Le RGPD appliqué au secteur de la santé

7 pièges RGPD à éviter dans la santé

Découvrez les 7 pièges RGPD à éviter afin de garantir votre conformité au RGPD en tant qu’organisme ou professionnel de santé.

Dans un secteur très exposé où les données de santé sensibles sont constamment traitées, il est crucial d’éviter certains pièges courants afin de garantir le développement serein des services, éviter toute fuite de données et ainsi éviter la moindre sanction.

Découvrez à travers cet article 7 pièges qu’il convient d’éviter à tout prix. Décortiquons ensemble les défis qui vous attendent en tant que professionnel ou organisme de santé pour garantir la sécurité des données et la conformité au RGPD.

S’abstenir de traiter des données personnelles dans le but d'éviter la conformité au RGPD

💼 Éviter de traiter des données personnelles dans le but d’éviter la conformité au RGPD est une erreur courante lors du lancement de services dans le domaine de la santé. De nombreuses startups tentent de contourner cette contrainte en utilisant la pseudonymisation des données, en évitant les croisements et en limitant au maximum les informations demandées aux patients.

Cependant, cette approche n’est pas la bonne, car elle conduit souvent à des services incomplets complexes à faire évoluer. En réalité, même des éléments apparemment anodins, tels que l’adresse IP de l’utilisateur constituent déjà des données personnelles. Il est donc plus judicieux dès le début de vous conformer directement au RGPD et ainsi d’utiliser légalement les données personnelles. Cette démarche assure la légalité de chaque traitement de données, permettant ainsi le développement serein du service.

 

Ne pas intégrer suffisamment tôt la conformité RGPD dans sa roadmap

📋 Il est indispensable d’intégrer la conformité au RGPD dans votre feuille de route, et ce dès le départ, pour de multiples raisons :

  • Cela facilite les choix dans la réalisation de vos services et outils.
  • Améliore la conformité par le biais d’audits et d’analyses d’impact sur la protection des données (AIPD)
  • Soutien dans la recherche de vos premiers prestataires et la création de relations de confiance.

En intégrant la conformité RGPD dans votre roadmap avec de l’avance, vous produisez les documents requis et établissez la conformité dans son intégralité (processus, outils conformes, informations utilisateurs, consentements…).

Perdre des opportunités de travailler avec des hôpitaux ou autres organismes pour cause de non conformité

🔥 Une “non-conformité aux normes RGPD” peut entraîner la perte d’opportunités de travailler avec des acteurs de la santé. Les hôpitaux et organismes similaires sont extrêmement sensibles à la protection des données de leurs patients. Si un organisme ou un professionnel de santé n’est pas en conformité avec le RGPD, cela suscite des préoccupations quant à la sécurité des données personnelles.

Les partenariats de votre entreprise avec des établissements de santé peuvent être compromis si les normes de protection des données ne sont pas respectées. La perte de ces opportunités peut non seulement affecter le business, mais aussi nuire à la réputation, un élément crucial dans la santé.

Ne pas stocker les données personnelles sur un serveur HDS

👀 C’est un piège qu’il faut surtout éviter. En effet, les serveurs HDS sont obligatoires pour les entreprises et organismes de santé qui hébergent et traitent des données de santé.

Si les serveurs HDS coûtent plus chers, ils sont surtout nécessaires pour assurer la conformité RGPD, réduire les risques de fuite de données très présentes dans les organismes de santé et prouver sa conformité à ses différents partenaires.

Les serveurs HDS nécessitent une certification HDS, qui joue un rôle clé dans la garantie de la sécurité de l’hébergement des données de santé. Elle doit répondre à certaines exigences : authentification renforcée, test d’intrusion, formulaires de consentement, etc.

Les prestataires classiques, tels qu’ OVH, AWS et Google proposent des serveurs conformes à la norme HDS dans le domaine de la santé afin de stocker, traiter et transmettre les données les plus sensibles dans le Cloud.

