Général

Qui est considéré comme le responsable du traitement ?

 La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui , seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. C'est généralement le directeur/trice du laboratoire ou de la structure auquel appartient le responsable scientifique de la recherche. C'est aussi au directeur/trice du laboratoire de désigner son DPO et de veiller à la mise en conformité de l'activité de ses chercheurs.

Qu’appelle-ton « donnée sensible », au sens de la CNIL ?

​Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Qu’est-ce que le Délégué à la Protection des Données (DPD, DPO) et quels sont ses rôles

C’est le point de contact pour toute question relative aux données à caractère personnel et sur le RGPD de manière générale. Ses missions sont :

  •  Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
  • Contrôler le respect du règlement et du droit national en matière de protection des données
  • Conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution
  • Coopérer avec l’autorité de contrôle et être le point de contact de celle-ci : la CNIL.

Je suis responsable de traitement, quelles sont mes missions et comment procéder ?

​En tant que  responsable de traitement , vous devez :

  • Fournir les informations  aux personnes concernées par les traitements
  • Faciliter  aux personnes  l'exercice de leurs droits  : accès, rectification, oubli…
  • S'assurer et démontrer  que les traitements sont  conformes au RGPD
  • Mettre en œuvre  les politiques et processus nécessaires
  • Informer  les personnes sur le traitement de leurs demandes : motivation si refus, délais d'obtention, … le tout sous 1 mois maximum
  • Mise en œuvre des mesures techniques  et organisationnelles pour la sécurité des données à caractère personnel
  • Garantir  les objectifs de la finalité tout en ayant à l'esprit les concepts de : minimisation de la quantité, durée de conservation et d'accessibilité
  • Réaliser les  analyses d'impact  si le  risque  pour les droits et libertés des personnes physiques est  élevé

Pour vous aider dans votre démarche nous vous conseillons de procédé de la sorte :

  1. Vous  identifier  auprès du DPD
  2. Fournir les éléments nécessaires à  l'enregistrement  de vos  traitements  dans le registre
  3. Vérifier avec les  experts métiers  que les données sont sécurisées
  4. Mener une  analyse d'impact  lorsque c'est nécessaire
  5. Répondre  aux demandes des  usagers

Quelles informations retrouve-t-on dans un registre de traitement ?

Le registre de traitement est un tableau regroupant les informations suivantes :
  • le  nom et les coordonnées  du  responsable du traitement  mis en œuvre
  • les  finalités  du traitement, l'objectif en vue duquel vous avez collecté ces données
  • les catégories  de personnes concernées  (patient, entreprise, employé, etc.)
  • les  catégories  de  données personnelles  (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
  • les catégories de destinataires  auxquelles les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
  • les  transferts  de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts
  • les  délais prévus pour l'effacement  des différentes catégories de données, c'est-à-dire la  durée de conservation , ou à défaut les critères permettant de la déterminer
  • dans la mesure du possible, une  description générale des mesures de sécurité  techniques et organisationnelles que vous mettez en œuvre

Qu'est-ce que le principe de responsabilité (accountability) dans le RGPD ?

Le principe d'accountability fait référence à la responsabilité du responsable de traitement visant à assurer que les principes fondamentaux relatifs au traitement des données à caractère personnel sont respectés, tout comme la capacité à pouvoir démontrer cette conformité.

Qu'est-ce que le principe de transparence (transparency) au sens du RGPD ?

La transparence est l’un des principes essentiels du RGPD. Il requiert en particulier que les personnes concernées soient informées sur, comment et par qui les données les concernant sont traitées, ainsi que sur « le droit d’obtenir la confirmation et la communication que des données à caractère personnel les concernant font l’objet d’un traitement » (considérant 39), « en prenant en compte les circonstances spécifiques et le contexte dans lesquels les données à caractère personnel sont traitées » (considérant 60).

Qu’est-ce qu’une donnée à caractère personnel ?

Toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut notamment: le nom, un numéro d’identification, une adresse email, des informations génétiques, les adresses IP, etc.

Qu'appelle-t-on un "traitement" de données ou d'informations ?

​Cela concerne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusionou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction (RGPD art. 2.1).

​Des soutraitants interviennent dans mon traitement

Les relations avec des sous-traitants manipulant (accès, stockage, manipulation) des DCP doivent être encadrées avec des contrats assurant la protection des données manipulées. Pour les contrats déjà en cours, nous vous conseillons de faire signer un engagement de conformité au RGPD. 
Pour les nouveaux contrats, il est nécessaire d'ajouter un article dans le CCAP référent à une annexe bien détaillée. Se référer à la cellule marché de votre établissement.

