Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?

1,218 views

Published on

Atelier N°3
Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?
par Erik BOUCHER de CREVECOEUR, CNIL et Florence EON, ASIP Santé

Published in: Health & Medicine
  • Be the first to comment

  • Be the first to like this

HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des données à caractère personnel : quels enjeux en 2017 ?

  1. 1. Règlement européen sur la protection des données personnelles: quels enjeux? Atelier animé par Erik BOUCHER de CREVECOEUR, CNIL et Florence EON, ASIP Santé
  2. 2. 2 Sommaire 1. Présentation des apports du RGPD 2. Présentation de l’étude d’impact sur la vie privée
  3. 3. La CNIL  Régulateur des données personnelles depuis 1978  Autorité administrative indépendante  Membre du Groupe des CNIL européennes (« G29 ») 3
  4. 4. L’ASIP Santé 4 Mener une action de régulation et d’urbanisation favorisant le développement maîtrisé de la e-santé Promouvoir la santé numérique en conduisant des projets numériques d’intérêt national Favoriser les usages et permettre aux acteurs de santé de bénéficier des mutations numériques L’ASIP Santé est l’agence française de la santé numérique. Créée en 2009, elle compte 130 collaborateurs et pilote un large portefeuille de projets organisés autour de trois missions complémentaires :
  5. 5. Télémédecine Dispositifs médicaux Pharmacies en ligne Open data en santé Procédures de certification mHealth … Le cadre juridique de la e-santé: un cadre juridique à multiples facettes 5 Règles constituant le régime de droit commun Règles issues des textes relatifs à la protection des données personnelles Textes spécifiques Protection des données à caractère personnel Loi Informatique et Libertés / RGPD Secret professionnel, droit au respect de la vie privée, échange et partage, équipe de soins HDS, INS etc.
  6. 6. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD) • Directive 95/46, concerne les traitements de données à caractère personnel • Transposée en France en 2004 dans la loi Informatique et Libertés du 6 janvier 1978 Avant le règlement UE 2016/679 du 27 avril 2016 6 • Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et Libertés • Un texte européen, commun à tous les EM et directement applicable en France (pas de transposition nécessaire) • Un texte applicable dès le 25 mai 2018 • Un texte qui concerne toutes les entreprises ainsi que le secteur public • pour tous les traitements de données à caractère personnel localisés en Europe ou concernant des citoyens européens Le règlement UE 2016/679 du 27 avril 2016
  7. 7. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGPD) Nouvelles responsabilités pesant sur le responsable de traitement (RT) Directive 95/46 et LIL Formalités préalables A réaliser auprès de la CNIL (avant mise en œuvre du traitement) Désignation facultative d’un CIL Responsable de traitement A identifier / lié par contrat au sous-traitant 5 principes • finalité du traitement • pertinence et proportionnalité des données • durée de conservation limitée des données • sécurité et confidentialité des données • respect des droits des personnes RGPD Accountability mesures de protection des données appropriés pour démontrer leur conformité à tout moment Privacy by design/ Privacy by default garantir que les traitements de données ne portent pas atteinte à la vie privée dès la conception Privacy Impact Assessment Obligation, pour les RT d'effectuer une analyse d'impact relative à la protection des données préalablement aux traitements présentant des risques. Data Protection Officer Rendu obligatoire dans certains cas 7
  8. 8. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP) 8 Nouvelles responsabilités pesant sur le sous-traitant (ST) Notion de « responsables conjoints du traitement » Accord répartissant les obligations respectives Responsabilité conjointe vis-à-vis des personnes Important pour les services Cloud Responsabilité et obligations des sous-traitants Le ST a une responsabilité propre (sanctions) Il doit désigner son propre DPO (dans certains cas) Il ne traite que sur instruction documentée du RT Il prend toutes les mesures de sécurité requises et aide le RT (mise en œuvre des mesures de sécurité, analyse d’impact) Il ne (re)sous-traite pas sans autorisation du RT et vérifie préalablement l’accountability du nouveau ST
  9. 9. Règles issues des textes relatifs à la protection des données personnelles: les apports du RUE 2016/679 (RGDP) • Renforcement des droits des personnes Nouveaux devoirs pour les RT : transparence, informations supplémentaires Nouveaux droits : droit à l’oubli, portabilité des données, limitation • Obligation générale de notification des failles de sécurité Tous les RT Dans les meilleurs délais > 72h Information des personnes concernées dans certains cas • Renforcement des pouvoirs des autorités de contrôle et des sanctions Montant graduel des amendes administratives Max 20 M ou 4% CA annuel mondial 9