Ne pas demander de consentement lors de la collecte des données

📚 Il s’agit d’un piège classique qui rend les données inutilisables pour la recherche médicale ou d’autres services, sauf en cas d’anonymisation stricte, complexifiant ainsi les démarches ultérieures de demande de consentement.

Les personnes (patients, participants à une recherche médicale…) dont les données de santé sont collectées (nom, numéro de sécurité sociale, antécédents médicaux, maladies, soins réalisés, résultats d’examens, traitements, handicap…) disposent de droits, dont celui d’être informées.

Le responsable de traitement doit donc prendre les mesures appropriées pour informer les personnes concernées, mais également recueillir le consentement lors de la collecte des données

Le consentement permet aux personnes concernées de :

  • comprendre les traitements qui seront faits de leurs données
  • choisir sans contrainte d’accepter ou non ces traitements
  • changer d’avis librement

Pour ce faire, les responsables du traitement doivent recueillir le consentement, avec notamment un formulaire de consentement. Découvrez l’exemple de formulaire de consentement de Dipeeo

La prudence lors de la collecte des données dans le secteur de la santé est essentielle. En évitant le piège de ne pas demander de consentement dès le départ, les organismes de santé peuvent préserver la valeur des données, favoriser la recherche, fournir des services de manière conforme et prouver leur conformité au RGPD en cas de contrôle.

Ne pas contrôler ses sous-traitants

🏢 Les entreprises de la santé font appel à de plus en plus de sous-traitants, qui vont traiter des données pour leur compte, comme par exemple l’hébergeur de données. Ils font ainsi appel à des prestataires qui interviennent dans la plupart des cas en tant que sous-traitants. Cela implique le traitement de données personnelles, ce qui comporte des risques en matière de conformité et de sécurité des données.

Vous devez prendre le temps de vérifier le niveau de conformité du prestataire, en réalisant notamment un audit. Cet audit permettra de s’assurer que le sous-traitant respecte les dispositions légales, d’être transparent, de réduire les risques de fuites de données et de renforcer la confiance.

Les responsables de traitement doivent veiller à bien préparer cet audit, et doivent s’assurer qu’il couvre tous les aspects de la protection des données.

En tant qu’organisme de santé ou professionnel de santé, vous devez conclure un contrat sous-traitant conforme aux exigences du RGPD. En effet, le RGPD prévoit que le contrat qui lie le responsable de traitement et son sous-traitant doit prévoir un certain nombre de protections et d’engagements de la part du sous-traitant. Le RGPD impose que le sous-traitant mette à la disposition du responsable du traitement les informations lui permettant de mener les vérifications nécessaires.

Ne pas nommer de DPO

🎯 Nommer un DPO, qu’il soit interne ou externe, est obligatoire si vous traitez des données de santé.

Le DPO a pour rôle de gérer l’ensemble de votre conformité RGPD et d’être l’interlocuteur des autorités et partenaires (notamment les clients, hôpitaux…) sur les sujets d’échanges de données personnelles, notamment de santé. C’est lui qui va négocier avec les DPO des hôpitaux, réputés très durs car ils veulent éviter tous les risques de fuites. Le DPO complétera donc les appels d’offres des hôpitaux (les partis RGPD) et répondra aussi aux audits clients. Il va aussi réaliser les AIPD, analyses d’impact relatives à la protection des données, très importantes pour savoir si votre service ou votre outil est conforme au RGPD.

Confiez cette mission à l’un de nos DPO externes vous permet de vous reposer sur un expert et de vous libérer de toutes les problématiques liées à la nomination d’un DPO au sein de votre organisme. Des atouts pour vous focaliser sur vos autres activités en toute sérénité. En tant que DPO externe, Dipeeo traite 100% de vos sujets RGPD : audit, plan d’actions, documentation, dashboard, accompagnement complet.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Lire la vidéo sur Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.