​​​​

AIPD

Qu'est-ce qu'une AIPD ?

L’AIPD (Analyse d'Impact relative à la Protection des Données)​ est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
L'AIPD ​ se décompose en trois parties :
Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.​

Vous pouvez télécharger ci-dessous le dernier outil AIPD

AIPD_v2.4 - vierge.xlsm

Quand est-ce qu’une analyse d’impact n’est pas obligatoire ? 

Une AIPD n'est pas nécessaire dans les cas suivants :
- quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
- lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
- quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve que les conditions suivantes soient remplies :  
1. qu’il ait une base juridique dans le droit de l’UE ou le droit de l’État membre ;
2. que ce droit règlemente cette opération de traitement ;
3. et qu’une AIPD ait déjà été menée lors de l’adoption de cette base juridique ;
quand le traitement correspond à une exception déterminée par la CNIL conformément à l’article 35(5). La CNIL adoptera prochainement la liste de ces exceptions, après consultation du CEPD (Comité europé​en de protection des données).


Quand est-ce qu’une analyse d’impact est obligatoire ?

Une AIPD doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Exemple : une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements ; ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation), donc la réalisation d’une AIPD sera nécessaire.​

À quel moment faut-il mener une analyse d‘impact ?

L'AIPD doit être menée avant la mise en œuvre du traitement. Il doit être démarré le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.
Il est également nécessaire de revoir une AIPD de manière régulière pour s’assurer que le niveau de risque reste acceptable tout au long de la vie du traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.​​​

Qui intervient dans la réalisation d’une analyse d’impact ?

Le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.
S’il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l’exécution de l'AIPD.
Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD.
Le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel), ou le justifier sinon.
Idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.​

Quel est le montant des sanctions prévues par le règlement en cas de manquements aux dispositions relatives aux analyses d’impact ?

Le montant des amendes peut s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (art. 83(4)(a)).

Comment fait-on une analyse d'impact, existe-t-il une méthode pour faire une analyse d’impact?

Un AIPD contient à minima :
une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
une évaluation des risques sur les droits et libertés des personnes concernées et ;
les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.
Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci devrait respecter les critères définis dans l’annexe 2 des lignes directrices du G29.
Les guides AIPD de la CNIL décrivent la méthode suivante :
1 délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
2 analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
3 apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
4 formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.
Faut-il publier l’analyse d’impact ?
Il n’y a aucune obligation de publication. Toutefois, l'AIPD peut aboutir à la production d’un rapport ou d’un résumé, pouvant être partagé, publié, communiqué. Cette bonne pratique contribue à améliorer la confiance entre les parties prenantes.​

Recherche clinique

Je mène une recherche clinique au sein de mon établissement, quelles sont mes démarches ?

La présentation ci-dessous vous indique les démarches à suivre
Arbre décisonnel Conformité Recherche.pptx
L'outil pour réaliser la demande :
questionnaireMR-00X_v5_vierge.xlsm


Demandes et incidents​​​​


Quels sont les droits des patients ?​

Les demandes des patients doivent être documentée et traitées. Actuellement, vous devez répondre dans les meilleurs délais à une demande de droit d’accès, dans un délai maximum d’un mois (article 12.3). Cependant, une possibilité de prolonger de deux mois ce délai est prévue, « compte tenu de la complexité et du nombre de demandes », à condition d’en informer la personne concernée dans le délai d’un mois suivant la réception de la demande

En ce qui concerne l’accès aux données de santé, les délais sont différents. La communication des données de santé (exemple : dossier médical) doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne –  dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du code de la santé publique).​


En cas d'incident / violation des données à caractère personnel​

Les incidents et violations de données doivent être répertoriées dans un tableau de suivi. 
Dans tous les cas en informer le DPD​


Collecte de données

Quelles obligations sont à respecter afin de fournir l'information aux personnes concernées ?

Différentes obligations sont impliquées selon la situation : si les données sont collectées auprès de la personne concernée (article 13) ; si les données sont collectées auprès d'un tiers (article 14) ; ou encore si les personnes concernées invoquent leur droit d'accès (article 15).  

En vertu du Règlement, les organismes qui collectent des données à caractère personnel relatives à leurs « clients », doivent fournir à ces derniers des informations détaillées sur la manière dont sont traitées ces données. Ces obligations de fournir aux personnes concernées des informations sur le traitement des données existaient déjà en vertu de la législation précédente relative à la protection des données. Le RGPD complète ces obligations.

