[Interview] Pierre Desmarais : désormais, il faut démontrer a priori le respect du RGPD


01 octobre 2018

Le RGPD, la nouvelle réglementation générale européenne pour la protection des données personnelles impacte tous les acteurs de la santé. Non seulement au niveau du quotidien mais aussi en termes de responsabilités et sanctions en cas de non-respect de la règlementation. Entretien avec Pierre Desmarais, avocat au Barreau de Paris et délégué à la protection des données.

Quels réels changements le RGPD apporte-t-il en matière de santé ?

La principale nouveauté, c’est qu’aujourd’hui, vous ne devez plus démontrer a posteriori ce que vous faites, vous devez le démontrer a priori. Cela veut dire que vous devez avoir toutes les documentations qui expliquent comment vous respectez le RGPD. Et cette documentation, vous devez pouvoir la produire à tout moment.

Ce nouveau règlement modifie-t-il fondamentalement la manière d'agir des acteurs du milieu ?

Fondamentalement, cela ne devrait pas. Puisque ce sont des processus qui sont connus du milieu de la santé. La documentation en matière de dispositifs médicaux, de traçabilité des produits sanguins, de produits de santé un peu sensibles : les établissements de santé et professionnels de santé savent le faire.
Le RGPD ajoute quelques nouvelles obligations, notamment l’obligation de réaliser une analyse d’impact, qui sert à mesurer les conséquences négatives qu’aurait sur les personnes une violation de données, c’est à dire une compromission de la confidentialité de l’intégrité ou de la disponibilité de l’information. Là encore, c’est une logique bénéfices-risques que les professionnels de santé savent faire.

Quelles sont les principales obligations du RGPD ?

Il y a cette analyse d’impact, le fameux PIA (Privacy Impact Assessment). Il consiste à examiner la conséquence qu’aurait pour une personne une compromission des données qui la concernent. Un exemple. Vous stockez vos données chez un prestataire qui est piraté et les données finissent sur internet. Il y a violation de votre vie privée : vos données médicales sont exposées à tous. La gravité de cette violation va varier. S’il s’agit d’une radio de votre cheville parce que vous vous êtes fait une entorse, le préjudice est faible. Si c’est votre statut « séropositivité » qui se trouve divulgué, là le préjudice est colossal. Aussi bien au niveau moral (c’est un choc psychologique) qu’au niveau économique (parce que vous pourriez subir des discriminations)… Donc l’analyse d’impact est là pour mesurer ces conséquences et s’assurer que le risque est correctement traité. C’est un procédé très antérieur au RGPD, mais c’est lui qui le popularise.
Il y a le privacy-by-design : vous savez, avant que vos données soient utilisées, comment elles seront utilisées. Exemple. Vous êtes dans un hôpital. Celui-ci voudrait que par principe vous acceptiez que vos données soient utilisables pour de la recherche. Sauf que légalement, ce n’est possible que si vous avez au moins été informé de l’objectif de la recherche. Le privacy-by-design voudrait que la case “accepter la réutilisation de mes données à des fins de recherches” soit par principe décochée.
Il y a aussi le privacy-by-default. Celui-ci exige que le système, par principe, assure la protection de vos données. Prenons l’exemple d’une application d’observance pour les médicaments. Si vous êtes en réunion et que d’un coup votre application affiche “n’oubliez pas de prendre votre trithérapie”, là, il y a un souci. Le privacy-by-default voudrait que par principe ce genre de notifications soit désactivé.

Quelle méthode suivre pour s’assurer une conformité au RGPD ?

La méthode, pour moi, est totalement dépendante de ce que vous avez dans le rapport d’audit. La première étape, c’est d’avoir quelqu’un qui vient vous voir, votre organisation, vos services, votre façon de travailler, et qui vous dit : « là vous êtes conformes, là vous n’êtes pas conformes ». À partir de là, vous faites une feuille de route. Vous classez les actions relevées en fonction de l’obligation qui est en cause : « est-ce que c’est du privacy-by-design, du privacy-by-default, est ce qu’il faut réaliser des PIA? » A partir de là, vous fixez les priorités. Et à ce moment-là seulement, quand vous avez compris l’enjeu, quand vous avez saisi les problématiques, vous désignez un pilote.

