Prêts pour le RGPD ?

19 avril 2018

Comme le rappelle la commission vie privée sur son site internet, nous entrons dans la dernière ligne droite, puisqu’il ne vous reste moins de 50 jours pour vous conformer au Règlement Général sur la Protection des Données (RGPD). Alors, prêts pour le General Data Protection Regulation (GDPR), comme on dit dans la langue de Shakespeare ?

© © Belga Image

Plus que quelques semaines avant le jour J, car la date fatidique du 25 mai 2018 avance à grands pas ! Sans forcément nier l’utilité d’un dernier sprint, il pourrait être préférable, en particulier pour le personnel médical et infirmier des hôpitaux, de marquer un temps d’arrêt pour se resituer par rapport à l’esprit et à la lettre de la législation européenne sur le respect de la vie privée.

Rappelons au passage que le 25 mai ne marque pas l’entrée en vigueur de ce nouveau règlement accueilli tantôt avec appréhension, tantôt avec enthousiasme, puisqu’il s’applique en réalité depuis sa publication en 2016 : c’est simplement la fin du délai octroyé aux entreprises et organisations pour s’y conformer dans la pratique. Deux ans de préparation, c’est large. Peuton en conclure que tout le monde est désormais fin prêt ?

Sans cesse, sur le métier…

Bien du travail a déjà été abattu, en particulier dans le monde de la santé et notamment des hôpitaux. Il faut dire que les données qui touchent à la santé relèvent des « catégories particulières » de données à caractère personnel et que leur traitement n’est autorisé que moyennant le respect de conditions très strictes (jetez un coup d’œil sur l’article 9 et notamment sur son paragraphe 3, qui concerne le secret professionnel). Même dans ce cas, rappelons en outre que la notion de « traitement » recouvre un éventail d’actions très large (voir cadre).

De gros efforts ont été consentis au cours des derniers mois pour mettre le fonctionnement des hôpitaux en conformité avec la lettre de la loi, notamment en ce qui concerne les registres de données, le consentement des intéressés et une série d’autres exigences. Les services informatiques, administratifs, juridiques et du personnel ont travaillé d’arrache-pied, parfois en collaboration avec des experts externes… mais le dossier RGPD ne s’arrête pas là !

Même après deux ans, tous les aspects de la loi ne sont en effet pas encore complètement cristallisés dans la pratique, et il serait donc utopique d’espérer la respecter parfaitement. On ne peut qu’espérer que les intéressés ont fait preuve de prudence et opté pour une interprétation plutôt trop stricte que trop laxiste de la législation, histoire de ne pas avoir de mauvaises surprises. La moindre erreur peut en effet être lourde de conséquences en termes de réputation, en particulier pour un hôpital… et gageons que personne n’a envie de se retrouver à la une des journaux parce que des données médicales ont filtré par le biais d’un conjoint ou d’un vieil ordinateur, pour ne citer que ces deux exemples.

En tout état de cause, on n’en aura jamais vraiment « fini » avec le RGPD : le 25 mai, ce n’est pas la ligne d’arrivée, mais le début d’un processus continu pour entretenir la conformité dans la durée ! Des nouvelles technologies (avec une connectivité croissante) aux nouveaux processus en passant par les nouveaux modes de communication et les nouveaux collaborateurs, tout et tout le monde va en effet devoir être systématiquement jaugé et/ou informé en fonction des exigences du RGPD. Au-delà des préparatifs des deux dernières années, il faut donc aussi plancher sur des processus qui garantiront le respect durable du RGPD dans le futur.

Veillez à ce que le RGPD soit intégré aussi étroitement que possible à la pratique quotidienne (« par définition » ou « par défaut ») de manière à ce qu’il soit incontournable sans être ressenti comme un boulet. C’est important pour le personnel mais aussi pour les patients, qui doivent eux aussi apprendre à gérer leurs données médicales. Des mesures de sensibilisation pour améliorer la prise de conscience autour du RGPD restent donc indispensables à l’échelon tant interne qu’externe. Considérez que ces campagnes devraient avoir la même importance que celles qui visent à encourager tout un chacun (y compris les visiteurs, etc.) à respecter les règles en matière d’hygiène/de désinfection des mains : le respect du RGPD est tout aussi fondamental.

L’esprit de la loi

S’il est impossible de se tenir à 100 % à la lettre de la loi (malgré l’avance du monde de la santé et des hôpitaux sur les autres entreprises), il est probablement opportun de s’arrêter un instant sur son esprit. En un mot, le RGPD vise à protéger les données à caractère personnel en général et les données de santé en particulier contre toute forme d’abus et d’utilisation inappropriée, à l’intérieur et à l’extérieur des entreprises et organisations, dans tout fichier ou autre forme de stockage structuré sous format électronique ou papier.