L'obligation de fournir cette information ne s'applique pas dans certains cas :

  • Lorsque le participant a déjà reçu l'information ;
  • Lorsque l'enregistrement ou la divulgation des données à caractère personnel est expressément prévu par la loi ;
  • Si les données à caractère personnel ont été obtenues d'un tiers : lorsque la fourniture de l'information à la personne concernée se révèle impossible ou impliquerait des efforts disproportionnés. A cet égard, l'adoption de garanties appropriées devrait être prise en compte.

Quelles informations devraient être fournies aux personnes concernées si les données sont collectées auprès de la personne concernée ?

Comme indiqué à précédemment, les organismes doivent fournir à leurs clients les informations suivantes au moment où les données sont obtenues et lorsque ces informations sont mises à jour (en application des principes généraux d'un traitement équitable et transparent) :  
  • L'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent :  Le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission, ou, selon le cas, la référence aux garanties appropriées ou adaptées et les moyens par lesquels les participants peuvent en obtenir une copie ou l'endroit où elles ont été mises à disposition ; 
  • La durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée.
  • L'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement des données à caractère personnel par les organismes est fondé, entre autres, sur le consentement, l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Le droit des participants d'introduire une réclamation auprès d'une autorité de contrôle ;
  • L'information de tout traitement de données à caractère personnel avec une autre finalité que celle pour laquelle les données ont été collectées en premier lieu, et toute autre information pertinente comme mentionné plus haut.

Quelles informations devraient être fournies aux personnes concernées si les données sont collectées auprès de tiers ? 

Comme indiqué, les établissements doivent fournir à leurs participants les informations suivantes :  
  • L'identité et les coordonnées du responsable du traitement, et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
  • Le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission, ou, selon le cas, la référence aux garanties appropriées ou adaptées et les moyens par lesquels les participants peuvent en obtenir une copie ou l'endroit où elles ont été mises à disposition ;
  • La durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
  • L'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement des données à caractère personnel par les organismes est fondé, entre autres, sur le consentement, l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ; 
  • Le droit des participants d'introduire une réclamation auprès d'une autorité de contrôle ;
  • Lorsque le traitement est basé sur des intérêts légitimes plutôt que sur le consentement (par exemple dans certains cas d'utilisations résiduelles ou secondaires de données), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
  • Si les données ont été collectées auprès de tiers : la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public

Spécifique

Est-ce que le RGPD règlemente le secret professionnel ?

Le droit relatif au secret professionnel (pour les professionnels de santé tels que les médecins, les infirmières, etc.) peut fournir des dispositions légales additionnelles à respecter, en sus de la législation sur la protecti​on des données [ex : article 9(2°, i)]. Le Règlement n’affecte pas les obligations relatives au secret professionnel. Lorsqu’elles sont applicables, le secret professionnel comme la législation sur la protection des données doivent être toutes les deux respectées.

Le nouveau "droit à l'oubli" s'applique-t-il aux biobanques ?

​Le « droit à l'oubli » ne s'applique pas dans la mesure où le traitement des données personnelles est nécessaire pour des fins de recherche scientifique ou historique, ou à des fins statistiques conformément à l'article 89, dès lors que l'exercice de ce droit risque de rendre impossible ou d'entraver sérieusement la réalisation des finalités de ce traitement.

De quelle façon est accomplie l'anonymisation ?

Il existe différentes méthodes, techniques et stratégies afin d'anonymiser les données à caractère personnel. Le RGPD ne se prononce pas en faveur d'une méthode spécifique.  

En substance, le Règlement ne change pas la définition des données à caractère personnel et anonymes.

Par conséquent, les méthodes qui rencontrent les standards établis par la Directive de 1995 sur la Protection des Données devraient toujours être pertinentes d'un point de vue légal, bien qu'elles doivent toujours faire l'objet d'évaluations face aux développements constant de la technique. Il existe de nombreuses techniques qui peuvent être utilisées, telles la suppression, les techniques de généralisation ou d'agrégation, de perturbation ou de dissociation des informations identifiantes. Voir notamment, l'Avis publié par le Groupe de l'Article 29 sur les techniques d'anonymisation qui demeure pertinent avec le Règlement.

Qu'est-ce que la pseudonomysation des données ?

Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telles façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
 

Quelle différence entre anonymisation et pseudonymisation ?

Avec la pseudonymisation, l'attribution de données à des individus reste possible en utilisant des « informations additionnelles » (par exemple une clé ou un code de cryptage). Les données pseudonymisées restent a priori des données à caractère personnel. Pour les données anonymisées, de telles informations ne sont plus disponibles. Ces dernières ne sont donc pas à considérer comme des données à caractère personnel au sens du RGPD.

Les données pseudonymisées restent donc considérées comme des données à caractère personnel, alors que les données anonymisées ne le sont plus.​​