_edited.png)
LE DPO & LA PROTECTION DES DONNÉES DE SANTÉ
Les données de santé : des données à caractère personnel bien particulières
Les données de santé sont des données à caractère personnel bien particulières car considérées comme sensibles. Ainsi, elles font l'objet d'une protection renforcée afin de garantir le respect de la vie privée des personnes concernées. Fréquence cardiaque, groupe sanguin, données génétiques, etc. : ces données font l’objet d’une protection renforcée par les textes de lois, afin de garantir la vie privée des personnes.
Il est important de savoir que les données de santé sont les données les plus convoitées par les cyber criminels qui les revendent à prix d’or ! En effet, ces données personnelles sont parmi les plus chères du marché dans la mesure où elles permettent de mener à bien d'autres attaques de types usurpation d’identité, arnaques à l’assurance maladie, remboursement de santé frauduleux, etc.
Ainsi, le prix d’un dossier médical dérobé peut atteindre les 350$ sur le darknet.
Hôpitaux, Ehpad, solutions connectées de santé : quels enjeux ?
Les établissements de santé ou les professionnels développant des produits connectés de santé et réalisant des traitements de données sont les responsables de la sécurité de ces données.
En cas de manquement à ces obligations, les conséquences sont nombreuses :
-
des conséquences juridiques, car les responsables de traitements ont l'obligation de tout mettre en oeuvre pour garantir la sécurité, la confidentialité, l'intégrité et la disponibilité des données personnelles traitées. Lorsque cette sécurité n'est pas assurée, le responsable de traitement doit ainsi rendre des comptes.
-
des conséquences financières, car très régulièrement lorsque ces établissements de santé se trouvent attaqués, les attaquants demandent une rançon en échange de la non-divulgation des données volées.
-
des conséquences humaines, car la vie privée de vos patients, clients et utilisateurs est fortement impactée lors d'une violation de données de santé.
-
et des conséquences réputationnelles également, lorsque le message circule et que les personnes concernées prennent conscience du risque et du danger auquel elles sont ainsi exposées.
De plus, certaines données de santé, lorsqu’elles perdent en confidentialité, peuvent amener une très forte stigmatisation de la part des entourages professionnel et / ou personnel, l’impact sur la vie personnel est alors très grand (c'est le cas de certaines maladies ou infection).
La conformité réglementaire au RGPD et ainsi la protection des données de personnelles sont donc des éléments d’autant plus encadrés pour les établissements de santé ou solutions connectées de santé. De ce fait, la désignation officielle d’un DPO auprès de la CNIL est un impératif pour ces établissements et entreprises.
Les traitements de données de santé à des fins de recherche : un cas à part.
Le domaine de la recherche en santé est le dernier domaine pour lequel il est nécessaire de se voir accorder une autorisation par la CNIL pour réaliser les traitements de données personnelles.
En effet, à l'exception des études dites "internes", tous les projets de recherche dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l'objet d'une autorisation préalable de la CNIL.
Afin de faciliter ces projets de recherche, la CNIL a élaboré 6 méthodologies de référence applicables en fonction des typologies d'études : lorsque l'une de ces méthodologies de référence est applicable aucune autorisation préalable de la CNIL n'est nécessaire.
Votre conformité grâce à l’accompagnement d’un DPO experimenté en protection des données de santé
David Rozier, co-fondateur de CyberSecura et expert RGPD, dispose d’une solide expérience en tant que DPO du CHU Grenoble-La Tronche, et de d’autres établissements hospitaliers et de santé. David est responsable de la branche d’activité de conformité au RGPD chez CyberSecura.
Grâce à l’aide de deux collaboratrices juristes, nous accompagnons déjà des établissements de santé (services de prévention et santé au travail, entreprises privées ou associations impliquées dans le domaine du soin à la personne et du handicap, etc.) dans leur conformité au RGPD.
ILS TÉMOIGNENT
Découvrez les témoignages de quelques uns de nos clients (tous dans le domaine de la santé) quant à notre prestation de DPO externalisé en temps partagé.
Frédérique Guede, Responsable organisation opérationnelle chez PST38
"Je ne suis pas sûre que l'offre qui est faite existe chez d'autres prestataires [...]. C'est une prise en main complète que je n'ai pas trouvée ailleurs [...]. Monsieur Rozier sait nous mettre en confiance, nous écouter pour comprendre notre problématique, la façon dont nous travaillons, quelle est la spécificité de notre service, de façon à nous répondre au mieux, et de manière à nous permettre de continuer à travailler efficacement."
Jean-Christian Borel, Directeur Recherche et Développement chez AGIR à Dom.
"Nous avons particulièrement apprécié l'expertise de CyberSecura, cette capacité de vulgarisation, la disponibilité, mais également la proximité humaine. David Rozier a assez vite compris notre besoin, et la relation a été très simple dès le départ."
Khalide Seddik, Responsable des Opérations Cliniques chez NH TherAguix.
"Cette prestation est une vraie prise en charge globale du volet RGPD [et] lorsque nous avons une question ou une difficulté nous savons que nous pouvons solliciter vos équipes."
Découvrez plus de détails sur notre prestation de DPO externalisé en temps partagé
-
What are the main issues in health data protection?The main issues in terms of health data protection are : A regulatory issue with possible legal sanctions in case of personal data breach. A financial issue with fines from the CNIL. A reputational issue, when word of mouth spreads about poor data protection or when the CNIL issues a public sanction.
-
Do health care institutions have to appoint a DPO?Yes, all organisations, public or private, processing sensitive data (e.g. health data) or processing personal data on a massive scale are required to appoint a DPO to the CNIL.
-
What particular expertise/skills does a DPO need to have to work in the health field?As in any field, support linked to the data used is all the more relevant if the tasks carried out thanks to these data are known and understood. It is important to have a good knowledge and understanding of the field in order to be relevant during the support.