24 octobre 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#136 RGPD pour éditeur de logiciel de santé

[mis à jour le 29 janvier 2018] Et lorsqu’un éditeur de logiciel de santé, basé à Lyon, vous propose de venir réfléchir sur le RGPD-GDPR, vous iriez ? Moi, j’y vais. Et pas que pour le saucisson chaud promis pour le déjeuner. Alors oui, nous allons repartir du début du texte de ce RGPD-GDPR. Vous trouverez ci-dessous la présentation « RGPD-GDPR Synthèse pour éditeur de logiciel de santé » faite pour Oppido et Novaxium le 24 octobre 2017. Et merci à Frédéric Labail pour son accueil !
Alors que les premières négociations contractuelles commencent à se crisper sur « la protection des données personnelles du CLIENT »… Les uns veulent que le sous-traitant soit « co-traitant » (mais ils lui refusent la co-propriété sur les données traitées – étonnant, non ?). Les autres veulent (déjà ?!?!) des garanties de faisabilité au regard de « e-Privacy » dont le vote se dessine pour fin octobre 2017 le premier semestre 2018.
[mise à jour du 29 janvier 2018] Attention à l’encadrement spécifique du traitement des données de santé. La future « loi CNIL V3 » envisage un nouvel encadrement complet de la collecte et du traitement des données de santé. JE vous invite à lire la version provisoire de la future loi « Informatique et libertés » V3 sur ce blog.
PS : effectivement, le saucisson chaud avec les lentilles tièdes, une tuerie (qui ne pousse pas à la productivité après…).


Bon, alors, quelles problématiques pour les professionnels de la santé en France ? Et pour les éditeur de logiciel de santé (au hasard, en mode SaaS ?).
RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé

L’éditeur des solutions SaaS qui gère des données de santé ne pourra pas garantir l’obligation d’information. Ce devoir appartient bien au titulaire des données (probablement l’opérateur de l’EHPAD dans notre exemple).
RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé

Et si bien entendu, les données de santé sont spécifiquement protégées par le secret médical et leur nature sensible pour la GDPR, le droit d’opposition à prospection et profilage s’appliquent aussi.
RGPD-GDPR Synthèse pour éditeur de logiciel de santé
Le fondement juridique du traitement : AVEC ou SANS consentement ? Un traitement SANS consentement nécessaire « à la sauvegarde des intérêts vitaux » ?
RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé

Les données personnelles ? Quelles données personnelles ? Mes données ou les données de mes proches ? Les data de mon parent qu’un EHPAD pourrait prendre en charge ?
RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé

Je sens que je vais devoir insister sur les obligations de sécurisation technique des données. Ben oui… des données médicales, c’est sensible, ça. Et puis, vu la matière, l’obligation de notification des failles de sécurité sonne déjà comme de la bonne pub… ça va faire chic dans la presse. Regardez l’affaire Hertz en France…
RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé


RGPD-GDPR Synthèse pour éditeur de logiciel de santé RGPD-GDPR Synthèse pour éditeur de logiciel de santé

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