Les associations au cœur de l’innovation en santé
Administratif

Données des patients : qu’est ce que la nouvelle réglementation va changer ?

Toutes les entreprises, tous secteurs confondus, sont concernées par l’arrivée du RGPD (Règlement Général sur la Protection des Données), dont l’échéance est prévue le 25 mai 2018. Elles sont en « ébullition » pour se préparer au mieux aux dispositions de ce nouveau texte.

Le Règlement Général sur la Protection des Données (RGPD)

L’industrie pharmaceutique est bien rôdée sur les sujets réglementaires et va donc s’adapter facilement à la nouvelle réglementation.

Mireille Violleau, correspondante informatique et Libertés au sein du groupe Roche

Plus facilement que d’autres secteurs ? Sans doute. Adopté en première lecture  à l’Assemblée Nationale, le texte de la nouvelle Loi Informatique et Libertés sera ensuite soumis au Sénat, et devrait entrer en vigueur avant la fin du mois de mai. Il vient adapter  la Loi Informatique et Libertés au RGPD, laquelle donnait déjà plusieurs indications sur les grands principes en matière de protection des données et en particulier des données de santé. Ces dernières sont dites « sensibles » (au même titre que les opinions philosophiques ou religieuses, les orientations sexuelles….)

Le RGPD, renvoie au droit de chaque état le traitement des données sensibles

observe Mireille Violleau.

Un nouveau système

Auparavant, quand une entreprise souhaitait traiter des données sensibles, elle devait faire une déclaration à la CNIL et formuler une demande d’autorisation. Le RGPD met fin à cette façon de procéder.

Désormais, les entreprises devront être en mesure, si elles sont contrôlées, de prouver qu’elles respectent bien la loi et qu’elles sont en conformité avec le règlement européen. Par exemple elles devront pouvoir démontrer que des formations ont été mises en place pour les collaborateurs en charge de collecter des données

note Mireille Violleau.

Pour celles et ceux qui connaissent mal les nouveaux dispositifs en question, pas de panique. Rendez-vous sur le site de la CNIL. Tout y est très bien expliqué avec de nombreux outils, notamment une vidéo du youtubeur Samson Son, alias Cookie Connecté, qui répond à toutes les questions que l’on peut se poser sur l’arrivée du RGPD.

Et pour les patients, ça change quoi ?

La nouvelle réglementation renforce davantage encore les droits des patients. Plus que jamais, ils bénéficient du droit à l’effacement des données et à la rétractation.

Les établissements de soins, les entreprises, devront les prévenir ainsi que les autorités de contrôle s’ils identifient des failles de sécurité au niveau de la collecte et de l’hébergement de leurs données . Il est par ailleurs parfaitement cohérent qu’ils puissent demander à faire disparaître certaines informations. Quand on est sur un lit d’hôpital, on peut écrire certaines choses sur les réseaux sociaux qu’on ne souhaitent plus partager six mois plus tard quand on va mieux

souligne Mireille Violleau.

Si une entreprise ou association, quelle qu’elle soit, ne respecte pas la volonté d’une personne, cette dernière est en droit de porter plainte. Auparavant, la CNIL pouvait mettre une amende d’un montant de 300 000 €. L’amende pourra désormais représenter 4 % du chiffre d’affaire mondial d’une entreprise, de quoi convaincre les grands groupes de respecter la loi. (sachant que pour de grandes entreprises, c’est bien plus dommageable) ?

Pour les associations de patients, la nouvelle législation ne va pas bouleverser la donne en profondeur. Pour se renseigner sur les nouvelles dispositions, elles peuvent aller sur le site de la CNIL pour accéder aux modèles de registres et consulter les différents outils. Elles doivent bien sûr être vigilantes pour respecter les désidératas des patients relatifs à leurs témoignages sur les différents espaces : sites, blogs, pages facebook…

Les entreprises sont censées assurer la sécurité des données collectées. D’où l’intérêt de bien se renseigner sur les prestataires avec lesquels on travaille. Et notamment sur la capacité des hébergeurs à effacer rapidement des données.

Jusqu’alors, la loi considérait que c’est le responsable de traitement qui était responsable. Désormais les responsabilités sont partagées avec le sous-traitant.

Mireille Violleau

A ses yeux, l’objectif est clairement de responsabiliser l’ensemble des acteurs, les entreprises et les sous-traitants, et de donner plus de droits aux citoyens :

On doit bien expliquer pourquoi on collecte des données et combien de temps on les garde. Est ce que c’est dans l’intérêt public ? Dans le cadre d’une relation commerciale ou contractuelle ? Pour faire de la recherche ? Il faut bien sûr que les données collectées soient bien en rapport avec l’objectif.

Mireille Violleau

Lire aussi :