L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) a mis en ligne le 2 juillet un kit composé d'un autodiagnostic permettant d’établir un état d’avancement de la mise en conformité avec le règlement général sur la protection des données (RGPD) et d'un corpus d'outils détaillant les exigences réglementaires.
Entré en vigueur en mai 2018, le RGPD a modifié l'encadrement réglementaire du traitement de données personnelles, dont font partie les données de santé, rappelle-t-on.
Il s'applique dans l'ensemble des Etats membres de l'Union européenne (UE) et tous les acteurs de santé (établissements sanitaire et médico-sociaux, institutionnels, industriels pharmaceutiques et du dispositif médical, start-up en santé) sont concernés en tant que responsables de traitement de données personnelles.
Dans ce cadre, le kit s'adresse à l'ensemble des structures sanitaires et médico-sociales et rassemble les ressources utiles pour leur permettre de se mettre en conformité avec le RGPD.
L'Anap propose d'abord un test autodiagnostic destiné au responsable de traitement d'un établissement de santé ou médico-social afin "d'évaluer l'avancement de la mise en conformité de sa structure" avec les exigences réglementaires européennes.
En introduction du test, le responsable de traitement est invité à répondre par "vrai ou faux" ou "oui ou non" à plusieurs questions comme "ma structure est concernée par le RGPD", "je suis en mesure de définir une donnée personnelle, une donnée sensible (notamment une donnée de santé) et une donnée d'infraction et de condamnation" ou encore "je connais les ressources disponibles pour mettre en œuvre la conformité au RGPD".
L'autodiagnostic propose ensuite au responsable de traitement un plan d’actions à réaliser pour répondre aux exigences réglementaires. Ces actions doivent lui permettre de piloter son programme de mise en conformité, de cartographier les traitements à établir, de prioriser ses actions, de gérer les risques et d'organiser et de documenter sa mise en conformité.
En parallèle de son test autodiagnostic, l'Anap a également compilé un ensemble d'outils et de guides pour la mise en œuvre de la conformité RGPD.
Ces documents sont édictés par l'Anap, la direction générale de l'offre de soins (DGOS), la Commission nationale de l'informatique et des libertés (Cnil), le Comité européen de la protection des données (CEPD) et le Clusif, le Club de la sécurité de l’information français.
En outre, le kit de l'Anap comprend deux avis d’experts. Le premier est relatif à la question de l’opportunité d’externaliser la fonction de délégué à la protection des données (DPO), en particulier dans les structures médico-sociales, et le second est destiné à faciliter le passage de l’inventaire au registre dans la cadre d'une mise en conformité RGPD.
Le kit RGPD mis en ligne par l'Anap
wz/san