  10. 10. Application au secteur de la santé Champ d’application 10 Pas d’application aux données anonymisées /aux activités exclusivement personnelles Différence entre anonymisation et pseudonymisation Sans lien avec une activité professionnelle ou commerciale Donnée de santé « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. » (Art. 4 15 et considérant 35) Principe général d’interdiction de collecte et de traitement, avec des dérogations : consentement exprès de la personne, sauvegarde vie humaine, médecine préventive, diagnostics médicaux, administration de soins, recherche, intérêt public. Données à caractère personnel Données directement identifiantes : nom et prénom, photo, e-mail nominatif, … Données indirectement identifiantes : numéro de carte bancaire… Recoupements d’informations : « le fils aîné du notaire habitant au 11 bd Raspail à Paris », …
  11. 11. Application au secteur de la santé Les formalités préalables 11 Les formalités simplifiées existantes Les autorisations uniques : AU-013 : Pharmacovigilance ; AU-037 : Messagerie sécurisée ; AU-047: Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées Les normes simplifiées NS-050: Cabinet médical et paramédical Les méthodologies de référence : MR-001 : recherches biomédicales (en cours de mise à jour) MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro MR-003 : recherches non interventionnelles Formalités à l’heure du RGPD Disparition des déclarations normales Désignation d’un DPO Analyse d’impact (PIA) Conformité à un référentiel sectoriel Notification des violations de données Les Etats membres peuvent fixer des conditions ou des restrictions supplémentaires au niveau national  En France, maintien du régime d’autorisation/avis : Santé, biométrie, génétique Numéro d’identification national (NIR) Emploi, travail Missions d’intérêt public ou d’autorité publique Archivage, Recherche => Régime relatif à l’hébergement des données de santé
  12. 12. Application au secteur de la santé Référentiels et guides sectoriel  Il existe des documents de référence concernant la sécurité des données de santé.  Corpus documentaire de la PGSSI-S  Référentiel d’agrément HDS  Référentiel de bonnes pratiques pour les applications et les objets connectés en santé  Il existe des référentiels sectoriels opposables.  Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification, traçabilité (Art. L1110-4-1 du code de la santé publique)  Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L1111-8 du code de la santé publique)  Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition des données du SNDS. (Arrêté du 22 mars 2017) 12
  13. 13. 13 Présentation de l’étude d’impact sur la vie privée
  14. 14. Privacy Impact Assessment 14 Respect des principes fondamen- taux Gestion des risques sur la vie privée PIA Privacy Impact Assessment Les principes et droits fondamentaux (finalité, information…), « non négociables », fixés par la loi, devant être respectés et ne pouvant faire l’objet d’aucune modulation La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données Le Privacy Impact Assessment (PIA) est un moyen de se mettre en conformité et de le démontrer (notion d’accountability)
  15. 15. À quoi s’applique un PIA ? 15 Produits Traitements Il s’adresse aux fournisseurs (dont les solutions seront utilisées dans de nombreux traitements) Le PIA est idéalement mené dans le cadre de la conception de leurs produits. Il s’adresse aux responsables de traitements Le PIA est idéalement mené dans le cadre de la conception de leurs traitements de données à caractère personnel.
  16. 16. PIA : démarche méthodologique Experts techniquesJuristes Contexte Description fonctionnelle Données Supports des données Etc.Principes fondamentaux Proportionnalité et nécessité Mesures protectrices des droits Risques liés à la sécurité des données Mesures existantes ou prévues Appréciation des risques Validation du PIA Évaluation (intégrée aux étapes précédentes) Plan d’action (intégré aux étapes précédentes) Décision 16 Réitérations possibles (PIA non validé, mise à jour du traitement…)
  17. 17. Étape 1 – Le contexte De quoi parle-t-on ? Le traitement de données à caractère personnel  Quelle est sa finalité ?  Quels sont ses apports ? (pour l’organisme, pour les personnes concernées, pour la société…) Le plus important : comprendre le cycle de vie des données  Quelles sont les données ?  Qui sont les destinataires ?  Qui peut y accéder ?  Quelle est leur durée de conservation ?  Quelles sont les étapes du traitement ?  Sur quoi reposent-elles ? 17 Collecte Conservation Utilisation Transfert Destruction
  18. 18. Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?  Analyse des mesures garantissant la proportionnalité et la nécessité du traitement  Finalités déterminées, explicites et légitimes  Fondement/licéité du traitement – interdiction du détournement de finalité  Données adéquates, pertinentes, non excessives (minimisation)  Donnée exactes et tenues à jour  Durées de conservation limitées 18
