Compte tenu des 477 millions de dollars d’amendes prélevées en 2019 pour avoir enfreint le Règlement général sur la protection des données (RGPD), il ne fait aucun doute que les fabricants de matériel médical et les autres entreprises du secteur des sciences de la vie doivent mettre en œuvre et maintenir un programme de conformité durable.
En 2018, l’Union européenne (UE) a promulgué le Règlement général sur la protection des données (RGPD), sans doute la réglementation la plus stricte au monde en matière de protection des données. Nous commençons maintenant à en voir l’impact : en 2019, l’UE a facturé aux entreprises plus de 477 millions de dollars d’amendes pour avoir violé le règlement RGPD.
Si ce règlement peut sembler ne concerner que l’Europe et ses citoyens, la portée et l’impact globaux de cette législation se font sentir dans le monde entier, notamment pour les organisations qui offrent des biens et des services en Europe, indépendamment de leur nationalité ou de leur pays d’origine. Les entreprises qui enfreignent les droits conférés par le RGPD peuvent devoir indemniser les personnes concernées pour les dommages matériels ou immatériels résultant d’une infraction au RGPD, en plus des amendes administratives.
La stratégie de conformité est cruciale
Pour les fabricants de produits pharmaceutiques et de dispositifs médicaux qui opèrent en Europe, il est impératif de mettre en œuvre et de maintenir un programme RGPD durable. Dans l’idéal, vous avez déjà entamé le processus, car il est d’une portée immense et peut prendre plusieurs années, en fonction des processus existants dans votre entreprise pour le traitement des informations personnelles.
Pour réussir, vous devez construire votre cadre de conformité autour des droits des personnes concernées tels qu’ils sont décrits dans le mandat du RGPD, notamment en ce qui concerne la collecte et l’implantation des processus de collecte de données. Le responsable du traitement des données et le préposé au traitement des données ont des responsabilités et des obligations cruciales dans le contexte du nouveau règlement. Soyez clair sur vos pratiques en matière de protection des données, qui concerne la protection contre l’accès non autorisé aux données (c’est-à-dire la technologie), tandis que la confidentialité des données concerne le domaine juridique, qui serait le RGPD ou la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada, par exemple.
L’évaluation des risques, l’assurance qualité et l’audit joueront un rôle important dans la mise en place et la mise en œuvre continue de vos programmes de protection de la vie privée et des données. N’oubliez pas que le RGPD est une responsabilité partagée par l’ensemble de l’organisation, alors assurez-vous que vous :
- travaillez avec vos partenaires internes et externes;
- trouvez des systèmes et des outils qui répondent aux besoins de votre organisation;
- exploitez vos systèmes et processus existants, le cas échéant;
- adoptez une perspective globale.
Connaître la terminologie
Il est important de comprendre certains des termes et concepts clés utilisés dans la législation :
Données personnelles est un terme général désignant les informations relatives à un individu ou à une “personne fichée,” qui peuvent être utilisées pour déceler directement ou indirectement cette personne. Il s’agit par exemple du nom, de l’adresse ou des informations financières d’une personne. En association : PI = informations personnelles; PII = informations permettant d’identifier personnellement un individu
Les données biométriques sont des données à caractère personnel résultant d’un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d’une personne qui permettent ou confirment l’identification unique de cette personne, telles que les images faciales ou les données relatives aux empreintes digitales.
Le responsable du traitement des données est une entité juridique qui détermine, seule ou conjointement avec d’autres, la finalité du traitement de toute donnée personnelle et la manière dont elle sera traitée.
Le préposé du traitement des données est un tiers ayant des responsabilités spécifiques telles que définies par le RGPD. Ils traitent les données pour le compte du responsable du traitement des données et comprennent les fournisseurs de services informatiques et d’autres types de vendeurs qui traitent les données.
Le traitement des données est une action automatisée ou manuelle effectuée sur des données personnelles, telle que la collecte, l’organisation ou l’enregistrement. Pour que le traitement des données à caractère personnel soit légal en vertu du RGPD, les entreprises doivent déterminer une base légale pour cette action.
Le consentement est un concept fondamental de la législation européenne sur la protection des données. En général, il s’agit d’informer une personne concernée et de la nécessité d’obtenir son autorisation pour la collecte et le traitement de données à caractère personnel.
