
LE DPO & LA PROTECTION DES DONNÉES DE SANTÉ
Les données de santé : des données à caractère personnel bien particulières
Les données de santé sont des données à caractère personnel bien particulières car considérées comme sensibles. Ainsi, elles font l'objet d'une protection renforcée afin de garantir le respect de la vie privée des personnes concernées. Fréquence cardiaque, groupe sanguin, données génétiques, etc. : ces données font l’objet d’une protection renforcée par les textes de lois, afin de garantir la vie privée des personnes.
Il est important de savoir que les données de santé sont les données les plus convoitées par les cyber criminels qui les revendent à prix d’or ! En effet, ces données personnelles sont parmi les plus chères du marché dans la mesure où elles permettent de mener à bien d'autres attaques de types usurpation d’identité, arnaques à l’assurance maladie, remboursement de santé frauduleux, etc.
Ainsi, le prix d’un dossier médical dérobé peut atteindre les 350$ sur le darknet.
Hôpitaux, Ehpad, solutions connectées de santé : quels enjeux ?
Les établissements de santé ou les professionnels développant des produits connectés de santé et réalisant des traitements de données sont les responsables de la sécurité de ces données.
En cas de manquement à ces obligations, les conséquences sont nombreuses :
-
des conséquences juridiques, car les responsables de traitements ont l'obligation de tout mettre en oeuvre pour garantir la sécurité, la confidentialité, l'intégrité et la disponibilité des données personnelles traitées. Lorsque cette sécurité n'est pas assurée, le responsable de traitement doit ainsi rendre des comptes.
-
des conséquences financières, car très régulièrement lorsque ces établissements de santé se trouvent attaqués, les attaquants demandent une rançon en échange de la non-divulgation des données volées.
-
des conséquences humaines, car la vie privée de vos patients, clients et utilisateurs est fortement impactée lors d'une violation de données de santé.
-
et des conséquences réputationnelles également, lorsque le message circule et que les personnes concernées prennent conscience du risque et du danger auquel elles sont ainsi exposées.
De plus, certaines données de santé, lorsqu’elles perdent en confidentialité, peuvent amener une très forte stigmatisation de la part des entourages professionnel et / ou personnel, l’impact sur la vie personnel est alors très grand (c'est le cas de certaines maladies ou infection).
La conformité réglementaire au RGPD et ainsi la protection des données de personnelles sont donc des éléments d’autant plus encadrés pour les établissements de santé ou solutions connectées de santé. De ce fait, la désignation officielle d’un DPO auprès de la CNIL est un impératif pour ces établissements et entreprises.
Les traitements de données de santé à des fins de recherche : un cas à part.
Le domaine de la recherche en santé est le dernier domaine pour lequel il est nécessaire de se voir accorder une autorisation par la CNIL pour réaliser les traitements de données personnelles.
En effet, à l'exception des études dites "internes", tous les projets de recherche dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l'objet d'une autorisation préalable de la CNIL.
Afin de faciliter ces projets de recherche, la CNIL a élaboré 6 méthodologies de référence applicables en fonction des typologies d'études : lorsque l'une de ces méthodologies de référence est applicable aucune autorisation préalable de la CNIL n'est nécessaire.
Votre conformité grâce à l’accompagnement d’un DPO experimenté en protection des données de santé
David Rozier, co-fondateur de CyberSecura et expert RGPD, dispose d’une solide expérience en tant que DPO du CHU Grenoble-La Tronche, et de d’autres établissements hospitaliers et de santé. David est responsable de la branche d’activité de conformité au RGPD chez CyberSecura.
Grâce à l’aide de deux collaboratrices juristes, nous accompagnons déjà des établissements de santé (services de prévention et santé au travail, entreprises privées ou associations impliquées dans le domaine du soin à la personne et du handicap, etc.) dans leur conformité au RGPD.
ILS TÉMOIGNENT
Découvrez les témoignages de quelques uns de nos clients (tous dans le domaine de la santé) quant à notre prestation de DPO externalisé en temps partagé.