Toutes les réponses à vos questions sur nos services, l’accompagnement DPO et la conformité RGPD
De quelle expertise doit disposer un organisme qui traite des données personnelles et de santé pour en assurer la protection ?
Les données de santé sont des données sensibles. Elles peuvent être la cible d’utilisations détournées ou frauduleuses et avoir des conséquences graves pour les personnes dont elles sont issues : discrimination, chantage, violation de l’intimité, etc…. Pour protéger les personnes, et protéger votre organisme des conséquences légales de toute violation, usage illégitime ou non conforme de ces données, il faut, à minima, avoir des compétences en droit de la protection des données et droit de la santé, savoir évaluer et gérer les risques sur la sécurité des données, savoir établir des règles internes de protection des données appropriées, et sensibiliser votre personnel au respect de ces règles, et , enfin, savoir mettre en œuvre une approche d’amélioration continue.
Suis-je dans l'obligation de désigner un Délégué à la Protection des Données (DPD) dans l'Union européenne (UE) ?
La réponse se trouve dans le RGPD (article 37 à 39), ainsi que dans les lignes directrices du Comité Européen de Protection des Données. Si votre organisme de santé et/ou de recherche clinique (1) est localisé dans l’UE, ou (2) si vous traitez des données personnelles de participants à vos études cliniques qui sont localisés dans l’UE, en étant vous-même en dehors de l’UE : vous êtes dans l’obligation de désigner un DPD à l’autorité de contrôle (par ex. la CNIL si vous êtes localisé en France), en raison de la nature des traitements de données de santé que vous opérez.
Les professionnels de santé en France, eux, peuvent se référer au « Référentiel relatif aux traitement de données personnelles pour les cabinets médicaux et paramédicaux » de la CNIL, et au « Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie » pour déterminer s’ils doivent désigner un DPD. Selon ces derniers référentiels, la désignation d’un DPD est nécessaire :
- Pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients.
- Pour les officines de pharmacie déclarant une activité globale annuelle de plus de 2 600 000 euros hors taxes.
Sachez que le CEPD a lancé en 2025 la refonte des lignes directrices du DPO. La CNIL et deux autres de ses homologues européens sont membres de l’équipe de rédaction en charge de leur mise à jour. La doctrine européenne pourrait donc être encore précisée, ou bien évoluer, dans un futur proche.
Suis-je dans l'obligation de désigner un Conseiller à la Protection des Données (CPD) en Suisse ?
La nouvelle loi Suisse sur la protection des données (nLPD) n’oblige pas la nomination d’un Conseiller à la Protection des Données pour ce qui concerne les responsables de traitements privés. Cette nomination est en revanche requise pour les organes fédéraux.
Un organisme privé qui traite des données de santé de façon intensive, étant (1) soit établi en Suisse, (2) soit établi en dehors de la Suisse mais traitant des données de personnes localisées en Suisse, peut décider de nommer un CPD et s’en prévaloir pour bénéficier de l’exemption de consulter l’autorité de contrôle (Préposé Fédéral à la Protection des Données et à la Transparence – PFPDT) en cas de traitement de données à risque élevé pour la personnalité ou les droits fondamentaux des personnes. Les coordonnées du CPD, lorsqu’il est nommé, doivent être communiquées au PFPDT.
Suis-je dans l'obligation de désigner un Responsable de la Protection des Renseignements Personnels (RPRP) au Canada ?
La désignation d’une ou de plusieurs personnes qui doivent assurer le respect des dix principes énoncés par la loi sur la Protection des Renseignements Personnels et des Documents Electroniques est la pierre angulaire de la conformité d’une organisation (selon les principes énoncés dans la norme nationale du Canada intitulée « Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96 »).
La même règle s’applique pour un organisme privé localisé hors du Canada, dans la mesure où les activités de l’organisation ont un lien réel et substantiel avec le Canada, ce qui est le plus généralement le cas pour la conduite d’une étude clinique sur le territoire canadien.
La communication des informations de contact du Responsable de la Protection des Renseignements Personnels au Commissariat à la protection de la vie privée au Canada n’est pas exigée par la loi fédérale. En outre, la loi sur les renseignements personnels de santé de la province de l’Ontario (Personal health Information Protection Act, PHIPA) exige la désignation la publication d’un contact spécifique pour les informations de santé.
Nous faire confiance pour votre besoin de conformité en protection des données personnelles et de la vie privée en santé :
Vous avez une question ponctuelle de protection des données en santé ? Posez-nous votre question, nous y répondrons volontiers et sans frais pour vous.
Vous souhaitez être mis en contact avec une personne de notre réseau de clients ou de partenaires pour avoir un retour d’expérience de nos services, en toute confidentialité ?
Vous avez besoin d’en savoir plus sur notre entreprise : nos méthodes de travail, outils et bases de connaissance du métier, notre capacité à répondre à vos besoins et à vos projets ?
Toutes les modalités de nos échanges avec vous sont régulées par notre politique de confidentialité et de protection des données personnelles.
