logo

LES DIX COMMANDEMENTS EUROPÉENS : Règlement sur la protection des données personnelles

Le règlement renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. En contrepartie, il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié. Quel est l’impact sur les données de santé ? Résumé en 10 points.

  1. Unification du régime juridique relatif aux données personnelles

Le règlement remplace la directive 95/46/CE. D’effet direct, il n’aura pas besoin d’être transposé en droit français mais nécessitera une adaptation de la loi française (la loi Informatique et Libertés). Le même texte s’appliquera donc dans toute l’Union Européenne. Le règlement sera applicable à partir du 25 mai 2018. Les traitements déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec le règlement.

  1. Le règlement s’applique dès lors qu’un résident européen est concerné

Le règlement s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par internet, et par conséquent s’appliquera aux entreprises responsables de traitement établies hors de l’Union Européenne. Cette disposition vise clairement à contraindre, notamment, les géants américains à se conformer à la législation européenne.

  1. Une définition commune des données de santé et une nouveauté : la définition des données génétiques

Une définition commune au droit européen est posée par le règlement, qui procède d’une conception élargie de la donnée de santé. Ce sont les « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Est visée « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro« .

Il définit également pour la première fois les données génétiques « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé » et les donnée biométriques, « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique« . 

  1. L’allègement des procédures et des formalités

Le règlement repose sur un conception de responsabilisation des entreprises (dite accountability), et une logique de conformité : le principe est que les formalités sont allégées : suppression des déclarations, autorisations, au profit d’un registre des traitements tenus par les acteurs concernés, sauf en cas de risque accru pour la vie privée des individus.

Pour les données sensibles, par exemple pour les données de santé, un régime d’autorisation pourra être maintenu par le droit national. La CNIL a lancé une procédure de consultation des professionnels pour élaborer des règles d’application cohérentes et pratiques, dans le cadre d’un groupe de travail dédié au sein du G29 (groupe des autorités de protection des données européennes).

  1. Protection de la vie privée

Le règlement met l’accent sur l’importance de prendre en considération, dès la conception d’un projet impliquant des données personnelles, la protection de la vie privée (privacy by design).

Pour les traitements présentant des risques importants pour la vie privée, les opérateurs devront obligatoirement, avant leur mise en œuvre, effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (pour une liste de traitements qui doit être publiée par l’autorité de contrôle). Cette analyse devra être documentée.

  1. Renforcement de la protection du droit des personnes (consentement et transparence)

S’agissant des données sensibles, le règlement reprend le principe d’interdiction de traitement et l’assortit de plusieurs exceptions (consentement explicite de la personne, traitement pour motifs d’intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail, etc.).

Il instaure le droit à l’oubli, le « droit à la portabilité des données« , le droit d’être informé en cas de piratage des données et le droit d’être informé « de façon compréhensible et aisément accessible » sur l’utilisation de ces données. Il précise les modalités du « consentement clair et explicite » des personnes pour le traitement des données à caractère personnel, limite le recours au profilage et prévoit une protection spéciale pour les mineurs.

  1. Des sanctions dissuasives

Le règlement prévoit une mise en œuvre plus stricte et des amendes administratives par les autorités de contrôle, pouvant aller jusqu’à 20.000.000 € voire pour les entreprises, jusqu’à 4% de leur chiffre d’affaires mondial total, dans le but de décourager la violation des règles.

Chaque Etat membre peut définir les règles dans lesquelles des amendes administratives peuvent également être imposées à des autorités ou organismes publics établis sur son territoire. 

  1. Responsables de traitement et sous-traitants de données personnelles

Le responsable de traitement doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes.

Le contrat de sous-traitance devra contenir un certain nombre de dispositions impératives et les obligations des sous-traitants devront être reportées sur leurs propres sous-traitants.

  1. Autorité de contrôle commune

Une seule autorité pourra être saisie pour les traitements qui ont vocation à être mis en œuvre dans plusieurs états membres (One-stop shop).

  1. Un délégué à la protection des données

La nomination de délégués à la protection des données personnelles (DPO) est obligatoire notamment dans les organismes publics. Dans le secteur de la santé beaucoup d’organismes seront impactés (hôpitaux, etc.).

Il en sera de même lorsque l’activité du responsable de traitement ou du sous-traitant « exige un suivi régulier et systématique à grande échelle des personnes concernées » ; ou encore lorsque l’activité du responsable de traitement ou du sous-traitant consiste en un « traitement à grande échelle » (big data) de données particulières telles que des données de santé.

Cécile Vernudachi

JCCV Avocats

Bouton retour

2 found this helpful