Tatiana, pouvez-vous nous expliquer le cadre dans lequel se sont déroulés les travaux de la mise en conformité RGPD ?
La mise en oeuvre des traitements de données à caractère personnel est encadrée par des textes spécifiques et tout particulièrement par le RGPD, (Règlement Général sur la Protection des Données) qui est entré en application le 25 mai 2018. L’Agence Régionale de Santé a demandé au GRADeS de réaliser un état des lieux et de procéder, le cas échéant, à la mise en conformité des traitements. À cet effet, le GRADeS a inventorié l’ensemble de ses traitements et les a consignés dans son registre des activités de traitement. L’élaboration de ce registre a été achevée en décembre 2022.
Quel est le processus pour créer un registre des traitements ?
La création du registre commence par l’inventaire de tous les traitements de données que l’on réalise (des traitements les plus simples aux plus complexes). Cet inventaire doit être le plus exhaustif possible. Des fiches de traitement sont ensuite établies et rassemblées dans un registre qui s’intitule “Registre des activités de traitement”. Il y a autant de fiches que de traitements réalisés par la structure. On peut considérer qu’une fiche est une sorte de pièce d’identité du traitement car elle décrit son contenu ainsi que ses caractéristiques et notamment : – la finalité du traitement ; – les catégories de personnes concernées et de données traitées ; – la durée de conservation de ces données ; – les catégories des destinataires auxquels les données pourront être transmises. La tenue du registre nécessite un travail continu car, une fois que la mise en place initiale a été faite, il faut le maintenir à jour par rapport aux nouveaux traitements et aux éventuelles évolutions des traitements déjà répertoriés. Établir les fiches du registre permet de bien comprendre le contenu et la nature des traitements et de se mettre en capacité de respecter l’ensemble des exigences réglementaires. Par exemple, lorsqu’il apparaît qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées, le GRADeS réalise une analyse d’impact relative à la protection des données.
Pouvez-vous nous dire qui s’occupe de créer les fiches de traitement ?
Chaque fiche de traitement est le fruit d’un travail collaboratif entre les différentes équipes et plusieurs professionnels (équipe projet, juridique, technique, DPO, RSSI, etc.) Une fois que la fiche du registre est rédigée, elle est présentée à un comité interne d’experts afin de bénéficier d’une relecture complémentaire et d’éventuelles recommandations.
Vous avez évoqué un comité interne d’experts, pouvez-vous nous en dire plus ?
Il s’agit du Comité de validation des fiches (COVAFI) pluridisciplinaire. Il examine le contenu des fiches, ce qui lui permet d’émettre des avis sur les différents points de conformité RGPD et de formuler, le cas échéant, des recommandations. Les avis et recommandations du COVAFI sont ensuite transmis à la direction. Un autre comité d’experts, le Comité de validation des extractions (COVADEX), existe également au sein du GRADeS. Il est chargé d’instruire la régularité des différentes demandes de mise à disposition des données, par exemple, des demandes d’accès aux données à des fins de recherche.
Outre le respect des exigences réglementaires, cette mise en conformité qu’apporte-t-elle aux équipes opérationnelles ?
Le travail de vérification de la conformité RGPD peut permettre aux équipes de se réinterroger sur la pertinence de certaines modalités de la mise en oeuvre de leur projet. Par exemple, la rédaction d’une fiche de registre peut devenir l’occasion, voire l’opportunité, d’épurer et de rationaliser les organisations envisagées ou déjà mises en place. La fiche de traitement devient alors un outil pour améliorer la feuille de route des projets. « Vérifier le respect des exigences réglementaires en matière de la protection des données à caractère personnel amène à s’interroger sur le contenu du traitement et indirectement sur le projet en lui-même. » Autrement dit, la démarche de mise en conformité RGPD est bénéfique pour la structure car elle permet non seulement de répondre aux exigences réglementaires, mais aussi de faciliter la gestion du projet.
Pouvez-vous nous parler de l’importance de la sensibilisation à la protection des données qui accompagne la démarche de conformité RGPD ?
La protection des données à caractère personnel au sein du GRADeS repose, entre autres mesures, sur l’instauration des bonnes pratiques professionnelles en matière de traitement de données. Pour cela, un travail de sensibilisation et d’accompagnement est capital. Des sessions de sensibilisation sont donc organisées pour permettre à nos agents de mieux comprendre les enjeux de la protection des données et d’acquérir des compétences de base dans ce domaine. Le GRADeS ieSS est une structure qui traite des données à caractère personnel, y compris des données sensibles, telles que les données de santé. Aussi, il est nécessaire que nos agents soient à même d’identifier ce type de données ainsi que les situations qui nécessitent la sollicitation du DPO.
