Le règlement général sur la protection des données (RGPD) impose d’effectuer une analyse d'impact avant de procéder à certains traitements de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Parmi eux ? Ceux des données de santé réalisés par les établissements médico-sociaux pour la prise en charge des usagers. Ainsi que ceux ayant pour finalité l'accompagnement social et médico-social ou encore la gestion des alertes et des signalements en matière sociale. Cette démarche permet au gestionnaire « d’identifier les garanties nécessaires afin d’assurer et de démontrer la conformité du traitement qu’il envisage de mettre en œuvre au regard des exigences du RGPD », précise la Commission nationale de l’informatique et des libertés (Cnil).
Description détaillée
Cette analyse se compose de trois parties. En premier lieu, la description détaillée du traitement comprenant tous les aspects techniques et opérationnels ; deuxième étape, l’évaluation de la nécessité et de la proportionnalité des opérations par rapport à leur finalité (données et durées de conservation, information et droits des personnes…). Troisièmement, l’étude des risques relatifs à la sécurité des données (confidentialité, intégrité et disponibilité) et les mesures techniques envisagées pour les protéger. Tous les acteurs doivent être impliqués dans la démarche (délégué à la protection des données, sous-traitants…), indique aussi la Cnil. Qui précise que cette analyse doit être revue de manière régulière (au moins tous les trois ans). S’il apparaît que le niveau de risques résiduels reste élevé (impossibilité de réduire aux personnes accédant aux données), elle doit même lui être transmise.
Délibérations n° 2018-326 et n° 2018-327 du 11 octobre 2018
Noémie Colomb
Publié dans le magazine Direction[s] N° 170 - décembre 2018