Le Règlement général relatif à la protection des données à caractère personnel* (RGPD ou GDPR en anglais) va entrer en vigueur le 25 mai 2018. Il est au cœur de l’actualité, notamment sur les réseaux sociaux. En effet, il apporte aux entreprises un certain nombre de défis à relever en matière de conformité.
Objectifs et principes du règlement
Il a été rédigé pour répondre à plusieurs objectifs : premièrement, les lois des pays européens présentent d’importantes disparités. En effet, la réglementation en vigueur actuellement et jusqu’au 25 mai est la directive 95/46 CE, mais chaque pays de l’UE ne l’avait pas appliqué avec les mêmes exigences. Le nouveau règlement permettra une harmonisation des pratiques européennes.
Deuxièmement, la règlementation en vigueur était relativement ancienne (1995) et n’était donc pas adaptée aux contraintes actuelles liées aux réseaux sociaux, « Big Data » et autres problématiques liées au Cloud.
Enfin, le règlement va permettre d’accentuer les droits de tous les utilisateurs et d’améliorer la protection de leurs données à caractère personnel, en accentuant la lutte contre la mauvaise utilisation de ces données.
Le règlement définit plusieurs principes importants, notamment en ce qui concerne :
- la responsabilisation : le responsable du traitement doit être capable de démontrer à tout moment sa conformité devant les autorités compétentes sans avoir à faire une déclaration au préalable.
- la minimisation des données: les données recueillies auprès d’un utilisateur doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (Article 5.1.c du règlement). En d’autres termes, le responsable du traitement doit limiter le nombre de données recueillies au strict minimum et il doit pouvoir donner une justification à chaque recueil de données.
- le « Privacy by design » : ce concept a pour objectif de garantir, dès la conception du logiciel, la protection de la vie privée dans le cadre des nouvelles applications technologiques et commerciales.
- la coresponsabilité des sous-traitants : contractuellement, ces derniers s’engagent, entre autres, à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
Il est cependant important de noter que le règlement va impliquer des changements pour les acteurs concernés mais il ne va pas tout bouleverser. De nombreux points du RGPD étaient déjà présents dans la Loi Informatique & Libertés (recueil du consentement, du principe de finalité des données à caractère personnel recueillies, des droits des personnes, de la sécurité des données etc…)
Mise en conformité de Curapy
Les équipes de GENIOUS Healthcare développent et commercialisent des jeux vidéo thérapeutiques, qui sont disponibles sur la plateforme www.curapy.com. Plusieurs types de données à caractère personnel sont recueillis : des données d’identification via le formulaire d’inscription et des données de santé émanant des jeux.
C’est pour ces raisons que les équipes de GENIOUS Healthcare ont mis en œuvre un important travail d’adaptation et de documentation afin d’être en conformité avec le règlement. Cela concerne par exemple le fait de lister et de cartographier tous les traitements de données à caractère personnel réalisés dans le cadre de Curapy, de réaliser une analyse d’impact relative à la protection des données, de désigner un délégué à la protection des données. Toutes les données à caractère personnel liées à Curapy sont stockées chez un hébergeur agréé de données de santé. Les mentions d’informations et le recueil du consentement des utilisateurs ont également été mises à jour. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Le but de tous ces éléments est d’assurer une sécurité optimale des données à caractère personnel des utilisateurs.
Afin d’aider les entreprises françaises concernées par ce règlement, la CNIL a mis en place un important dispositif d’accompagnement sur lequel l’équipe GENIOUS Healthcare s’est appuyé. Il s’agit de guides sur la sécurité des données personnelles, d’un logiciel pour réaliser un analyse d’impact (Outil PIA), d’exemples de mentions d’informations… ou encore des réunions d’informations dédiées.
*Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Pour le consulter, cliquez ici.
** Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Pour la consulter, cliquez ici.
- Le Règlement général sur la protection des données et la mise en conformité de la plateforme CURAPY - 12 avril 2018
- Une application mobile et tablette pour sensibiliser aux handicaps physiques - 5 mars 2018
- La pression réglementaire augmente sur les applications et logiciels en santé - 12 janvier 2018