L’autorité de protection des données (APD) est une autorité nationale dans chaque pays qui est responsable de la protection des données et de la vie privée ainsi que de la mise en œuvre et de l’application de la loi sur la protection des données. La France dispose de la Commission Nationale de l’Informatique et Des Libertés (CNIL) et l’Allemagne du Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfD), par exemple.
Le délégué à la protection des données (DPD) est une personne officiellement chargée de veiller au respect de la protection des données dans une entreprise. Le rôle principal du DPD est de veiller à ce que son organisation traite les données personnelles de son personnel, de ses clients, de ses fournisseurs ou de toute autre personne (également appelée personne fichée) conformément aux règles applicables en matière de protection des données. Certaines organisations, mais pas toutes, sont tenues de nommer un DPD.
Les règles d’entreprise contraignantes sont des politiques de protection des données auxquelles adhèrent les entreprises établies dans l’UE pour les transferts de données personnelles en dehors de l’UE au sein d’un groupe d’entreprises ou de sociétés. Ces règles doivent inclure tous les principes généraux de protection des données et des droits exécutoires afin de garantir des garanties appropriées pour les transferts de données. Ils doivent être juridiquement contraignants et appliqués par chaque membre du groupe.
Le traitement transfrontalier est le traitement de données à caractère personnel lorsque le responsable du traitement ou le sous-traitant est établi dans plus d’un État membre, et que le traitement des données a lieu dans plus d’un État membre, ou les activités de traitement qui ont lieu dans un seul établissement dans l’UE, mais qui touchent des personnes concernées de plus d’un État membre.
Le registre des activités de traitement (RoPA) est une obligation de conserver une documentation écrite et un aperçu des procédures de traitement et d’utilisation des données personnelles. Les registres des activités de traitement doivent comprendre des informations importantes sur le traitement des données, notamment les catégories de données, le groupe de personnes concernées, la finalité du traitement et les destinataires des données. Ces informations doivent être mises à la disposition des autorités sur demande.
L’analyse d’impact sur la protection des données (AIPD) est requise par le RGPD chaque fois que vous lancez un nouveau projet susceptible d’entraîner “un risque élevé” pour les informations personnelles d’'autres personnes. L’EFDP, une nouvelle exigence du RGPD dans le cadre du principe de “protection par la conception”, est requise dans les cas suivants :
- Utilisation des nouvelles technologies
- Suivre l’'emplacement ou le comportement des personnes
- Surveillance systématique d’un lieu accessible au public à grande échelle
- Le traitement des données personnelles relatives à “l’origine ethnique ou raciale d’une personne, ses opinions politiques, ses croyances religieuses ou philosophiques ou son appartenance à un syndicat ainsi que le traitement des données génétiques et biométriques dans le but de reconnaître une personne physique, ou des données concernant la santé, la vie ou l’orientation sexuelle d’une personne”
- Le traitement des données est utilisé pour prendre des décisions automatisées concernant des personnes et pouvant avoir des effets juridiques (ou des effets similaires)
- Traitement des données relatives aux enfants
- Traitement susceptible d’entraîner un préjudice physique pour les personnes concernées en cas de fuite
La violation des données personnelles est une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal à des données personnelles transmises, stockées ou traitées d’une autre manière. En cas de violation de données personnelles, l’organisation doit signaler cette violation à l’autorité de contrôle, sauf s’il est peu probable que la violation des données personnelles entraîne un risque pour les droits et libertés des personnes. Lorsque la notification à l’autorité de surveillance n’est pas effectuée dans les 72 heures, elle exige une explication du retard.
Comprendre les droits des personnes
Les huit droits des consommateurs concernant leurs données personnelles sont considérés par beaucoup comme l’un des principaux objectifs de la nouvelle réglementation. Grâce à ces droits, la personne concernée peut formuler une demande spécifique et être assurée que ses données personnelles ne sont pas indûment collectées, partagées ou utilisées à d’autres fins que celles pour lesquelles elles ont été initialement fournies. Ces droits sont énumérés ci-dessous :
1. Le droit d’être informé précise que les entreprises et les organisations doivent informer les individus des données collectées, de la manière dont elles sont utilisées, de la durée de leur conservation et de leur éventuel partage avec d’autres parties. Ces informations doivent être communiquées de manière concise, dans un langage simple et avant la collecte des données.
