RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur dans l’Union Européenne depuis le 25 mai 2018.

« Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il […] accroît sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données. »
RGPD : comment la CNIL vous accompagne dans cette période transitoire ? CNIL, 19/02/2018[1].

Remera fait de la conformité à ce règlement une de ses priorités. Conformément aux recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL), Remera suit le processus de mise en conformité en 6 étapes[2] :

  1. Choix d’un délégué à la protection des données
    (DPD – ou DPO pour Data Protection Officer)

    Il est l’interface entre le responsable des données de Remera et l’organisme de contrôle, la CNIL. Il a pour rôle d’informer et conseiller le responsable du traitement et de contrôler le respect du règlement.

  2. Cartographie des traitements de données personnelles

    Remera a effectué un schéma des processus du recueil et du traitement des données : les catégories de données et les données à risque, les personnes qui y auront accès, le but des traitements et les lieux de stockage ont été identifiés. Remera a pris les mesures de sécurité ad hoc. Remera tient aussi un registre des traitements.

  3. Priorisation des actions

    Remera ne collecte que les données essentielles à sa mission de surveillance épidémiologique et limite les accès aux données de manière stricte. Seules les données nécessaires, anonymisées et/ou agrégées, non directement identifiables peuvent être transmises et la demande de données doit être motivée. Il n’y a pas de sous-traitant amené à travailler sur les données. Les parents sont informés de la collecte des données et peuvent à tout moment, par simple contact avec Remera et sans justification, demander le retrait des données du registre. Les données sont définitivement anonymisées à la majorité de l’enfant.

  4. Gestion des risques

    Remera a effectué une étude d’impact sur la protection des données, qui présente la vraisemblance des risques en fonction de leur impact sur les personnes concernées, de manière à orienter son plan d’action. Pour cela, Remera a notamment utilisé le logiciel PIA[3] mis à disposition par la CNIL[4].

  5. Organisation du processus en interne

    Tous les collaborateurs sont sensibilisés à la protection des données. Des mesures ont été mises en place pour répondre le plus rapidement possible au retrait des données sur simple demande dans le cadre d’un droit à l’oubli. En cas de violation des données, la CNIL est informée dans les 24/48 heures ainsi que les personnes concernées.

  6. Documentation des actions

    Remera tient une documentation précise des traitements et met à disposition de l’organisme de contrôle l’analyse d’impact et le registre des traitements. Deux registres sont distingués pour chacun des traitements : un pour la mission principale de Remera (recueil, analyse des données pour une surveillance épidémiologique) et un registre des demandes de retrait.

Notes

Audit de conformité de Remera au RGPD

  • Dernier audit externe : juin 2021, dont PIA/CNIL.

    Auditeur : Wavestone pour Santé publique France.
    Synthèse : conforme au RGPD(*).
    (*) Mesure améliorable : référentiel commun aux registres, en cours d’élaboration par Santé publique France avec la CNIL.

  • Dernier audit interne : janvier 2020, dont PIA/CNIL.

    Auditeur : CPD de Remera en poste en novembre 2019.
    Synthèse : conforme au RGPD(*).
    (*) Mesure : maintenance mineure au fil du processus.

Contacts relatifs au RGPD au sein de Remera

  • Responsable des traitements : direction@remera.fr
  • Chargé de la protection des données (CPD) : cpd@remera.fr

Page mise à jour le 28 juin 2022

Registre des Malformations en Rhône-Alpes