📕Les hôpitaux sont devenus méfiants concernant le partage de leurs données, mais pour les entreprises de santé, l’accès de ces données est une étape essentielle pour leur survie. Elles en ont besoin pour valider l’apport de leurs solutions ou pour exercer leurs services (recherche médicale, outil d’aide à la décision pour les médecins, …). C’est dans cette optique qu’un webinar, animé par Raphaël Buchard, expert en RGPD et CEO de Dipeeo, et Dorothée Uriet, Chief Regulatory & Clinical Affairs Officer de Braintale, a été organisé pour offrir des éclaircissements précieux sur ces sujets, en mettant particulièrement l’accent sur les données de santé.
Une donnée personnelle est une information qui se rapporte à une personne physique directement ou indirectement. Elle peut prendre différentes formes, telles que des noms, des adresses, des numéros de téléphone, des adresses e-mail, des identifiants en ligne, des données de localisation, des identifiants biométriques, des caractéristiques physiques, des informations médicales, des opinions politiques, etc. 🔑
📣 L’objectif principal du RGPD est de renforcer la protection des données personnelles des individus au sein de l’Union européenne. Le RGPD établit un cadre juridique clair pour le traitement des données personnelles et impose des obligations aux organisations qui les collectent, les traitent et les stockent.
Le RGPD renforce la sécurité des données personnelles en imposant des mesures techniques et organisationnelles appropriées pour prévenir les violations de données. Il encourage également la mise en place de pratiques de protection des données dès la conception (privacy by design) et par défaut (privacy by default). Cela signifie que les organisations doivent intégrer la protection des données dès la conception de leurs systèmes et services, en veillant à ce que seules les données nécessaires soient collectées et que les mesures de sécurité appropriées soient en place pour protéger ces données. 💼
De plus, le RGPD renforce les droits des individus concernant leurs données personnelles. Les personnes ont le droit d’accéder à leurs données, de les rectifier si elles sont inexactes, de demander leur effacement, de s’opposer à leur traitement dans certaines circonstances, et d’exercer leur droit à la portabilité des données. Les organisations sont tenues de respecter ces droits et de mettre en place des procédures pour y répondre.
Il est important de distinguer les données personnelles des données de santé. Une donnée personnelle fait référence à toute information qui permet d’identifier une personne, tandis qu’une donnée de santé se réfère spécifiquement aux informations liées à la santé d’une personne, qu’elles soient physiques ou mentales. 📜
Les données de santé sont considérées comme des catégories particulières de données personnelles en vertu du RGPD, car elles sont plus sensibles et nécessitent une protection renforcée. Cela inclut des informations telles que les antécédents médicaux, les traitements en cours, les résultats de tests médicaux, les prescriptions, les allergies, etc.
🔔 Il convient de noter que certaines données personnelles peuvent devenir des données de santé en fonction du contexte. Par exemple, le numéro de chambre d’un hôpital ne serait généralement pas considéré comme une donnée de santé en soi, mais si ce numéro est utilisé dans le cadre d’un système de gestion des dossiers médicaux pour identifier l’emplacement d’un patient, il peut être considéré comme une donnée de santé, car il est alors lié à des informations médicales spécifiques.
🏥 Les hôpitaux ont le devoir de protéger les données de santé de leurs patients, et c’est pourquoi ils choisissent de travailler exclusivement avec des prestataires conformes au Règlement Général sur la Protection des Données (RGPD). Voici les raisons pour lesquelles il est obligatoire de se mettre en conformité pour travailler avec les hôpitaux :
Audit de partenaires : Les hôpitaux réalisent des audits de conformité pour évaluer les pratiques de protection des données de leurs partenaires. Ils veillent à ce que les prestataires respectent le rgpd pour le traitement des données de santé. Sans une conformité adéquate, ils ne signeront pas et vont rompre leurs contrats avec les prestataires existants.
