Mise en application prochaine du RGPD : comment s’y conformer ?

avr. 3, 2018, 13:02 by par Dave Jensen, employé rédacteur chez MasterControl
Soyons réalistes : tant qu’il existera des données médicales d’intérêt, des failles seront exploitées pour tenter de les dérober. Cependant, un point est particulièrement positif : les agences de réglementation du monde entier renforcent actuellement les mesures sécurisant de telles informations.

2018-bl-eus-gdpr-page-imageSoyons réalistes : tant qu’il existera des données médicales d’intérêt, des failles seront exploitées pour tenter de les dérober. Cependant, un point est particulièrement positif : les agences de réglementation du monde entier renforcent actuellement les mesures sécurisant de telles informations.

Le Parlement européen se prépare à publier un ensemble de règles strictes visant à protéger celles associées aux participants à des essais cliniques, ainsi qu’aux patients. Ces individus sont appelés des « personnes concernées ». Cette nouvelle loi, connue sous le nom de « Règlement général sur la protection des données » (ou « RGPD »), a été adoptée en 2016 par l’Union européenne, en complément de la directive établie en 1995. Toutes les entreprises qui collectent et traitent des données relatives à des citoyens de l’Union européenne, ainsi que du Royaume-Uni, doivent se conformer à ces nouvelles prérogatives essentielles au plus tard le 25 mai 2018.

Le RGPD, c’est quoi exactement ?

Le RGPD a été instauré pour élargir les droits, en matière de confidentialité, des personnes concernées impliquées dans des essais cliniques. Il a également pour but d’empêcher toute exploitation frauduleuse des données des citoyens européens. Enfin, il vient réguler le traitement et l’exportation des informations stockées au sein de l’Union, qu’elles soient ou non liées à des ressortissants du continent.

Ce n’est pas tout : l’une des implications majeures du RGPD est l’harmonisation, au sein de l’Europe, des lois régissant la confidentialité.1 Bien que certains pays puissent choisir de faire entrer des régulations plus restrictives en vigueur, tous doivent mettre en place un même niveau de protection empêchant la divulgation ou le partage des éléments suivants :

  • Les coordonnées de base, comme le nom, l’adresse et le numéro de sécurité sociale ;
  • Les données Web, comme l’adresse IP et les informations enregistrées par les cookies ;
  • Les données biométriques ;
  • L’origine ethnique ;
  • Les opinions politiques ;
  • L’orientation sexuelle ;
  • Les tissus humains.

Il est fort possible que votre entreprise doive apporter les modifications qui s’imposent à ses systèmes et protocoles.

 
This article is related to the White Paper:
Can You Afford a Data Security Breach?
Pour le consulter dans son intégralité, téléchargez au livre blanc gratuit.

 

Qui sera affecté par le RGPD ?

Le RGPD s’applique à la fois aux contrôleurs et aux sous-traitants des données permettant l’identification directe ou indirecte d’une personne. Le contrôleur détermine la manière dont celles-ci seront traitées, à quelles fins et dans quelles conditions par le sous-traitant.

Géographiquement parlant, la portée du RGPD s’étend à toutes les entreprises basées dans l’Union européenne. Cependant, celles opérant hors de cette région, mais traitant les données de citoyens européens, y sont elles aussi soumises.2

Que faut-il faire pour se conformer au RGPD ?

Le RGPD diffère clairement de la directive de 1995. La confidentialité constitue toujours la priorité centrale, mais les exigences ont été réexaminées afin de mieux s’accorder avec les procédés et technologies avancées d’aujourd’hui.

Sa ressemblance est proche avec la partie 21 du CFR de la FDA américaine. Alors que toutes vos procédures opérationnelles normalisées doivent être conformes au règlement, vous devez, en outre, vous assurer que les organisations avec lesquelles vous échangez des données le respectent également.

Traitement des données

Le RGPD n’indique pas à proprement parler comment vous devez gérer et stocker les données collectées. Néanmoins, il souligne qu’il est essentiel d’en connaître le type et le volume, ainsi que l’emplacement, et d’être parfaitement familier des risques induits et des actions à entreprendre. Si vous souhaitez vous conformer au règlement, vous devez :

  • identifier l’intégralité des données associées à chaque personne concernée, ainsi que chaque entité externe vous fournissant celles-ci.
  • déterminer la manière dont vous allez exploiter les données à caractère personnel.
  • connaître l’emplacement des données transférées et les procédés mis en place pour protéger celles-ci lors de leur transport.
  • savoir où se trouvent tous vos serveurs, et lesquels sont spécifiquement employés pour stocker, traiter et transférer les données.

