Ce texte[1], d’application directe sur le territoire de l’Union, sera directement applicable sur l’ensemble du territoire de l’Union européenne le 25 mai 2018. Les entreprises doivent donc d’ores et déjà se préparer pour mettre en conformité leurs activités.
Par l’introduction du principe de « privacy by design », c’est-à-dire de protection de la vie privée de la conception au traitement, le texte fait peser de nouveaux devoirs sur les entreprises et les acteurs de la santé mais devrait permettre un allègement des formalités déclaratives en permettant aux entreprises d’effectuer des démarches auprès d’une seule autorité pour l’ensemble de l’UE.
Quelques conseils pour anticiper le nouveau cadre :
- Vérifier si ses activités entrent dans le champ d’application du Règlement : les données relatives à la santé sont définies comme « toute information concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source ». Attention, les objets connectés et les dispositifs médicaux peuvent être concernés puisque c’est non pas le moyen mais la finalité de l’utilisation des données qui est pris en compte.
- Suivre les nouvelles obligations en matière d’information et en faire un avantage concurrentiel : l’obligation de déclaration ou d’autorisation préalable est supprimée. Corrélativement, une étude préalable des risques liés au traitement des données devra désormais être menée par le responsable de traitement. En outre, en cas de violation de données, une déclaration sera effectuée auprès de la personne dans les meilleurs délais et de la CNIL dans un délai maximum de 72 heures. Ces mesures pourront utilement rassurer le patient.
- Désigner un délégué à la protection des données (DPO) : pour les entreprises privées, la nomination d’un DPO (ex CIL) sera obligatoire dès lors que leurs activités exigent un suivi régulier et systématique à grande échelle des personnes concernées ou qu’elles consistent en un traitement à grande échelle de catégories particulières de données.
- Mettre en place un hébergement sécurisé : des nouvelles règles sont mises en place à l’égard des sous-traitants. L’hébergeur sera soumis à une obligation de tenue d’un registre, de notification des violations de données personnelles, de désignation d’un délégué à la protection des données. Une attention particulière devra être portée sur la rédaction des contrats d’hébergement qui devront prévoir l’assistance apportée par l’hébergeur au responsable de traitement dans l’ensemble des matières traitées par le Règlement.
Le Règlement pourra voir des incidences sur l’activité des sociétés étrangères. En effet, il est applicable aux entreprises établies hors Union européenne lorsque celles-ci mettent en œuvre des traitements visant à fournir des biens et des services aux résidents européens, y compris par internet. Le cas échéant, un représentant au sein de l’Union européenne devra être nommé.
Enfin, il confirme les règles de transfert des données hors UE, qui devront être encadrés par des Binding Corporate Rules (règles d’entreprises contraignantes) approuvées par l’autorité de contrôle compétente, qui pourront prendre la forme d’une adhésion à des codes de conduite ou à un mécanisme de certification, à la condition que ceux-ci contiennent des engagements contraignants.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE