Accompagnement au RGPD (Règlement Général sur la Protection des Données)

Description
Mission et Suivi de DPO


I Définition et intérêt du RGPD :
• Les définitions :
Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » (règlement général sur la protection des données), est désormais applicables dans les Etats Membres de l’Union Européenne, dont la France, depuis le 25 mai 2018.

Le RGPD traduit une nécessité d’encadrer le traitement des données à caractère personnel afin de protéger la vie privée de personnes concernées.
Une donnée personnelle constitue « toute information se rapportant à une personne physique identifiée ou identifiable » (article 4, 1) du règlement). Ce peut être le prénom, le nom, le numéro de sécurité sociale, le sexe, les données médicales, les données bancaires.

Le Règlement s’applique à condition qu’il existe un traitement de ces données à caractère personnel.
Le traitement consiste en « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » (article 4, 2) du règlement). Ce peut être la conservation, la modification, la collecte, l’utilisation, la communication ou encore l’effacement des données. Cette liste n’est pas exhaustive.
• L’intérêt : L’intérêt du RGPD est de permettre un équilibre entre la protection des personnes physiques dans l’ensemble de l’Union Européenne et le respect de la libre circulation des données à caractère personnel au sein du marché intérieur afin de garantir une sécurité pour les opérateurs économiques (point 13 du règlement).

II L’obligation de se conformer au RGPD :
Le RGPD concerne tout responsable de traitement ou sous-traitant qui, dans le cadre des activités d’un établissement, effectue un traitement de données à caractère personnel, que le traitement ait lieu ou non dans l'Union. (point 22 du règlement).

_1 LE RGPD
Mais il ne s’applique pas aux « traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale » (point 18 du règlement).
Dès lors, toute organisation privée ou publique, qui traite pour son compte ou non des données à caractère personnel doit se conformer au RGPD à condition :
- qu’elle soit établie sur le territoire de l’Union Européenne
- que son activité concerne les résidents européens

III Le DPO, un acteur clé du RGPD
Le RGPD prévoit dans ses articles 37, 38 et 39, la désignation, les fonctions et les missions du délégué à la protection des données ou DPO (Data Protection Officer).
L’essentiel à retenir est que le DPO est chargé de vérifier la mise en conformité au RGPD au sein de l’organisme qui l’a désigné.

• La désignation du DPO :
Sa désignation est obligatoire dans certains cas selon l’article 37, paragraphe 1, du RGPD :
1. Lorsque le traitement est effectué par une autorité publique ou un organisme public
2. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
3. Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou8 de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Dans les cas où sa désignation n’est pas obligatoire, elle est néanmoins fortement conseillée.

• Les conditions à la désignation du DPO :
- il doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » d’après l’article 37.5 du règlement européen.

- il doit bénéficier de ressources nécessaires afin de mettre en œuvre les moyens matériels et organisationnels lui permettant d’exercer ses missions.
Objectifs pédagogiques
Un audit de conformité, des formations adaptées, une solution informatique permettant de traiter les déclarations, une automatisation du travail du DPO (data protection officer)

• Comprendre le RGPD
• Connaître l’étendue et les conséquences du RGPD pour l’établissement
• Se préparer à la mise en place du RGPD
• Appliquer cette règlementation à l’hôpital
SUIVI DE DPO :
DÉLÉGUÉ A LA PROTECTION DES DONNÉES
DPO de l’hôpital via un logiciel de suivi
• Informer et conseiller les équipes
• Contrôler le respect du RGPD
• Réaliser l’analyse d’impact relative à la protection des données (DPIA)
• Réaliser les formalités déclaratives auprès de l’autorité de contrôle
Public visé
Les établissements de santé sont concernés par le RGPD en tant que responsables de traitement de données personnelles dans leur organisme, et parfois également comme sous-traitants (dans le cadre d’un GHT par exemple) ;
Modalités pédagogiques
un audit, des formations adaptées, une solution informatique permettant de traiter les déclarations, une automatisation du travail du DPO

M'inscrire à la formation

Ajouter au panier