Vous êtes, d’autre part, invité à sécuriser les échanges de données entre tous vos systèmes, parmi lesquels :

  • les serveurs.
  • les stations de travail.
  • les entrepôts.
  • les appareils mobiles.
  • les appareils portables.

Consentement

Le processus de consentement a été à la fois renforcé et simplifié par le RGPD : les demandes de consentement doivent désormais être concises et claires. Les formulaires ad hoc doivent, quant à eux, être accessibles facilement et aisément compréhensibles.2 D’autres conditions ont été édictées :

  • Les personnes concernées doivent pouvoir mettre fin à leur consentement aussi facilement qu’elles l’ont accordé.
  • Les personnes concernées sont autorisées à demander la suppression de leurs données (elles doivent cependant rester à disposition des fournisseurs de soins médicaux pendant une durée raisonnable, qui aura été spécifiée aux personnes concernées par ces derniers).
  • Les personnes concernées sont autorisées à demander à ce que leurs données ne soient plus traitées ou communiquées à l’avenir.
  • Les personnes concernées sont autorisées à demander gratuitement une copie de leurs données.

Délégué à la protection des données

Le rôle du délégué à la protection des données (DPD) est de s’assurer que la gestion et le traitement des données s’effectuent conformément au RGPD.

Le RGPD indique dans quelles circonstances une entreprise est appelée à nommer un tel délégué. Cette action est obligatoire uniquement si un volume très élevé d’informations sensibles est contrôlé et traité.2

Il est néanmoins conseillé de faire appel à un délégué dès que des données confidentielles sont manipulées, quelle que soit leur quantité. Voici quelques recommandations à prendre en compte :

  • Il n’est pas nécessaire de créer un nouveau poste. Un responsable de la qualité peut très bien remplir ce rôle, à partir du moment où aucun conflit d’intérêts n’a lieu.
  • Toutes les réglementations, lois et meilleures pratiques applicables doivent être connues par le DPD.
  • Le DPD doit pouvoir fournir des suggestions éclairées lorsque nécessaire.
  • Les entreprises peuvent faire appel à un DPD externe.

Notification en cas de fuite de données

En cas de fuite de données, il est obligatoire de contacter les autorités compétentes dans les 72 heures. Les clients du sous-traitant devront également être informés dans les mêmes délais. Si ce n’est pas le cas, un motif documenté doit être avancé pour expliquer leur non-respect.

Formation des employés

La conformité au RGPD doit passer par la formation des employés. Ceux-ci doivent non seulement être formés à toutes les implications du RGPD, mais également aux politiques de sécurité mises en place dans leur entreprise. Tout doit donc être revu : les technologies et les procédés généraux.

Que se passe-t-il si l’on ne se conforme pas au RGPD ?

Tous les pays membres de l’Union européenne doivent se conformer au RGPD d’ici le 25 mai 2018. Dans le cas contraire, ils s’exposent à des amendes pouvant atteindre 20 millions d’euros, ou jusqu’à 4 % du revenu annuel de l’entreprise en question. Des paliers ont été définis : vous serez, par exemple, redevable de 2 % si vous n’avez pas procédé à une évaluation des risques, si les dossiers associées ne sont pas correctement consignés, ou si vous n’avez pas alerté les autorités en cas de fuite.

Conclusion

À première vue, le processus de conformité au RGPD peut sembler intimidant. Cela étant dit, si l’on s’y intéresse de plus près, on remarque qu’un système efficace et électronique de gestion de la qualité, s’il est à portée, le facilite grandement. Grâce à lui, vous pouvez :

  • gérer des volumes élevés de données et en assurer l’intégrité et la sécurité.
  • prendre en compte toutes les exigences qui s’imposent.
  • contrôler le niveau de conformité des fournisseurs.
  • vérifier que toutes les formations adéquates ont bien été suivies et mises à jour si nécessaire.

Pour l’instant, le RGPD concerne uniquement l’Europe. Malgré cela, et car la confidentialité et la protection des données constitue une préoccupation majeure, il est très probable qu’il s’adresse rapidement à d’autres continents.

 

Références

  1. Règlement (UE) 2016 du Parlement européen et du Conseil http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/fr/pdf

     

  2. Portail EUGDPR.org https://www.eugdpr.org/key-changes.html.


2016-nl-bl-author-david-jensenDavid Jensen
is a marketing communication specialist at MasterControl. He has been writing technical, marketing and public relations content in technology, professional development, business and regulated environments for more than two decades. He has a bachelor’s degree in communications from Weber State University and a master’s degree in professional communication from Westminster College.