Par Pierre Le Guellec, Président de Yec’Hed Mat Conseil
Les études d’impact, plus connues sous leur acronyme anglais PIA (Privacy Impact Assessment), sont une des composantes du RGPD introduites par son article 35. Elles consistent à évaluer les risques encourus par les personnes concernées lors du traitement de leurs données. Si les PIA sont encore peu réalisés c’est parce que l’ancienne directrice de la CNIL avait annoncé que son institution ferait preuve de souplesse et de pragmatisme et que les études d’impact « représentaient une démarche lourde et exigeante pour les petites entreprises ». Le temps a passé depuis le 25 mai 2018 et la mise en œuvre des PIA dès 2020 est fortement recommandée et obligatoire lorsque la règlementation l’impose : application du RGPD, décisions de la CNIL ou avis du CEPD (Comité Européen de la Protection des Données, ex G29).
Dans le domaine de la santé, on distingue deux cas de figure : les praticiens exerçant à titre individuel d’une part et tous les autres cas d’autre part. Dans le premier cas, qu’il exerce au sein d’un cabinet médical ou d’une pharmacie, le professionnel de santé n’est pas tenu de réaliser d’études d’impact, de même qu’il n’a pas à nommer de DPO. Ainsi, dans ce cas spécifique, échappent au PIA la prise des rendez-vous, la gestion des dossiers médicaux, l’édition des ordonnances, l’établissement et la télétransmission de feuilles de soin, la communication entre professionnels de santé et la tenue de la comptabilité. Tous ces traitements doivent cependant respecter le RGPD en terme de droit des personnes concernées par exemple.
A contrario, tous les traitements de données de santé qui sont mis en œuvre dans des établissements de santé comme au sein d’entreprises sont concernés par les études d’impact. Elles sont en particulier obligatoires si les données sont considérées comme sensibles (ce qui est le cas des données de santé et a fortiori des données génétiques) et qu’en plus les personnes concernées sont dites vulnérables (au sens du RGPD) : salariés, patients, enfants, personnes âgées, personnes sous tutelle ou curatelle.
La CNIL exige ainsi que certains traitement fassent l’objet d’une étude d’impact : les dossiers patients, les algorithmes d’aide à la décision médicale, les dispositifs de vigilance sanitaire, les dispositifs de télémédecine, la gestion du plateau technique (biologie médicale, pharmacie à usage interne ou imagerie médicale), la recherche clinique à travers ses méthodologies de référence (MR 001, MR 003…), etc.
Sur un plan pratique, l’étude d’impact doit être réalisée par le service qui traite les données, avec l’aide et la supervision du DPO, puis validée par le responsable de traitement. Il s’agira en premier lieu d’identifier la base légale du traitement, puis les violations potentielles des données en précisant la gravité des impacts sur les personnes concernées et enfin d’évaluer la vraisemblance des menaces rendant possible ces violations. A titre d’exemple, la communication publique de pathologies d’une personne donnée, si elle est atteinte d’une maladie grave, peut avoir de nombreuses répercussions sur le plan personnel et professionnel qu’il faudra lister et détailler.
Au-delà de son caractère obligatoire, on peut voir un intérêt au PIA à plusieurs niveaux. C’est en premier lieu un outil de qualité interne à l’entreprise pour vérifier que les traitements qu’elle met en œuvre ne présentent pas de risque pour les personnes concernées. C’est aussi une étape nécessaire pour déclarer un engagement de conformité sur le site de la CNIL, par exemple dans le domaine de la recherche clinique. Enfin, en cas de contrôle, c’est aussi le meilleur moyen de prouver à la CNIL sa conformité au RGPD. Les études d’impact permettent aussi de vérifier que les mesures adoptées dans le cadre de la cybersécurité (article 32 du RGPD) sont en adéquation avec le risque lié au traitement des données.
Une étude d’impact est une démarche longue et complexe qui doit être réalisée obligatoirement avant la mise en œuvre du traitement des données à caractère personnel dont elle fait l’objet. De plus, n’oublions pas que le secteur du dispositif médical voit son propre règlement applicable dès mai 2020 et que son article 110 impose une mise en conformité avec le RGPD et donc, la mise en œuvre de PIA (voir « Dispositifs médicaux et RGPD : tous concernés »).
Une astuce pour finir : dans les cas où l’étude d’impact n’est pas requise par les textes règlementaires mais qu’il peut exister un risque pour les personnes, le responsable de traitement peut réaliser une pré-étude d’impact afin de justifier de la nécessité ou non de réaliser un PIA complet.
Pierre Le Guellec
Président de Yec’Hed Mat Conseil
Formateur et DPO certifié
Expert du monde de la santé
Pour recevoir nos prochains articles, inscrivez-vous à notre infolettre !