L’atelier du chargé de conformité : Secteur santé

1. Introduction
• Le cas Saint Malo
– Retour sur les erreurs ayant conduit à la mise en demeure du centre hospitalier St Malo
• Historique et contexte

2. Les champs d’application de la loi I&L et du RGPD
• Les terminologies
• Les principes de licéité d’un traitement
• Sensibiliser les collaborateurs : les zones de libre commentaire

• Les terminologies
• Les principes de licéité d’un traitement
• Sensibiliser les collaborateurs : les zones de libre commentaire

• Introduction
• Définitions
– Données à caractère personnel et traitement de données
– Les catégories particulières de données
– Focus sur les données de santé
• Principes de licéité d’un traitement
– La base légale du traitement
> Le consentement
> Focus sur les bases légales utilisables pour les trait ments de données de santé
-Les principes fondamentaux :
> Finalité
> Pertinence
> Conservation
> Transparence
> Sécurité

• Lors de la mise en œuvre d’un traitement
– L’identification des éléments clés d’un traitement
– La détermination des finalités
• Pour informer les personnes concernées
de leurs droits
– L’obligation de transparence issue du RGPD
– L’obligation de transparence issue du droit de la santé
• En matière de sécurité et de confidentialité
– L’obligation de sécurité issue du RGPD
– L’obligation de sécurité issue du droit de la santé
– Focus sur la PIA
• Vis-à-vis des sous-traitants
– Le sous-traitant au sens du RGPD : le contrat de sous-traitance
– Le cas particulier de l’hébergeur de données de santé
•  La purge, les doctrines CNIL en matière d’archivage

• Connaître les types de contrôles
• Le formalisme attaché à une mission de contrôle
• Le contrôle sur place : développer sa procédure
en cas de contrôle
• Les sanctions du secteur santé

• Introduction
• Le registre des activités de traitements
• Les formalités préalables :
– Régime d’autorisation et régime de demandes d’avis
– Régime du traitement du NIR
– Le régime d’autorisation : pour les traitements présentant une finalité d’intérêt public
– Le régime d’autorisation : pour les traitements
ayant une finalité de recherche
– Analyse des MR001 et MR003
– Analyse de la MR002
– Analyse des RNIPH : MR004
– Analyse des MR005 et MR006

• Introduction
• Le registre des activités de traitements
• Les formalités préalables :
– Régime d’autorisation et régime de demandes d’avis
– Régime du traitement du NIR
– Le régime d’autorisation : pour les traitements présentant une finalité d’intérêt public
– Le régime d’autorisation : pour les traitements
ayant une finalité de recherche
– Analyse des MR001 et MR003
– Analyse de la MR002
– Analyse des RNIPH : MR004
– Analyse des MR005 et MR006

• La limitation des durées de conservation
• L’archivage

• Les procédures incontournables
• Procédure de gestion des droits des personnes
• La sécurité du SI
– Focus sur la charte informatique

• Échanges sur les travaux de la CNIL en cours sur le secteur santé