Analyse d’impact obligatoire pour certains traitements de données de santé à caractère personnel

Deux délibérations, publiées dans le journal officiel du 6 novembre 2018, encadrent désormais certains traitements effectués sur des données à caractère personnel et en particulier des données de santé. En effet, ces traitements doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD).

De manière générale et « conformément à l’article 35.1 du RGPD, une AIPD devra être réalisée dès lors que le traitement est susceptible d’engendrer un risque élevé (liste de critères disponible ici paragraphe 1.1) pour les droits et libertés des personnes physiques. ». Une liste non exhaustive, est disponible ci-dessous :

Image retirée.

Une liste détaillée avec des exemples est disponible ici.

La CNIL met à disposition ici une aide, des modèles et un logiciel pour réaliser les AIPD.

Une AIPD faisant apparaître des risques résiduels élevés malgré les mesures envisagées par le responsable de traitement concerné doit être transmise à la CNIL dans les conditions prévues par l'article 36 du RGPD. La délibération précise spécifiquement que tous projets de traitement de données à caractère personnel dans le domaine de la santé doit être transmis à la CNIL dans le cadre de l'instruction de la demande d'autorisation.

Les traitements mis en œuvre avant l’entrée en vigueur du RGPD disposent d’une exemption jusqu’au 25 mai 2021 sauf si une modification majeure est réalisée.