15Jan2018

Boite à outils : vocabulaire e-Santé et réglementation européenne

Photo : Descrier

RGPD

Le Règlement Général sur la Protection des Données fournit le cadre général au niveau européen en matière de protection des données à caractère personnel. Les dispositions du Règlement seront immédiatement applicables dans tous les pays de l’Union européenne le 25 mai 2018.

ePrivacy

Une proposition de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques (mieux connu sous le nom plus court : Proposition de Règlement ePrivacy) est une proposition de la Commission européenne visant à renforcer la protection de la vie privée des citoyens européens et à ouvrir de nouvelles perspectives commerciales. Parmi les grands thèmes abordés figurent l’utilisation des cookies et les pratiques associées, ainsi que le recueil du consentement des internautes.
Suite à l’adoption le 23 octobre par le Parlement européen d’un rapport sur la proposition de Règlement, le Conseil de l’Union européenne, réunissant les représentants des Etats membres, doit adopter une position commune sur le texte.

Code de conduite

Les codes de conduite sont encadrés par les articles 40 et 41 du RGPD. Ils peuvent être élaborés par des « associations et autres organismes représentant des catégories de responsables de traitement ou de sous-traitants ». Ils ont pour objectif de préciser les modalités d’applications du RGPD, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des entreprises.

Certifications et labels

Les mécanismes de certification et de labels sont prévus aux articles 42 et 43 du RGPD et ont vocation en particulier à être des outils qui permettront de « démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le règlement ». Les certifications ou labels peuvent être délivrés par un organisme de certification ou par l’autorité de contrôle compétente pour une durée de trois ans maximum.

Groupe de l’Article 29

L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. Cette organisation réunit l’ensemble des « CNILs » européennes. La présidence du G29 est assurée par la présidente de la CNIL depuis février 2014. Son mandat a été renouvelé en février 2016 pour une durée de deux ans.
Le Groupe de l’Article 29 deviendra le Comité européen sur la protection des données (European Data Protection Board) à partir de l’entrée en vigueur du RGPD, le 25 mai 2018.

DPO

Le RGPD prévoit la nomination d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer ») pour les responsables de traitement de données personnelles lorsque le traitement est effectué par un organisme public, lorsque les activités de base de l’organisme mènent à effectuer un suivi régulier et systématique des données personnelles ou lorsque leurs activités de base les amènent à traiter à grande échelle des données sensibles.

Donnée sensible

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. La collecte et le traitement de ces données doivent être justifiés au cas par cas soit en recevant un consentement exprès de la part de la personne concernée ou par un intérêt public sanctionné par les autorités de protection de données.