Il pourrait donc être judicieux d’inviter tous les acteurs concernés – médecins, personnel soignant et de soutien, tous les services de support possibles et imaginables, etc. – à regarder autour d’eux en se demandant où ils sont confrontés à des données à caractère personnel et dans quelle mesure ils les traitent avec prudence ou au contraire avec une certaine nonchalance. Quand et où « déposent-ils » ces données pour permettre à des tiers de les consulter ? Comment ceci s’intègre-t-il au fonctionnement journalier ?

L’exercice a sans doute déjà été fait depuis longtemps (et peut-être même à plusieurs reprises), mais il est malgré tout à conseiller de se poser encore une fois la question à l’échéance du 25 mai. Demandez à tout le monde de jeter (littéralement) un coup d’œil sur ce qui l’entoure : où y a-t-il encore de l’information qui traîne (p.ex. sur papier) ? Arrive-t-il qu’un écran reste allumé sans surveillance ? Comment circule l’information entre les médecins traitants et le personnel soignant ? Et celle qui est destinée aux patients ? Des conseils sont-ils formulés pour une gestion prudente de cette information ?

En Belgique, nous disposons heureusement déjà de systèmes efficaces pour l’échange d’informations sécurisé entre acteurs des soins, que ce soit au sein des hôpitaux, entre établissements ou avec des tiers extérieurs. Reste à savoir comment cette information est ensuite gérée à son « terminus » et à qui incombent quelles responsabilités. Pour les médecins et le personnel des hôpitaux, cela ne pose aucun problème : en tant que « contrôleur » des données, c’est l’établissement qui est responsable. Mais quid d’autre formes de collaboration entre, par exemple, des médecins et un hôpital ? Tout le monde sait-il exactement qui est responsable de quoi et dans quelles circonstances dans les accords qui ont été passés ? Si un médecin échange des informations avec son cabinet privé, par exemple, dans quelle mesure les données à caractère personnel y sont-elles protégées (et les responsabilités clairement établies) ? Et s’il travaille dans un cabinet de groupe ? Et s’il fait appel aux services de tiers, p.ex. pour la gestion des rendez-vous/de l’agenda en ligne, ces contrats ont-ils bien été examinés en fonction du RGPD ? Il n’est en effet pas rare que les patients y introduisent déjà des informations à caractère médical. Dans quelle mesure ces outils sont-ils attentifs à la confidentialité des données/au RGPD, et cela figure-t-il explicitement dans le contrat ? Les services de stockage d’images médicales aussi méritent une grande vigilance, car il arrive fréquemment que la réalisation de l’examen, le stockage des résultats et leur consultation se déroulent à des endroits différents et fassent intervenir des acteurs distincts.

Il est certes peu probable que les acteurs du secteur médical utilisent une appli comme Grindr, mais celle-ci n’en reste as moins l’exemple-type d’une utilisation extrêmement négligente de données personnelles sensibles (pour rappel, Grindr a communiqué à des tiers des informations concertant le statut VIH de ses utilisateurs ! ).

Les personnes en bout de chaîne accordent-elles une attention suffisante à la sécurité dans l’échange de données ? Pas question, évidemment, de transmettre de l’information médicale par le biais d’un simple e-mail ! Il importe toutefois aussi de rappeler aux patients eux-mêmes de faire preuve de prudence (ne pas laisser traîner leurs données médicales ou les communiquer à n’importe qui, etc.).

Regardez autour de vous

Bref, bien des efforts louables ont certainement déjà été consentis dans le cadre du RGPD, dont on ne peut qu’espérer qu’il n’a pas été perçu comme une énième obligation dont on s’acquitte en traînant les pieds. Les données à caractère personnel, et en particulier les données médicales qui circulent dans les hôpitaux, méritent les plus grands efforts de protection. Le respect de la vie privée est un droit, y compris dans toutes les facettes du fonctionnement quotidien des hôpitaux… et ce même lorsque ce n’est pas évident et que l’on a parfois l’impression de s’être engagé dans une histoire sans fin.

Fins prêts pour le 25 mai ? Probablement pas. Encouragez donc tous les intervenants concernés à regarder autour d’eux en gardant en tête l’esprit de la loi, et ce aussi bien à l’hôpital que dans les cabinets privés ou de groupe et chez les tiers… et après la date-butoir, poursuivez vos efforts pour garantir à chacun le respect de la vie privée auquel il a droit !

Vous ne savez pas très bien à quoi faire attention dans votre tour d’horizon ? Jetez un coup d’œil sur ces deux publications très accessibles de la commission vie privée www.privacycommission.be/fr - cliquer sur le titre

Guy Kindermans

Le « traitement » des données, une notion très large

À toutes fins utiles, revenons brièvement sur la définition qu’en donne le RGPD. Tenezen compte !

L’article 4 du RGPD définit le traitement des données comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Soyez conscient que, en tant que « responsable du traitement » (« controller »), vous en êtes responsable et devez être en mesure de vous justifier. C’est également à vous de vous assurer que le « sous-traitant » (« processor ») s’en tient à l’esprit et à la lettre de la loi.