2. Le droit d’accès stipule que les personnes peuvent soumettre des demandes d’accès, ce qui oblige les organisations à fournir une copie de toutes les données personnelles qu’elles détiennent concernant cette personne. Ce droit donne à la personne concernée la possibilité d’accéder aux données à caractère personnel la concernant qui sont en cours de traitement, y compris d’en obtenir des copies. Les entreprises peuvent facturer des frais raisonnables basés sur les coûts administratifs. Lorsque la personne concernée fait la demande par voie électronique, et sauf demande contraire de la personne concernée, les informations sont fournies sous une forme électronique couramment utilisée.
3. Le droit de rectification permet à la personne concernée de demander la modification de ses données personnelles si elle estime que ces données ne sont pas à jour ou exactes.
4. Le droit à l’oubli est également connu sous le nom de “droit à l’effacement,” permettant à la personne concernée de demander la suppression (l’effacement) de ses données. Il est important de noter qu’il ne s’agit pas d’un droit absolu. Il existe d’autres dépendances qui peuvent être impliquées, comme le calendrier/période de conservation de l’'entreprise et les exigences d’autres lois et réglementations applicables.
5. Le droit de restreindre le traitement signifie que les personnes concernées peuvent demander à l’organisation de limiter la manière dont elle utilise leurs données personnelles (ce droit peut servir d’option autre à la demande d’effacement des données, et peut être utilisé lorsqu’une personne conteste l’exactitude de ses données personnelles ou lorsqu’elle n’a plus besoin des informations mais que l’entreprise en a besoin pour établir, exercer ou défendre un droit légal).
6. Le droit à la portabilité des données garantit que la personne concernée a la possibilité de demander le transfert de ses données personnelles. Dans le cadre de cette demande, la personne concernée peut demander que les données à caractère personnel la concernant lui soient fournies en retour (à elle) ou soient transférées à un autre responsable du traitement. Le transfert de données est fourni dans un format électronique communément utilisé.
7. Le droit d’opposition dit que la personne concernée a le droit de s’opposer, à tout moment, au traitement des données personnelles qui sont collectées pour des raisons d’intérêts légitimes ou pour l’exécution d’une tâche dans l’intérêt/exercice de l’autorité officielle. Le responsable du traitement des données ne peut plus traiter les données à caractère personnel, à moins que le responsable du traitement ne démontre des motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice.
8. Les droits relatifs à la prise de décision automatisée et au profilage offrent des dispositions pour les décisions prises sans intervention humaine, comme le profilage, qui utilise des données personnelles pour faire des hypothèses calculées sur les individus. Les personnes concernées ont la possibilité de s’opposer à une décision fondée sur un traitement automatisé. À titre d’exemple, en utilisant ce droit, un client peut demander que sa demande soit examinée manuellement s’il estime qu’il existe des circonstances atténuantes qui peuvent nécessiter une intervention humaine dans le processus de décision.
Conclusion
Presque tous les aspects de la vie des consommateurs tournent autour des données, y compris les téléphones intelligents, les cartes de crédit et de débit, l’identité numérique, les médias sociaux et l’identification gouvernementale; essentiellement, chaque bien et service utilisé implique la collecte et l’analyse de données personnelles.
Les données numériques sont l’avenir et avec le volume de données collectées et stockées, les violations de données deviennent inévitables. Le RGPD est conçu pour refléter le monde dans lequel nous vivons actuellement.
Nous devons intégrer les lois sur les données personnelles, la vie privée et le consentement dans le présent et planifier l’avenir. Après tout, l’innovation technologique n’est pas statique, comme en témoigne la croissance du secteur de la protection des données. À titre d’exemple, aux États-Unis, 14 États ont déposé des projets de loi visant à renforcer la protection de la vie privée de leurs résidents et nous devons nous attendre à ce que cette tendance se poursuive au niveau mondial. Les entreprises doivent être en mesure de le planifier pour être résilientes en affaires.
Vous voulez en savoir plus sur la conformité au RGPD? Communiquez avec Actalent dès aujourd’hui.