Protéger les données personnelles est un
impératif aujourd'hui qui peut être très lourd de responsabilité en cas de
manquement.
"Santé Solidaires" (SUD GHEF) est, sans aucune prétention, la seule organisation syndicale a avoir présenté
en question, au CTE du GHEF, le RGPD et
souhaité connaître la politique qui sera engagée à ce sujet par
l'établissement.
Madame Pignolet du service
informatique a lors du CTE du mois dernier présenté un rapport très complet sur
le sujet.
Si l'on considère que le règlement général européen sur la protection
des données personnelles (RGPD), applicable dès le 25 mai, sera le
nouveau garant du respect de la vie privée,
notamment en ce qui concerne les données de santé.
Les données de
santé font aujourd’hui l’objet d’une protection spécifique par les textes.
Il est en effet de plus en
plus évident que la sécurité des données de santé est un enjeu stratégique du
développement du numérique en santé, de la technologie, mais aussi de
l’opinion, notamment pour ce qui est des problématiques de confiance dans le
digital.
Le RGPD vient ainsi renforcer
les droits des personnes et vise à responsabiliser les acteurs dans un contexte
où l’interconnexion, la multiplication des échanges et le partage des données
multiplient les menaces et les risques (piratage, vols, détournements, blocage
des systèmes).
Responsabilisation des acteurs
Les établissements de santé sont le plus souvent déjà engagés dans une
démarche de gestion continue de la sécurité des SI le plus en amont possible
(analyse de risques, acceptation des risques résiduels, audits de sécurité
réguliers, gestion des incidents de sécurité…).
Avec l’entrée en application
en mai prochain du RGPD, les formalités auprès de la Cnil seront remplacées par
un renforcement de la responsabilisation des organismes et de leurs
sous-traitants (notamment dans le cadre d’un groupement). Ils devront par
exemple être en mesure de démontrer et de documenter la protection des données
en étayant leur conformité.
Le RGPD s’applique à tous les acteurs qui traitent des données
personnelles et porte sur l’ensemble des données personnelles issues des
activités de l’établissement de santé, et pas uniquement sur les données de
santé générées par la prise en charge des patients.
Le RGPD s’inscrit ainsi dans
la démarche globale de gestion des risques des établissements, qui répond
notamment aux procédures de conformité de la structure de soins ainsi qu’à la
gestion des risques de sécurité de ses systèmes d’information.
Tous les établissements de santé
sont invités à respecter les principes de protection des données de santé
(finalité, pertinence et proportionnalité, conservation limitée, sécurité et
confidentialité de même que respect des droits des personnes).
Obligations réglementaires
Dès la fin mai, les
établissements devront mettre en place une série de procédures :Tenir une
documentation interne décrivant les traitements mis en œuvre et les mesures de
mise en conformité y afférentes.
Désigner un(e) délégué(e) à
la protection des données (DPD ou DPO) pour tous les établissements publics, y
compris ceux qui disposent déjà d’un correspondant Informatique et Libertés.
Assurer le respect des droits
des personnes : le RGPD renforce les droits traditionnelsdes personnes
concernées par un traitement qui sont spécifiquement adaptés au secteur de la
santé par le code de santé publique.
Réaliser une analyse de
l’impact du traitement de données portant tant sur les risques de sécurité et
techniques que sur les risques juridiques pour les personnes.
Porter une attention
particulière à l’encadrement contractuel des prestations des tiers fournisseurs
de services dont la prestation implique le traitement des données de santé ;
Mettre en place des
procédures permettant de garantir la sécurité et la confidentialité des
données, dans le respect de la politique générale de sécurité des systèmes d’information
de santé (PGSSI-S).
Signaler à la Cnil les incidents de
sécurité impliquant les données personnelles (1).
Dans le cadre des sécurités des
données SUD Santé Sociaux du GHEF s'interroge sur le fait qu'une société privée
soit chargée de récolter des données à caractère confidentiel au sein même d’un
établissement de santé public ?...
Ceci va à l'encontre des dispositions qui doivent obligatoirement être
prises dans le cadre de la sécurisation des données de santé, en effet la
société Happytal (2) a accès à toutes les
informations administratives de chaque hospitalisé et là on est en droit de s’interroger
sur l’utilisation possible de ces données pourtant confidentielles, d’autant
que dans les conditions générales de cette société il est précisé que les
données collectées peuvent être utilisées par Happytal ou l’un de ses
partenaires ! (3) (Voir aussi Annexe)
Meaux le
2 mai 2018
1) Concernant les incidents, un dispositif national d’appui a été mis en
place, fin 2017, par le ministère, les ARS, l’Asip Santé et le HFDS/FSSI (haut
fonctionnaire de défense et de sécurité/fonctionnaire de sécurité des systèmes
d’information). Les établissements doivent déclarer les incidents de sécurité
en utilisant le site de signalement des événements sanitaires indésirables.
Rappel : pour accompagner cette démarche, une cellule Accompagnement
Cybersécurité des structures de santé a été mise en place par l’Asip Santé.
2) Happytal est le nom de la société par
action simplifiée Happytal SAS, dont le siège social est situé 72, rue
Sadi-Carnot, 92170 Vanves. Dite société, à buts lucratifs, inscrite au registre
du Commerce et des Sociétés de Paris sous le numéro 790 294 615.
3) Selon les conditions générales
d’ Happytal le client procède au règlement sur le site en cliquant sur le type de carte bancaire
utilisé et en renseignant les informations nécessaires (numéro de la carte bancaire, date d’expiration et
numéro de contrôle). La prise en charge de la commande est ensuite
confirmée par un email adressé au client sur l’adresse
renseignée dans le formulaire d’inscription.
Les
informations requises pour le passage de la commande sont les suivantes : Identité du Client et/ou du
proche (nom, prénom, date de naissance, adresse, téléphone, adresse de
messagerie électronique, lieu et service d’hospitalisation…
Pour
la prise de rendez-vous avec un professionnel de santé : le nom du professionnel
choisi par le Client, les date et heure de rendez-vous, et éventuellement, l’acte sollicité et le
mandat ou la procuration pour le paiement.
Annexe
(Extrait des conditions
générales de Happytal SAS)
« ARTICLE 22 –
CONFIDENTIALITES DES DONNEES
Les informations et
données collectées par Happytal lors de toute commande du client sont
nécessaires pour la gestion des commandes et aux relations commerciales.
Elles peuvent être
transmises aux sociétés qui contribuent à ces relations telles que celles
chargées de l’exécution des Services ou de la livraison des Produits pour leur
gestion, exécution, traitement et paiement.
Ces informations et données sont également conservées à des fins de
sécurité, afin de respecter les obligations légales et réglementaires et ainsi
que pour permettre à Happytal d’améliorer et de personnaliser les services
proposés et les informations adressées.
Conformément à la
loi informatique et libertés, les clients disposent d’un droit d’accès et de
rectification aux données personnelles qui les concernent. Le client devra
écrire à contact@happytal.com, en indiquant ses noms, prénoms, adresse de
messagerie électronique et référence client.
En fonction des choix
émis lors de la création ou consultation de son compte, le client pourra recevoir des offres de Happytal, ainsi que de
sociétés partenaires comme indiqué lors de la création du
compte.
Happytal se réserve le
droit d’utiliser les statistiques fournies grâce aux questionnaires que les clients
auront remplis afin d’améliorer son service et celui des marques partenaires. »
Aucun commentaire:
Enregistrer un commentaire