  19. 19. Étape 2 – Les principes fondamentaux Quel est le dispositif prévu ?  Analyse des mesures protectrices des droits des personnes des personnes concernées  Information des personnes (loyauté et transparence)  Recueil du consentement des personnes concernées  Droit d’accès et droit à la portabilité  Droit de rectification, d’effacement, de limitation et d’opposition  Sous-traitance : contractualisation  Transferts de données en dehors de l’UE  Formalités préalables applicables au traitement o Obligation de consulter l’autorité de contrôle si les risques résiduels sont élevés. 19
  20. 20. Étape 3 – Les risques Quelles sont les mesures existantes ou prévues ? 20 Sécurité des données du traitement Chiffrement Anonymisation Cloisonnement des données (par rapport au reste du système d’information) Contrôle des accès logique des utilisateur Traçabilité Sécurité des documents papier Mesures générales de sécurité Sécurité de l’exploitation Gestion des postes de travail et lutte contre les logiciels malveillants Sécurité des sites web Sauvegardes Maintenance Sécurité des canaux informatiques (réseaux) Contrôle d'accès physique Sécurité des matériels Mesures organisationnelles Politique (gestion des règles) Gestion des projets Gestion des incidents et des violations de données Gestion des personnels Relations avec les tiers
  21. 21. Étape 3 – Les risques Que peut-il arriver aux personnes concernées ?  Un risque sur la « vie privée » est un scénario décrivant un événement redouté et toutes les menaces qui le rendent possible. Il est estimé en termes de gravité et de vraisemblance 21 Supports Matériels Logiciels Réseaux Personnes Supports papier Canaux papier Données Données du traitement Données liées aux mesures Impacts potentiels Vie privée Identité humaine Droits de l’homme Libertés publiques Sources de risques Supports Données Impacts potentiels Vraisemblance Gravité Menaces Événements redoutés Risques Sources de risques Personnes externes Personnes internes Sources non humaines
  22. 22. Étape 3 – Les risques Comment les décrire ? 22  Les impacts sont ceux sur la vie privée des personnes concernées, et non ceux sur l’organisme  Les menaces sont tous les moyens que les risques se concrétisent  Les mesures sont celles qui contribuent à traiter le risque parmi celles identifiées  La gravité est essentiellement estimée en fonction des impacts potentiels  La vraisemblance est essentiellement estimée en fonction des vulnérabilités exploitables Accès illégitime à des données Modification non désirée de données Disparition de données Sources de risques Impacts potentiels Menaces Mesures Gravité Vraisemblance
  23. 23. Étape 3 – Les risques Comment les présenter ? 23 Vraisemblance Gravité 1. Négligeable 2. Limitée 3. Important 4. Maximal 1. Négligeable 2. Limité 3. Important 4. Maximal Accès illégitime aux DCP Disparition des DCP Modification non désirée des DCP Cartographie des risques Accès illégitime aux données Disparition des données Modification non désirée des données Une cartographie des risques permet de comparer visuellement les risques les uns par rapport aux autres. Elle permet également de faciliter la détermination des objectifs pour les traiter (par « zones »).
  24. 24. Étape 4 – La décision Les risques résiduels sont-ils acceptables ? 24 Dispositif choisi Enjeux Si les mesures prévues (pour respecter les principes fondamentaux et traiter les risques) sont jugées suffisantes et les risques résiduels acceptables, alors le PIA peut être validé par le responsable de traitement. Sinon, alors il convient d’identifier les objectifs pour y parvenir et de refaire une itération de la démarche.
  25. 25. Le rapport de PIA 25 Rapport de PIA Introduction ‐ Présentation des enjeux Corps du PIA ‐ Description du traitement ‐ Nécessité et proportionnalité ‐ Mesures protectrices des droits ‐ Mesures de sécurité ‐ Appréciation des risques Conclusion ‐ Plan d’action (mesures) ‐ Validation formelle du PIA Le rapport de PIA est validé et signé par le responsable de traitement. Il doit être rendu accessible ou communiqué (en cas de risques résiduels élevés) aux autorités de protection des données, en tant qu’élément d’accountability. Il est également parfois utile de publier et/ou de diffuser tout ou partie du rapport de PIA.
  26. 26. En synthèse  Le PIA permet de construire la mise en conformité d’un traitement (et de pouvoir le démontrer).  Mener un PIA est équivalent à ce qu’on fait actuellement pour certains traitements (dossiers de formalités et échanges avec la CNIL).  Il ne s’agit pas d’ajouter un nouveau processus, mais de faire converger les démarches existantes : vos processus habituels (audits I&L, registre, gestion des risques SSI, intégration de la sécurité dans les projets…) alimentent le PIA.  Il est facile et utile d’intégrer le point de vue « protection de la vie privée » et le point de vue « SSI / cybersécurité ». 26
  27. 27. Les guides PIA de la CNIL  Pour intégrer la protection de la vie privée et la cybersécurité.  Pour faire du Privacy by design 27
  28. 28. 28 www.cnil.fr CNIL @cnil

×