Tatiana, pouvez-vous nous expliquer le cadre dans lequel se sont déroulés les travaux de la mise en conformité RGPD ?
La mise en oeuvre des traitements de données à caractère personnel est encadrée par des textes spécifiques et tout particulièrement par le RGPD, (Règlement Général sur la Protection des Données) qui est entré en application le 25 mai 2018. L’Agence Régionale de Santé a demandé au GRADeS de réaliser un état des lieux et de procéder, le cas échéant, à la mise en conformité des traitements. À cet effet, le GRADeS a inventorié l’ensemble de ses traitements et les a consignés dans son registre des activités de traitement. L’élaboration de ce registre a été achevée en décembre 2022.
Quel est le processus pour créer un registre des traitements ?
La création du registre commence par l’inventaire de tous les traitements de données que l’on réalise (des traitements les plus simples aux plus complexes). Cet inventaire doit être le plus exhaustif possible. Des fiches de traitement sont ensuite établies et rassemblées dans un registre qui s’intitule “Registre des activités de traitement”. Il y a autant de fiches que de traitements réalisés par la structure. On peut considérer qu’une fiche est une sorte de pièce d’identité du traitement car elle décrit son contenu ainsi que ses caractéristiques et notamment : – la finalité du traitement ; – les catégories de personnes concernées et de données traitées ; – la durée de conservation de ces données ; – les catégories des destinataires auxquels les données pourront être transmises. La tenue du registre nécessite un travail continu car, une fois que la mise en place initiale a été faite, il faut le maintenir à jour par rapport aux nouveaux traitements et aux éventuelles évolutions des traitements déjà répertoriés. Établir les fiches du registre permet de bien comprendre le contenu et la nature des traitements et de se mettre en capacité de respecter l’ensemble des exigences réglementaires. Par exemple, lorsqu’il apparaît qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées, le GRADeS réalise une analyse d’impact relative à la protection des données.
Pouvez-vous nous dire qui s’occupe de créer les fiches de traitement ?
Chaque fiche de traitement est le fruit d’un travail collaboratif entre les différentes équipes et plusieurs professionnels (équipe projet, juridique, technique, DPO, RSSI, etc.) Une fois que la fiche du registre est rédigée, elle est présentée à un comité interne d’experts afin de bénéficier d’une relecture complémentaire et d’éventuelles recommandations.
Vous avez évoqué un comité interne d’experts, pouvez-vous nous en dire plus ?
Il s’agit du Comité de validation des fiches (COVAFI) pluridisciplinaire. Il examine le contenu des fiches, ce qui lui permet d’émettre des avis sur les différents points de conformité RGPD et de formuler, le cas échéant, des recommandations. Les avis et recommandations du COVAFI sont ensuite transmis à la direction. Un autre comité d’experts, le Comité de validation des extractions (COVADEX), existe également au sein du GRADeS. Il est chargé d’instruire la régularité des différentes demandes de mise à disposition des données, par exemple, des demandes d’accès aux données à des fins de recherche.
Outre le respect des exigences réglementaires, cette mise en conformité qu’apporte-t-elle aux équipes opérationnelles ?
Le travail de vérification de la conformité RGPD peut permettre aux équipes de se réinterroger sur la pertinence de certaines modalités de la mise en oeuvre de leur projet. Par exemple, la rédaction d’une fiche de registre peut devenir l’occasion, voire l’opportunité, d’épurer et de rationaliser les organisations envisagées ou déjà mises en place. La fiche de traitement devient alors un outil pour améliorer la feuille de route des projets. « Vérifier le respect des exigences réglementaires en matière de la protection des données à caractère personnel amène à s’interroger sur le contenu du traitement et indirectement sur le projet en lui-même. » Autrement dit, la démarche de mise en conformité RGPD est bénéfique pour la structure car elle permet non seulement de répondre aux exigences réglementaires, mais aussi de faciliter la gestion du projet.
Pouvez-vous nous parler de l’importance de la sensibilisation à la protection des données qui accompagne la démarche de conformité RGPD ?
La protection des données à caractère personnel au sein du GRADeS repose, entre autres mesures, sur l’instauration des bonnes pratiques professionnelles en matière de traitement de données. Pour cela, un travail de sensibilisation et d’accompagnement est capital. Des sessions de sensibilisation sont donc organisées pour permettre à nos agents de mieux comprendre les enjeux de la protection des données et d’acquérir des compétences de base dans ce domaine. Le GRADeS ieSS est une structure qui traite des données à caractère personnel, y compris des données sensibles, telles que les données de santé. Aussi, il est nécessaire que nos agents soient à même d’identifier ce type de données ainsi que les situations qui nécessitent la sollicitation du DPO.
Tapez un mot-clé et validez votre recherche.