Tout le travail préliminaire est effectué par un délégué à la protection des données, anciennement correspondant informatique et libertés (CIL)...

L’objectif c’est d’avoir quelqu’un dans l’organisation ou à l’extérieur qui vous conseille sur la gestion de vos données, et qui en cas de problème peut normalement saisir la CNIL (tous les CIL peuvent le faire sauf les avocats). Le CIL, comme le délégué aujourd’hui, sont des consultants. Ils ne sont pas là pour exiger, pour sanctionner, ils sont là pour informer sur la façon dont on doit agir, et le cas échéant, servir de point de contact avec les personnes concernées, les patients par exemple, ou les autorités. Dans l’immense majorité des cas, ce poste devient obligatoire avec le RGPD. Dans le domaine de la santé c’est quasi systématique.

En France, en matière de santé, il existait déjà un règlement HDS pour la protection des données...

L’hébergement de données de santé (HDS) a rationalisé et augmenté la conformité à la loi informatique et libertés des prestataires et fournisseurs de services dans la santé, mais pas forcément des professionnels et des établissements. L’HDS a permis d’avoir une offre de services informatiques à destination de la santé qui était conforme à cette loi de 1978, il est même allé au-delà. Mais il ne pouvait rien faire contre une utilisation imprudente de données par les établissements et professionnels de santé. Le RGPD ajoute des obligations qui vont vers une meilleure gouvernance, une meilleure utilisation, et donc une meilleure sécurisation des données.

L’HDS passe aujourd’hui d’un principe d’agrément à un principe de certification...

L’agrément était délivré par le ministre. Le problème d’un ministre, c’est qu’il ne gère que le territoire français. Le ministre de l’intérieur, par exemple, ne peut pas envoyer ses forces de police à Berlin, et encore moins aux États-Unis. Cela veut dire qu’on ne pouvait jusqu’ici agréer que des entreprises installées en France (nde : l’agrément pouvait aussi être délivré à une entreprise étrangère)
En passant à un mécanisme de certification, on a juste transféré l’autorité qui vous donne le tampon. Avant c’était un ministre, maintenant c’est un organisme de droit privé, souvent à but lucratif, habilité par le comité français d’accréditation (COFRAC). N’importe quelle société étrangère pourra aujourd’hui demander à être certifiée. Le client saura, que l’entreprise soit installée à Tombouctou ou à Phnom Penh, si celle-ci respecte le droit français en matière de protection des données de santé.

Cette évolution semble renforcée par le RGPD ?

Le RGPD renforce la nécessité de contractualiser entre le sous-traitant et le responsable de traitement. L’hébergeur de données de santé était jusqu’à présent tenu par l’ASIP santé d’une obligation de conseil renforcé vis-à-vis de son client. Celle-ci est désormais codifiée dans le RGPD, qui responsabilise l’hébergeur de données. Auparavant, l’hébergeur prenait, “au pire”, un procès en responsabilité et perdait éventuellement son agrément. Là, il s’expose aux mêmes risques, mais aussi à une amende pouvant aller jusqu’à 20 millions d’euros, 4% sur le chiffre d’affaires mondial.

En quoi tous ces changements permettent d'améliorer la protection des données dans le domaine de la santé ?

Il ne faut pas oublier que la sécurité, c’est un tout. Le travail doit être fait en parallèle, d’un côté par les hébergeurs de données de santé avec la certification, de l’autre côté par les établissements avec le RGPD. Les deux parties doivent travailler ensemble sur la sécurité.

Pierre Desmarais, avocat au Barreau de Paris et délégué à la protection des données

Pour aller plus loin :

[Dossier] RGPD et HDS :
vers une meilleure sécurisation des données ?