ici nécessaire. Le RGPD, et tous les changements qu’il implique en termes de protection des données personnelles, s’appliquent depuis le 25 mai. Mais cette révolution culturelle ne se fera pas du jour au lendemain, notamment en ce qui concerne le concept de responsabilisation. Les établissements de santé sont déjà sensibilisés à la nécessité de protéger les données personnelles de santé. D’un point de vue déontologique, ils sont même en avance par rapport à d’autres secteurs, comme la banque. Mais intégrer, de manière générique, les clauses du RGPD dans tous les contrats ne sera assurément pas une tâche aisée. Les prochains mois seront donc déterminants pour mettre en place une dynamique vertueuse fédérant toute la chaîne de traitement des données personnelles.
*Lauréat du Prix « DPO le plus actif », décerné par le Journal du Net le 12 décembre 2017 pour la première édition de la Nuit du Data Protection Officer.
Article publié dans le numéro 41 d'Hospitalia, magazine à consulter en intégralité ici.
En effet, nous étions jusqu’ici dans un processus de déclaration et d’autorisation : le responsable du traitement devait réaliser des formalités préalables auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Désormais la logique de conformité prend le pas sur la logique déclarative : il convient de prendre l’ensemble des mesures techniques et organisationnelles visant à garantir le respect de la réglementation, mais aussi et surtout de pouvoir démontrer cette conformité en cas de contrôle. Cette responsabilisation nouvelle, ou accountability, s’applique par ailleurs à toute la chaîne. Elle concerne donc aussi bien le responsable du traitement, c’est-à-dire celui qui détermine les moyens et la finalité du traitement, mais aussi les sous-traitants qui l’effectuent pour le compte du premier et qui n’étaient, jusque-là, que peu responsabilisés. De la même manière, ces sous-traitants sont désormais tenus à une obligation de transparence et de traçabilité en cas de faille de sécurité, et à une obligation d’assistance et de conseil envers les donneurs d’ordre. Il nous faudra donc faire évoluer les contrats signés avec l’ensemble de nos partenaires.
Qu’en est-il des données traitées hors de l’Europe ?
Le RGPD s’applique dès lors que les données traitées sont celles de citoyens européens, y compris lorsque les data centers sont situés hors d’Europe. La société qui effectue le traitement n’en sera pas moins soumise au droit européen. Les données de santé représentent toutefois un cas particulier, puisqu’il est interdit de les traiter en-dehors des frontières européennes. Confronté à la domination réelle des GAFA, le législateur a donc souhaité renforcer la souveraineté européenne, anticipant la montée en puissance des technologies Big Data et des algorithmes d’intelligence artificielle.
Vous avez mentionné la nécessaire recontractualisation avec tous vos partenaires. Comment vous y préparez-vous ?
La CNIL a élaboré un ensemble de clauses conformes avec les nouvelles exigences du RGPD, qu’il s’agit désormais d’intégrer avec nos partenaires. Nous y travaillons activement puisque, d’un point de vue juridique, le RGPD est entré en vigueur le 25 mai. Nous pouvons toutefois être amenés à négocier avec des multinationales qui, pour limiter les risques financiers, seraient tentées de proposer des clauses les dégageant de leurs responsabilités. Or un établissement public de santé n’a pas toujours les compétences juridiques pour déterminer si une clause est conforme ou pas à l’esprit de la loi. Fort heureusement, le cadre posé par le RGPD est clair ; une clause dégageant un sous-traitant de ses responsabilités pourrait être jugée abusive.
Comment alors revoir tous les contrats ?
La CNIL elle-même a admis qu’un certain temps de latence sera ici nécessaire. Le RGPD, et tous les changements qu’il implique en termes de protection des données personnelles, s’appliquent depuis le 25 mai. Mais cette révolution culturelle ne se fera pas du jour au lendemain, notamment en ce qui concerne le concept de responsabilisation. Les établissements de santé sont déjà sensibilisés à la nécessité de protéger les données personnelles de santé. D’un point de vue déontologique, ils sont même en avance par rapport à d’autres secteurs, comme la banque. Mais intégrer, de manière générique, les clauses du RGPD dans tous les contrats ne sera assurément pas une tâche aisée. Les prochains mois seront donc déterminants pour mettre en place une dynamique vertueuse fédérant toute la chaîne de traitement des données personnelles.
*Lauréat du Prix « DPO le plus actif », décerné par le Journal du Net le 12 décembre 2017 pour la première édition de la Nuit du Data Protection Officer.
Article publié dans le numéro 41 d'Hospitalia, magazine à consulter en intégralité ici.