Le RGPD pour tous !

L’acronyme RGDP désigne le Règlement Européen sur les données à caractère personnel entré en application le 25 mai 2018. Dans cet article, je réponds à 5 questions très pratiques sur le sujet.

  1. Les branches des secteurs sanitaires, médico-sociaux, retraites et services à la personne sont-elles concernées ?

OUI, dans les structures, vous possédez tous :

  • des données personnelles directes (nom/prénom) ou indirectes (numéro de sécurité sociale, d’affiliation) ;
  • un moyen d’identification : adresse, numéro de téléphone, âge, etc.

Aussi, tous les secteurs sont à la mise en conformité depuis le 25 mai 2018.

Pas de panique, aucune sanction ne devrait être prise avant 2019 !

  1. L’accompagnement est-il indispensable pour être en conformité ?

Non, même si certains vous proposent des offres spécifiques en gage d’une mise en conformité « indispensable ». En réalité, tous dépend de vos moyens (humains et financieurs) et de vos priorités !

Pour vous aider, répondez à cette question : respectiez-vous la loi Informatique et Liberté avant l’apparition du RGDP ?

Oui -> la mise en conformité peut prendre moins d’une semaine

Non -> prévoir un processus discontinu de 3 à 6 mois (mise en place de groupe de travail spécifique)

Toutes les ressources nécessaires sont disponibles sur le site de la CNIL.

  1. Les données papier doivent-elles respecter le RGDP ?

OUI, le règlement concerne les données informatisées et papiers !

La logique est simple : imaginons que vous avez installé une porte blindée chez vous, vous ne laissez pas la porte ouverte ?  Si les données informatiques sont protégées, mais que les dossiers papier (archives) ne sont pas sous clés alors vous ne respectez pas la réglementation.

Aussi, les données collectées doivent être inscrites dans un registre d’activité même si elles ne sont pas traitées.

  1. Le RGDP concerne-t-il que les données récoltées ?

NON, le règlement est plus large que cela, il comprend trois piliers :

  • La limitation des collectes au strict nécessaire
  • L’obtention et conservation des consentements des utilisateurs,
  • La sécurisation des données récoltées.
  1. Le Délégué à la Protection des Données (DPO) est-il obligatoire ? Tous les salariés peuvent-ils être désignés DPO ?

Le DPO est obligatoire pour les autorités, organismes publics, organisme ayant un suivi régulier et systématisé et les activités autour de données sensibles. Autrement dit, la désignation du DPO est valable dans 95 % des structures des branches sanitaires, médico-sociales, retraite et service à la personne.

Ce qu’il faut retenir :

  • La désignation est interne ou externe à la structure « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen)
  • La mission s’exerce à temps plein ou partiel, mais attention aux conflits d’intérêts entre le DPO et les fonctions au sein de l’organigramme lorsque les finalités et moyens sont dans les mains de la même personne
  • Les missions du DPO sont d’informer et de conseiller, de contrôler le respect du règlement, de conseiller l’organisme, de coopérer avec l’autorité de contrôle.
Conclusion

À ma connaissance, les secteurs précités ne déplorent pas de scandale concernant des fuites de données. Aussi, je vous propose de voir dans cet effort de mise en conformité plusieurs points positifs :

  1. Une occasion inespérée de valoriser vos activités, car vos patients, usagers ou clients peuvent vous faire confiance à 200 %
  2. Une possibilité de vous réinterroger sur la pertinence des données collectées (durée de conservation ? Finalités avec votre activité ?)
  3. Une opportunité de faire le tri dans les documents papier que vous conservez depuis 10 ans, mais qui sont obsolètes et prennent beaucoup de place

Et vous, où en êtes-vous ? Laissez vos témoignages, remarques et questions.

Nous sommes ici pour échanger !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *