Le Décret d’application de la loi relative à l’informatique, aux fichiers et aux libertés modifié pour intégrer les évolutions induites par l’entrée en vigueur du RGPD

Les instantanés

Événements, publications, actualités du cabinet

Les dernières actus


Le Décret d’application de la loi relative à l’informatique, aux fichiers et aux libertés modifié pour intégrer les évolutions induites par l’entrée en vigueur du RGPD

Le Décret d’application de la loi relative à l’informatique, aux fichiers et aux libertés modifié pour intégrer les évolutions induites par l’entrée en vigueur du RGPD

Après la modification des dispositions de la loi informatique et liberté par la loi n°2018-493 du 20 juin 2018, relative à la protection des données personnelles, c’est au tour du Décret d’application de 2005 d’être mis en conformité avec le RGPD

Outre la création des dispositions relatives à l’approbation des référentiels de certification et d’agrément, du comité d’audit et des délégués à la protection des données, la mise en conformité du Décret passe également par la suppression du chapitre II sur les déclarations préalables à la création d’un nouveau traitement de données et précise le contenu obligatoire des contrats conclus entre le sous-traitant et le responsable de traitement.

Les obligations incombant aux responsables de traitements et aux sous-traitants sont également modifiées pour intégrer le dispositif de notification des violations des données à la CNIL et à la personne intéressée.

En matière de traitement de données à caractère personnel dans le domaine de la santé, l’article 19 est modifié pour préciser les modalités qui encadrent l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques.

Il convient également de noter l’article 37 qui vient rappeler de manière assez laconique que les personnes accueillies dans les établissements ou sont exercées des activités de prévention, de diagnostic et de soins doivent être informées par la remise d’un document ou, par tout autre moyen approprié, sur les mentions prescrites par le RGPD.

L’article 36 précise encore que les établissements de santé et les établissements médico-sociaux doivent, afin d’informer les personnes concernées (les patients principalement), mentionner sur leur site internet, ainsi que sur des supports tels que des affiches ou des documents papiers, que leurs données peuvent être réutilisées, après avoir été rendues non directement identifiantes, à des fins de recherche, d’études ou d’évaluations et qu’ils disposent de droits concernant ces traitements de données.

Des dispositions réglementaires qu’il était indispensable de faire évoluer et qui permettent de préciser un peu plus le cadre, parfois encore flou, de la mise en conformité au RGPD pour les établissements et les professionnels de santé.

Mathieu Gautier, Avocat à la Cour.

Avec Delphine JAAFAR, Avocat associé

Pour le département SANTE