Rechercher
S'inscrire
  • Accueil
  • Conformité
    • Privacy by designSensibilisationcookiesconsentementcompatible RGPDProcédures. RGPD
  • Métiers
    • télétravailSPSTOffre socleCertification SPSTiCSEexpert comptable
  • Cybersécurité
    • SécuritéSauvegardesCyberattaquephishing ou hameçonnageSIIV
  • Nos ouvrages
  • DPO Externalisé
  • Logiciel RGPD
  • 🇬🇧

Autorisation de traitement de données de santé : les exigences de la CNIL

CNILDonnées de santé

Autorisation de traitement de données de santé : les exigences de la CNIL

Article rédigé par DPO Partagé

Le

Les traitements de données de santé dans le domaine de la santé (hors recherche) qui ne rentrent pas dans les exceptions prévues par l’article 65 de la loi Informatique et Libertés doivent être autorisés par la CNIL. Avant de déposer une demande d’autorisation, il est important de vérifier si le traitement envisagé constitue bien un traitement de données à caractère personnel dans le domaine de la santé, s’il comportera des données de santé, et si un référentiel a été élaboré par la CNIL pour ce type de traitement.

Si le traitement est conforme en tous points au référentiel applicable, il peut être mis en œuvre dans le cadre d’une déclaration de conformité à ce référentiel sans qu’une autorisation préalable de la CNIL ne soit nécessaire. En l’absence de conformité, une demande d’autorisation doit être déposée auprès de la CNIL.

La demande d’autorisation doit détailler les caractéristiques du traitement envisagé, tant sur ses aspects juridiques que techniques. Cela inclut l’identification du ou des responsables de traitement, des sous-traitants et des organismes chargés de la mise en œuvre du traitement, la présentation de la finalité (objectif) du traitement et la justification de son caractère d’intérêt public, l’identification de la base légale du traitement et l’exception permettant de traiter des données sensibles, l’identification de la nature des données traitées, une description des modalités de rapprochements ou d’interconnexions de fichiers, l’identification et, le cas échéant, la justification de la pertinence des catégories de destinataires envisagées, une présentation des modalités d’information et d’exercice des droits en fonction des catégories de personnes concernées, les durées de conservation des données, l’identification d’éventuels transferts de données en dehors de l’Union européenne et une présentation des modalités d’encadrement de ces transferts, ainsi que les mesures de sécurité adaptées aux risques.

Si le traitement est susceptible de présenter des risques pour les droits et libertés des personnes concernées, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) est obligatoire. Si une AIPD est requise, il est recommandé de la réaliser avant de déposer la demande d’autorisation et de la transmettre lors du dépôt du dossier. Dans le cas où l’AIPD n’a pas été transmise lors du dépôt, sa communication peut être demandée lors de l’instruction.

Enfin, il est important de souligner qu’il est recommandé de pointer les écarts au référentiel applicable et de les justifier dans la demande d’autorisation. Le référentiel applicable doit servir de référence, puisqu’il détaille la doctrine de la CNIL et ses exigences pour le type de traitement concerné. Il est donc recommandé d’attester de la conformité en tous points au référentiel applicable, sauf sur les éléments identifiés, et de détailler les points de non-conformité (juridiques et techniques) au référentiel et de justifier ces écarts ainsi que, si nécessaire, les mesures supplémentaires envisagées afin de compenser les non-conformités.

Site de la NCIL sur le sujet
Article précédent
Nouveau référentiel données de santé par la CNIL
Article suivant
Comment sensibiliser et former le personnel de la mairie à la protection des données personnelles ?
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

DPO Partagé DPO Partagé -
Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

DPO Partagé DPO Partagé -
Logiciels conformité RGPD : La mise en conformité avec...

L’essentiel du rapport annuel RGPD: Une pierre angulaire de la conformité RGPD, un outil pour les DPO

DPO Partagé DPO Partagé -
Le rapport annuel RGPD constitue un élément crucial...

Sanction record pour hubside.store en matière de prospection commerciale

DPO Partagé DPO Partagé -
Le 4 avril 2024, la Commission Nationale de l'Informatique...

A propos de DPO PARTAGE

DPO Partage propose des DPO externalisés et est le premier média français spécialisé dans le RGPD, offrant expertise en conformité aux réglementations et informations sur la sécurité informatique.
Tel. : 01 83 64 42 98

Nos sites

Nos ouvrages

© 2023 DPO PARTAGE. All Rights Reserved.