RGPD : conformité

Êtes-vous dans la conformité par rapport au RGPD ?

Catégories

Les étapes de la conformité

1. Cartographiez vos traitements

Listez dans votre registre de traitements (DOC ou OpenOffice)

1) la finalité poursuivie par le traitement
2) les catégories de données utilisées
3) ceux qui ont accès aux données
4) la durée de conservation des données

2. Identifiez les données utiles à votre activité

Pour tous les traitements (DOC ou OpenOffice) figurant dans le registre vérifiez que

1) les données collectées sont nécessaires à vos activités internes et externes
2) vous avez le droit de traiter de données sensibles
3) les données sont conservées pour une durée proportionnelle à la finalité du traitement

3. Vérifier si la désignation d’un DPO vous est obligatoire

Ce sera le cas si vous traitez des données dites « sensibles » à grande échelle.

> En pratique, les cabinets libéraux ne semblent pas réaliser de traitement à grande échelle.

4. Soyez transparent : veillez au respect des droits des personnes concernés

Pour toute collecte de données personnelles informez les personnes concernées des éléments suivants :

1) les raisons pour lesquelles les données sont collectées
2) l’identité de ceux ayant accès aux données
3) la durée de conservation des données
4) les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits
5) si un transfert de données est effectué hors Union européenne

5. Veillez à la sécurité des données personnelles collectées

L’intégrité des données doit être assurée par la mise en place de mesures de sécurité physiques et informatiques d’autant plus lorsqu’il s’agit de données sensibles.

Les mesures à prendre :

1) l’utilisation de mots de passe complexes
2) veillez à la mise à jour des logiciels
3) veillez à consigner les mesures de sécurité dans un document
4) rédiger une procédure à suivre en cas de violation des données personnelles
5) notifier à la CNIL et à la personne concernée les incidents de sécurité dans un délai de 72H

6. Vérifier si une étude d’impact est nécessaire

Tel est le cas :

1) pour tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques
2) avant toute collecte et mise en œuvre de traitements

La mise en conformité de l’Ordre avec le RGPD

L’Ordre s’est mis en conformité

Le Conseil national de l’Ordre des masseurs-kinésithérapeutes, particulièrement soucieux du respect des principes de protection de données personnelles a entrepris de se mettre en conformité avec le Règlement européen sur la protection des données personnelles entré en application le 25 mai 2018.

Réalisation d’un audit de conformité

L’audit de conformité des traitements du Conseil va permettre d’identifier l’ensemble des traitements mis en œuvre par le CNOMK, par Directions et Services et de préfigurer le registre des traitements qui devra être mis en place.

Le rapport d’audit permettra d’identifier les mesures techniques et organisationnelles à mettre en œuvre afin d’assurer le respect des principes de protection des données personnelles.

Désignation d’un délégué à la protection des données (DPO)

L’ordre a désigné un délégué à la protection des données (DPO) ou « Data Privacy Officer »  en la personne de Maître Jeanne Bossi Malafosse, avocate associée au sein du Cabinet DELSOL Avocats, spécialisée en protection des données personnelles et systèmes d’information de santé pour accompagner l’Ordre dans cette mise en conformité.

Ses missions sont les suivantes :

  • audit et mise en conformité des traitements de données à caractère personnel de l’Ordre
  • information et conseil sur les obligations en matière de protection des données
  • sensibilisation des conseillers et collaborateurs de l’Ordre à travers des formations
  • point de contact des questions et  demandes relatives à la protection des données personnelles

Le DPO peut être joint par email à l’adresse suivante dpo@ordremk.fr ou par téléphone au numéro suivant 01 43 18 32 70 pour toute question relative à l’application des principes de protection des données ou à l’exercice des droits.