dimanche, octobre 1, 2023
Votre DPO Contacter DPO PARTAGE
AccueilCNILAutorisation de traitement de données de santé : les exigences de la...

Autorisation de traitement de données de santé : les exigences de la CNIL

Les demandes d'autorisation dans le domaine de la santé (hors recherche) doivent être déposées auprès de la CNIL si le traitement envisagé ne rentre pas dans les exceptions prévues par l'article 65 de la loi Informatique et Libertés. Avant de déposer une demande d'autorisation, il est important de vérifier si le traitement est conforme à un référentiel sectoriel établi par la CNIL. Si ce n'est pas le cas, une demande d'autorisation doit être déposée auprès de la CNIL en fournissant toutes les informations requises pour permettre à la CNIL d'instruire la demande

Les traitements de données de santé dans le domaine de la santé (hors recherche) qui ne rentrent pas dans les exceptions prévues par l’article 65 de la loi Informatique et Libertés doivent être autorisés par la CNIL. Avant de déposer une demande d’autorisation, il est important de vérifier si le traitement envisagé constitue bien un traitement de données à caractère personnel dans le domaine de la santé, s’il comportera des données de santé, et si un référentiel a été élaboré par la CNIL pour ce type de traitement.

Si le traitement est conforme en tous points au référentiel applicable, il peut être mis en œuvre dans le cadre d’une déclaration de conformité à ce référentiel sans qu’une autorisation préalable de la CNIL ne soit nécessaire. En l’absence de conformité, une demande d’autorisation doit être déposée auprès de la CNIL.

DPO, notre Intelligence Artificielle, vous accompagne

 

Spécial DPO - Notre iA vous aide à mettre en place votre conformité RGPD, elle répond à toutes vos questions et problèmatiques RGPD, Sécurité informatique... Une iA spécialement programmée pour les questions de RGPD en France.

La demande d’autorisation doit détailler les caractéristiques du traitement envisagé, tant sur ses aspects juridiques que techniques. Cela inclut l’identification du ou des responsables de traitement, des sous-traitants et des organismes chargés de la mise en œuvre du traitement, la présentation de la finalité (objectif) du traitement et la justification de son caractère d’intérêt public, l’identification de la base légale du traitement et l’exception permettant de traiter des données sensibles, l’identification de la nature des données traitées, une description des modalités de rapprochements ou d’interconnexions de fichiers, l’identification et, le cas échéant, la justification de la pertinence des catégories de destinataires envisagées, une présentation des modalités d’information et d’exercice des droits en fonction des catégories de personnes concernées, les durées de conservation des données, l’identification d’éventuels transferts de données en dehors de l’Union européenne et une présentation des modalités d’encadrement de ces transferts, ainsi que les mesures de sécurité adaptées aux risques.

Si le traitement est susceptible de présenter des risques pour les droits et libertés des personnes concernées, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) est obligatoire. Si une AIPD est requise, il est recommandé de la réaliser avant de déposer la demande d’autorisation et de la transmettre lors du dépôt du dossier. Dans le cas où l’AIPD n’a pas été transmise lors du dépôt, sa communication peut être demandée lors de l’instruction.

Enfin, il est important de souligner qu’il est recommandé de pointer les écarts au référentiel applicable et de les justifier dans la demande d’autorisation. Le référentiel applicable doit servir de référence, puisqu’il détaille la doctrine de la CNIL et ses exigences pour le type de traitement concerné. Il est donc recommandé d’attester de la conformité en tous points au référentiel applicable, sauf sur les éléments identifiés, et de détailler les points de non-conformité (juridiques et techniques) au référentiel et de justifier ces écarts ainsi que, si nécessaire, les mesures supplémentaires envisagées afin de compenser les non-conformités.

Exclusivité DPO PARTAGE

Vos questions sur le RGPD

Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse dans la journée à votre problématique.

Poser ma question
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90
Vous pouvez aimer

Derniers articles

Derniers commentaires

error: Notre contenu est protégé.
DPO PARTAGE L'actualité RGPD en temps réel, ne manquez rien. Inscrivez-vous maintenant. Non Oui