DPO Service santé au Travail - Désigantion et formation du DPO

DPO

DPO Service santé au Travail – Désigantion et formation du DPO

DPO Service santé au Travail : Données de santé, données sensibles

Si le tout connecté a ses avantages, il a également ses travers. Les données personnelles sont de plus en plus collectées et il est difficile de percevoir toutes les ramifications existantes. Même le domaine de la santé est concerné, encore plus ce dernier ! On peut aujourd’hui consulter son dossier médical ou ses résultats d’analyses en ligne, prendre rendez-vous via le site internet de son médecin, le tout depuis son portable, sa tablette ou son ordinateur, la liste des possibles est longue.

Or, les données de santé sont sans aucun doute les plus sensibles que l’on puisse traiter. C’est pourquoi le RGPD les classe parmi les « données sensibles » et régit de la plus stricte manière leur traitement et stockage.

Donnée de santé, définition 

La définition donnée par le G29 d’une donnée de santé semble évidente à tous : « une donnée en relation étroite avec l’état de santé de la personne telle qu’une information sur la consommation d’alcool, de drogues ou de médicaments doit être considérée comme une donnée de santé… » (G29). Il en est de même pour celle, plus large, d’un projet de loi sur la protection des données personnelles et qui expose qu’une donnée de santé est « toute information relative à la santé physique ou mentale d’une personne… ».

Pour autant, ce n’est pas si binaire que ça en a l’air. D’autres données pourraient paraître échapper à cette qualification alors qu’il n’en est rien.

Prenons l’exemple de renseignements sur nous que nous donnons aisément comme notre date de naissance, nos performances sportives, nos habitudes alimentaires, nos consommations d’excitants, nos mensurations, nos excès en tous genres ou encore notre sexe. Si l’on regroupe toutes ces informations qui, isolées, semblent anodines et que l’on « s’amuse » à les croiser, on obtient finalement un profil de santé assez précis. C’est pourquoi ces données sont également considérées comme des données de santé par le RGPD.

Nous contacter

Interdiction stricte d’utiliser les données de santé

Le RGPD interdit de façon ferme (sauf à avoir le consentement éclairé des personnes concernées ou en cas de rares exceptions définies par la loi), le traitement des données de santé.

On considère comme traitement de données toute opération effectuée sur des données.

Lorsque l’on parle de consentement éclairé de la personne concernée par le traitement d’une donnée de santé, il faut comprendre que ce consentement a été donné expressément, librement et de manière univoque. C’est seulement sous ces conditions que le traitement de la donnée devient légal et, comme vu plus haut, en cas de 5 exceptions  prévues par la loi :

  • Prévention de la santé publique (en cas de pandémie, par exemple)
  • Préservation des intérêts vitaux de la personne concernée ;
  • Appréciation médicale : médecine préventive, soins, diagnostics ;
  • Médecine du travail ou encore pourcentage légal d’emploi de personnes avec handicap
  • Gestion des systèmes et services de santé ou de la protection sociale.

En France, les règles sont encore plus strictes quant à ces possibles traitements de données de santé. C’est par la loi Informatique et Libertés (modifiée en juin 2018) que ces règles ont été mises en place et ce’, indépendamment du RGPD puisque ce dernier laisse libre chaque État membre de durcir le règlement de base.

Les entreprises ou organismes stockant et traitant des données de santé ont donc des obligations définies par le RGPD. Elles doivent désigner un DPO, tenir un registre des traitements et analyser les risques encourus par ces données.

Nous contacter

Image DPO PARTAGELe DPO Service santé au Travail

Un DPO peut être désigné en interne si toutefois l’entreprise juge qu’un de ses employés en a les capacités et qu’il n’y a aucun possible conflit d’intérêt ou pression qui l’empêcherait de mener objectivement sa mission.

Le DPO service santé au travail peut également être désigné en externe, vous pouvez tout à fait désigner DPO Partage comme DPO : nous contacter

Dans les deux cas, le DPO est là pour s’assurer que les règles du RGPD sont bien respectées et pour accompagner la mise en conformité. Pour ce faire, il conseille à tous les niveaux hiérarchiques, réalise des audits et recueille toutes les informations (là encore, à tous les niveaux) concernant l’utilisation, la collecte, le stockage des données de santé. En France, les règles sont encore plus strictes quant à ces possibles traitements de données de santé.

Le registre avec le DPO Service santé au Travail

Le registre, quant à lui, doit comporter les points suivants :

  • Les informations sur le responsable du traitement et DPO ;
  • Les finalités du traitement ;
  • Les informations sur les personnes concernées ;
  • Les délais de conservation des données ;
  • La description des mesures mises en place pour optimiser la protection des données.

Analyse des risques et conséquences avec le DPO  Service santé au Travail

Enfin, le service de santé au travail traitant des données de santé est tenue de procéder à une analyse dimpact sur le traitement des données dans laquelle on doit impérativement trouver les mesures de protection que l’entreprise ou l’organisme aura enclenchées pour la sécurisation des données, les bénéfices/risques du traitement de ces données (ce qui permettra notamment de réfléchir à l’utilité de ce traitement), la finalité du traitement des données et le processus complet et détaillé du traitement. Vous trouverez beaucoup d’information sur le site de la CNIL.

DPO partage est disponible afin de vous guider, nous répondons à toutes vos questions sur le sujet de la désignation et du rôle du DPO. Nous vous proposons de accompagner ou de vous former en interne, n’hésitez pas à nous contacter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *