Guide - En tant que Responsable du traitement, que dois-je faire?

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) entrera en vigueur. Voici quelques conseils pour vous préparer en tant que Responsable du traitement.

Les informations ci-dessous sont fournies à titre indicatif et ne peuvent pas être considérées comme un avis juridique. Ces informations concernent l’impact du RGPD uniquement dans le cadre de l’utilisation des services de Progenda et Progenda décline toute responsabilité quant à l'utilisation de ces informations.

 

Etape 0: Informez-vous!

Vous trouverez de la documentation pertinente en bas de la page “Introduction au RGPD chez Progenda”.

Bien sûr, faites également vos propres recherches. Le sujet de RGPD est vaste et la compréhension du RGPD doit se faire en regard de votre organisation spécifique.

Etape 1: Inventaire des données

En tant que Responsable du traitement, votre première priorité est d’effectuer un inventaire des données à caractère personnel et des traitements effectués. Cette opération doit être documentée au maximum.

Cette opération d’inventaire prend en compte différentes dimensions:

  • Données à caractère personnel: Nature de la donnée, degré de sensibilité (risque pour l’individu), …
  • Traitement: Type d’opération effectuée sur la donnée
  • Finalité du traitement: Objectif(s)/Raison(s) poursuivi lors du traitement de la donnée

N’hésitez pas à faire ce travail avec votre équipe afin d’être exhaustif!

Exemple: Lorsqu’un patient prend rendez-vous via internet sur Progenda (finalité), il indique ses coordonnées (Données à caractère personnel), ses informations sont enregistrées dans l’agenda médical (traitement n°1) et une confirmation est envoyée (traitement n°2).

Etape 2: Sous-traitants et conventions

Si vous faites appel à des sous-traitants, vous devez en établir la liste, identifier les lieux de traitement des données et vous assurer qu’ils sont conformes. Cette opération doit être documentée au maximum. Veillez à signer une “Convention de traitement des données à caractère personnel” avec chacun d’eux.

En conséquence, n’oubliez pas de signer la “Convention de traitement des données” avec Progenda. Si vous ne l'avez pas reçue par email, connectez-vous à votre agenda et allez dans la section "Mon compte & Facturation" pour signer le document.

Etape 3: Analyse des risques et d’impact

En fonction des données identifiées à l’étape 1 ci-dessus, évaluez les risques dans vos traitements des données sur base des critères suivants:

  • Nature des données: Est-ce que les données que je traite sont sensibles?
  • Analyse des risques: Est-ce que le monde extérieur a facilement accès à ces données? Via quels canaux est-ce que ces données pourraient filtrer? Ces canaux sont-ils sécurisés?
  • Analyse de l’impact sur la vie privée: Est-ce que quelqu’un pourrait avoir intérêt à obtenir ces données? Est-ce que si ces données étaient rendues publiques, cela pourrait porter préjudice à quelqu’un?

Cette analyse est obligatoire pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Les données de santé sont particulièrement sensibles. Le RGPD considère la prise de rendez-vous avec un professionnel médical comme une donnée de santé.

Veillez à documenter au maximum toute l’opération.

Etape 4: Documentez!

Vous avez l’obligation de documenter le travail fait dans les étapes précédentes. Veillez à collectionner toutes les informations dans un dossier facilement accessible.

Ne vous arrêtez pas là!

Chez Progenda, nous accordons une très grande importance à la formation et à la sensibilisation de notre équipe quant à la protection des données.

Voici quelques exemples de procédures de sécurité facilement mises en place et efficaces:

  • Expliquez à votre équipe ce qu’est le RGPD et l’importance de la protection des données
  • Mettez en place une politique de gestion des mots de passe: “Chacun son mot de passe”, “Ne pas partager un mot de passe”, …
  • Mises à jour mensuelles des logiciels et anti-virus
  • Installation d’anti-virus sur les ordinateurs, tablettes et téléphones
  • ...

Télécharger la politique de sécurité au format PDF (16/05/2018)