Gain d’appels d’offres : Les hôpitaux réalisent des appels d’offres pour sélectionner des prestataires de services. Lors de ces processus, la conformité au RGPD devient un critère essentiel. Les prestataires qui peuvent démontrer leur conformité ont plus de chances de remporter les appels d’offres, car ils offrent une assurance supplémentaire quant à la protection des données de santé.
Signature du Data Processing Agreement (DPA) : Le DPA est un accord de traitement des données qui établit les responsabilités et les obligations des parties impliquées dans le traitement des données personnelles. Lorsqu’ils travaillent avec des hôpitaux, les prestataires doivent signer un DPA qui définit les modalités spécifiques liées à la protection des données de santé. La présence d’un DPO (Data Protection Officer) est importante pour négocier les clauses du DPA et ainsi ne pas prendre des responsabilités disproportionnées.
📕 Être conforme au RGPD n’est pas suffisant pour pouvoir traiter et utiliser les données de santé partagées par les hôpitaux. Il est souvent nécessaire d’obtenir le consentement des patients pour l’utilisation de leur données et/ou de pseudonymiser ou d’anonymiser les données. Cela permet aux hôpitaux de partager des données avec des prestataires tiers tout en protégeant la confidentialité des patients.
Lorsque les données de santé sont anonymisées de manière adéquate, elles ne sont plus considérées comme des données personnelles et sont donc exclues du champ d’application du RGPD. 🔓
Quant aux données pseudonymisées, elles conservent leurs caractères de données personnelles car il est possible de les relier à une personne grâce à un tableau de correspondance qui rétablit les liens entre les pseudonymes et les identifiants. C’est toutefois une mesure de protection très efficace, car, sans la table de correspondance, aucune identification n’est possible.
L’anonymisation des données personnelles est un processus par lequel les informations qui peuvent être utilisées pour identifier une personne sont supprimées ou altérées de manière à ce qu’il ne soit plus possible de les associer à une personne spécifique, directement ou indirectement. L’anonymisation vise à rendre les données totalement non identifiables et, par conséquent, elles sortent du champ d’application du RGPD. Cela signifie que les principes et les obligations du RGPD ne s’appliquent plus à ces données, car elles ne peuvent plus être utilisées pour identifier les individus concernés. 📖
🔔 Il convient toutefois de noter que l’anonymisation des données n’est pas une tâche facile et nécessite des mesures techniques et organisationnelles appropriées pour s’assurer que les données ne puissent pas être ré-identifiées.
Par exemple, pour les résultats de tests sanguins, il serait nécessaire de supprimer toutes les informations d’identification directes, telles que les noms, les numéros de sécurité sociale, les adresses, etc. Cependant, ce n’est pas suffisant pour garantir une anonymisation adéquate. En effet, l’age, le sexe, la date de naissance ou des informations géographiques peuvent permettre de retrouver une personne avec des informations externes.
📢 L’anonymisation doit être réalisée de manière irréversible, de sorte qu’il n’y ait aucune possibilité de restaurer les informations d’identification.
🔐 En revanche, la pseudonymisation est un processus de traitement des données personnelles qui utilise un tableau de correspondance, qui enregistre la relation entre les identifiants directs et les pseudonymes. Ce tableau est stocké de manière sécurisée. Il peut rester dans les mains de l’hôpital par exemple et peut être utilisé pour rétablir les liens entre les pseudonymes et les identifiants directs lorsque cela est nécessaire, par exemple, dans le cadre de la recherche médicale ou du suivi des patients.
Contrairement à l’anonymisation, la pseudonymisation ne supprime pas complètement la possibilité d’identification des individus, mais rend cette identification plus difficile sans l’utilisation d’informations supplémentaires comme le tableau de correspondance. 🚀
La pseudonymisation est souvent utilisée comme une mesure de sécurité pour protéger les données personnelles. Elle permet de réduire les risques associés au traitement des données en limitant l’accès aux identifiants directs et en assurant la confidentialité des informations sensibles.
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.