Parmi les données personnelles, il existe des données dites sensibles. Il s’agit des données de religion, d’orientation sexuelle mais aussi des données de santé.
Par données de santé, on entend des données relatives à la santé physique ou mentale. Il peut s’agir d’informations relatives à une personne physique collectées lors d’une inscription, d’informations obtenues lors d’un test ou un examen d’une partie du corps ou enfin d’informations concernant une maladie.
Ceci englobe certaines données de mesure à partir desquelles il est possible de déduire l’état de santé d’une personne. C’est très courant dans les modèles innovants actuels.
Plateforme de mise en relation et prise de rendez-vous entre médecin et patients. Doctolib va de plus en plus loin en permettant de transmettre et stocker des documents de type ordonnance ou résultats d’analyses. La plateforme traite des données personnelles des patients comme le nom, l’adresse email et des données de santé via les spécialités des médecins visités, les ordonnances de médicaments…
Permet de piloter la distribution d’insuline pour les patients diabétiques. C’est une véritable révolution pour les patients atteints de diabète. Le taux de sucre dans le sang est mesuré en permanence et l’application diabeloop définit la quantité d’insuline à délivrer. L’application s’appuie sur un modèle de prédiction qui est enrichi par une base de données patient de grande taille. Les données personnelles sont au cœur de l’activité de Diabeloop.
Les données de santé doivent être stockées en France et sur un serveur HDS. C’est un principe qui est décrit au-delà du RGPD, dans la loi informatique et liberté. En effet, le RGPD permet quelques spécificités locales notamment dans la santé.
Il est donc clé de maîtriser ses outils stockant les données personnelles de santé pour s’assurer qu’ils sont bien sur des serveurs d’hébergeur de données de santé (HDS).
Il est également clé de maîtriser ses prestataires. En effet, notamment sur vos sites web, outils digitaux, des prestataires techniques comme l’authentification, les formulaires… exercent un traitement sur des données personnelles de vos utilisateurs.
Il est donc important de réaliser la liste et de vérifier que les données personnelles sont bien stockées en France sur des serveurs HDS. C’est l’un des éléments clés réalisé lors d’une mise en conformité RGPD.
A l’exception des hôpitaux ou des instituts de recherche, pour pouvoir traiter une donnée de santé d’une personne, son consentement doit être recueilli. Cela peut prendre la forme d’une case à cocher ou d’un document à signer par exemple.
Traiter une donnée personnelle n’est pas uniquement le fait de stocker une donnée. Un simple transfert d’information par vos outils, sans stockage, est reconnu comme un traitement de données personnelles.
Dans le cadre de la recherche médicale, il existe un cadre légal qui peut varier en fonction de plusieurs critères. Notamment s’il s’agit de recherche “interne” ou “multicentrique”. Cette dernière nécessite davantage de démarches puisque les données personnelles des patients vont être exposées à davantage d’acteurs. Il faudra, dans ce cas, réaliser une demande d’autorisation “recherche” (www.entreprendre.service-public.fr/vosdroits/R18457) ou réaliser un engagement de conformité à la MR-001, MR-002 ou MR-003 en fonction des cas.
La CNIL a réalisé un guide sur le sujet : Recherche médicale : quel est le cadre légal ? | CNIL
Un protocole de recherche doit être établi pour faire de la recherche médicale. Ce document comporte notamment les accords entre les différentes parties. Ces accords définissent les responsabilités de chacun. Des clauses RGPD doivent être rédigées pour bien définir ce qu’il advient de chacunes des données personnelles traitées lors de l’étude. Cela définit également les responsabilités de chaque acteur quant à ces données et potentiellement les niveaux de sécurité à mettre en place pour les sécuriser.
La santé est le domaine où les contrôles sont les plus fréquents. Les sanctions y sont également les plus sévères et coûteuses. C’est en effet un domaine où les déviances peuvent engendrer des discriminations importantes, avoir un impact négatif très fort en cas de fuite de données ou d’exploitation détournée des données.
Par exemple, DEDALUS BIOLOGIE a été condamné à 1,5 m€ d’amende suite à une fuite de données.
La conformité RGPD est à présent un élément essentiel du fonctionnement des hôpitaux. Lors de l’étude d’un partenaire potentiel, les hôpitaux vont devoir s’assurer que celui-ci est conforme au RGPD. C’est une obligation de l’hôpital pour qu’il soit lui-même en conformité RGPD. Surtout si vous êtes amené à traiter des données patients ou des données des employés de l’hôpital.
Si vous êtes amené à traiter des données personnelles pour le compte d’un hôpital ou un autre organisme alors vous êtes “sous-traitant” au sens du RGPD.
Cela implique quelques responsabilités:
Votre produit digital traite des données personnelles dans le cadre de l’exercice de votre service (exemple : livraison de médicament, transport de patients, prises de rdv…). Vous devez vérifier dès le design du produit ou à minima lors de votre mise en conformité RGPD, la conformité du produit digital.
C’est-à-dire,
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.