Cookie | Durée | Description |
---|---|---|
cookielawinfo-checkbox-advertisement | 1 an | Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Publicité ». |
cookielawinfo-checkbox-analytics | 1 an | Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Analytics ». |
cookielawinfo-checkbox-functional | 1 an | Le cookie est défini par le consentement aux cookies du RGPD pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie « Fonctionnel ». |
cookielawinfo-checkbox-necessary | 1 an | Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Nécessaire ». |
cookielawinfo-checkbox-others | 1 an | Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Autre". |
cookielawinfo-checkbox-performance | 1 an | Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Performance ». |
CookieLawInfoConsent | 1 an | Enregistre l'état du bouton par défaut de la catégorie correspondante & le statut du CCPA. Il fonctionne uniquement en coordination avec le cookie principal. |
elementor | 1 jour | Le thème WordPress du site utilise ce cookie. Il permet au propriétaire du site Web de mettre en œuvre ou de modifier le contenu du site Web en temps réel. |
PHPSESSID | session | Ce cookie est natif des applications PHP. Le cookie est utilisé pour stocker et identifier l'ID de session unique d'un utilisateur dans le but de gérer la session utilisateur sur le site Web. Le cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées. |
wpEmojiSettingsSupports | session | WordPress définit ce cookie lorsqu'un utilisateur interagit avec des emojis sur un site WordPress. Cela permet de déterminer si le navigateur de l'utilisateur peut afficher correctement les emojis. |
Cookie | Durée | Description |
---|---|---|
yt-player-headers-readable | 1 jour | Le cookie yt-player-headers-readable est utilisé par YouTube pour stocker les préférences de l'utilisateur liées à la lecture vidéo et à l'interface, améliorant ainsi l'expérience visuelle de l'utilisateur. |
yt-remote-cast-available | session | Le cookie yt-remote-cast-available est utilisé pour stocker les préférences de l'utilisateur concernant la disponibilité ou non du casting sur son lecteur vidéo YouTube. |
yt-remote-cast-installed | session | Le cookie installé par yt-remote-cast est utilisé pour stocker les préférences du lecteur vidéo de l'utilisateur utilisant la vidéo YouTube intégrée. |
yt-remote-connected-devices | never | Aucune description disponible |
yt-remote-device-id | 1 jour | Aucune description disponible |
yt-remote-fast-check-period | session | Le cookie yt-remote-fast-check-period est utilisé par YouTube pour stocker les préférences de lecteur vidéo de l'utilisateur pour les vidéos YouTube intégrées. |
yt-remote-session-app | session | Le cookie yt-remote-session-app est utilisé par YouTube pour stocker les préférences de l'utilisateur et des informations sur l'interface du lecteur vidéo YouTube intégré. |
yt-remote-session-name | session | Le cookie yt-remote-session-name est utilisé par YouTube pour stocker les préférences du lecteur vidéo de l'utilisateur utilisant la vidéo YouTube intégrée. |
ytidb::LAST_RESULT_ENTRY_KEY | 1 jour | Le cookie ytidb::LAST_RESULT_ENTRY_KEY est utilisé par YouTube pour stocker la dernière entrée de résultat de recherche sur laquelle l'utilisateur a cliqué. Ces informations sont utilisées pour améliorer l'expérience utilisateur en fournissant des résultats de recherche plus pertinents à l'avenir. |
Cookie | Durée | Description |
---|---|---|
VISITOR_INFO1_LIVE | 6 mois | Ce cookie est défini par Youtube. Utilisé pour suivre les informations des vidéos YouTube intégrées sur un site Web. |
VISITOR_PRIVACY_METADATA | 6 mois | YouTube définit ce cookie pour stocker l'état de consentement de l'utilisateur aux cookies pour le domaine actuel. |
YSC | session | Ces cookies sont définis par Youtube et sont utilisés pour suivre les vues des vidéos intégrées. |
yt.innertube::nextId | 1 jour | Ces cookies sont définis via des vidéos youtube intégrées. |
yt.innertube::requests | 1 jour | Ces cookies sont définis via des vidéos youtube intégrées. |
Cookie | Durée | Description |
---|---|---|
__cflb | 1 heure | Ce cookie est utilisé par Cloudflare pour l'équilibrage de charge. |
gmtoffset | session | La description n'est pas disponible actuellement. |
Tapez un mot-clé et validez votre recherche.