L’essentiel en un coup d’œil

Le Règlement Général sur la Protection des Données (RGPD) renforce la protection des données à caractère personnel et impose aux organisations une série d’obligations strictes. Pour les institutions de soins, qui traitent un volume important de données sensibles de santé, la mise en conformité peut s’avérer complexe, chronophage et coûteuse. À cela s’ajoute l’obligation de désigner un Data Protection Officer (DPO), profil rare et particulièrement onéreux.

Pour soutenir ses membres, santhea a mis en place une Cellule RGPD en janvier 2018, articulée autour de deux services complémentaires :

  • un service de soutien à la mise en conformité
  • un service de DPO externalisé.

En mutualisant les ressources, les institutions adhérentes bénéficient d’un accès à l’ensemble des outils, services et formations nécessaires, ainsi qu’à une solution en ligne de registre des activités de traitement, pour un coût nettement inférieur à celui d’un DPO engagé en propre.

Contexte

Le RGPD impose aux institutions qui traitent des données à caractère personnel — et, à plus forte raison, des données de santé — d’appliquer une série de mesures, d’assurer une documentation précise et de respecter les droits des personnes concernées.

Les institutions de soins doivent également désigner un DPO, chargé de contrôler le respect du règlement et d’assurer le lien avec l’Autorité de Protection des Données (APD). Tout manquement peut entraîner des réprimandes ou des amendes.

Le projet

Pour répondre à ces obligations, santhea a constitué une Cellule RGPD dédiée, composée de cinq conseillers aux expertises complémentaires (données de santé, droit, cybersécurité, fonctionnement des institutions de soins). Chacun est désigné DPO pour une partie de la trentaine de membres ayant adhéré depuis le lancement du projet.

Chaque institution participante désigne un relais RGPD, interlocuteur principal des conseillers, qui assure la coordination interne des actions.

Les points forts de l’outil

Une solution mutualisée économiquement avantageuse

En faisant appel à la Cellule, les institutions bénéficient de tous les outils, formations et services nécessaires à un coût largement inférieur à celui d’un DPO consultant, dont la rémunération annuelle atteint plusieurs dizaines de milliers d’euros. L’offre comprend également une licence informatique de registre des activités de traitement en ligne.

Une équipe spécialisée et expérimentée dans les soins de santé

Les DPO disposent de plus de huit ans d’expérience dans l’application du RGPD en milieu de soins. Leur expertise couvre la gestion des violations de données, l’analyse des contrats, le traitement des demandes d’exercice de droits, la relation avec l’APD et la vérification globale du respect du règlement. Elle englobe aussi des thématiques connexes : vie privée, droits des patients, vidéosurveillance.

Un DPO externalisé, garant d’indépendance

Le recours à un DPO externe élimine tout risque de conflit d’intérêts, conformément au RGPD. Les fonctions décisionnelles internes (direction, informatique, sécurité…) ne peuvent assumer ce rôle.

Un contact direct et un accompagnement personnalisé

L’équipe répond aux demandes spécifiques, réalise des extractions complémentaires et peut intervenir sur le terrain pour présenter les résultats.

Un accompagnement structuré pour la mise en conformité

Le service de soutien inclut :

  • un plan d’action personnalisé
  • la participation aux Comités de pilotage RGPD
  • des réunions régulières de suivi
  • la mise à disposition d’une quarantaine d’outils, modèles et procédures
  • l’accès à un registre de traitement en ligne
  • l’analyse et la validation des documents à mettre en conformité
  • la mutualisation des questions et réponses
  • l’assistance pour les inventaires à intégrer dans le registre.

Un service complet de DPO externalisé

Dans ce cadre, santhea prend en charge :

  • la participation aux comités de direction lorsque cela est pertinent
  • le conseil aux directions pour toutes les questions liées aux DCP
  • le contrôle indépendant de la conformité
  • l’information des directions en cas de manquement
  • la rédaction et la mise en œuvre de politiques et procédures
  • l’accompagnement pour :
    – la négociation des contrats impliquant des DCP
    – l’élaboration et la mise à jour du registre
    – le traitement des demandes d’exercice de droits
    – la réalisation des analyses d’impact relatives à la protection des données (DPIA)
    – la notification des violations à l’APD
    – la gestion des demandes de l’APD
    – le suivi en cas de cyberattaque.
Ce service vous interesse ?