RGPD et protection des données

Questions and Answers

Qui est considéré comme le responsable du traitement des données ?

• Une personne ayant simplement accès aux données
• Une personne ou un organisme qui détermine les finalités et les moyens du traitement (correct)
• Un sous-traitant travaillant pour le compte d'un autre
• Une autorité publique qui ne traite pas les données

Quel est l'un des rôles du responsable du traitement (RT) selon le RGPD ?

• Évaluer la capacité de tous les utilisateurs
• Mettre en place un registre des activités de traitements (correct)
• Fournir des services gratuits aux usagers
• Traiter les réclamations des sous-traitants

Qu'est-ce que le sous-traitant est responsable de faire ?

• Fournir des analyses d'impact
• Recevoir les consentements des utilisateurs
• Traiter des données à caractère personnel pour le compte du responsable du traitement (correct)
• Déterminer les finalités du traitement

Que signifie le principe d’accountability dans le contexte du RGPD ?

La capacité du responsable du traitement à démontrer sa conformité (B)

Quel type d'analyse doit être conduit pour les traitements considérés à risque élevé ?

Analyse d'impact (C)

Quel n'est pas un droit des personnes concernées selon le RGPD ?

Droit d'accès aux réseaux sociaux (C)

Quelle entité est responsable en cas de contrôle ou d'infraction ?

Le responsable du traitement (C)

Quel aspect le RGPD a-t-il allégé pour les responsables du traitement ?

Les obligations en matière de formalités préalables auprès de la CNIL (D)

Quelle est l'une des missions principales de la CNIL ?

Anticiper et innover (B)

Quel article du RGPD interdit le traitement des données à caractère personnel de santé ?

Article 9-I (A)

Quel est le rôle de la CNIL dans la protection des données personnelles ?

Protéger les droits des utilisateurs (D)

Quelle opération peut être considérée comme un 'traitement' selon le règlement ?

Toute opération sur des données à caractère personnel (D)

Quel organisme a élaboré un guide en collaboration avec la CNIL pour le RGPD ?

Conseil National de l’Ordre des Médecins (D)

Dans quel cas le RGPD ne s'applique-t-il pas ?

Lorsque le traitement est fait par une personne pour des activités personnelles (C)

Quels droits les personnes ont-elles concernant leurs données personnelles ?

Le droit d'opposition, de rectification, et d'effacement (C)

Quelle obligation ont les organismes utilisant des données personnelles ?

Informer les personnes sur leurs droits relatifs aux données (D)

Dans quel cas un responsable du traitement peut-il ignorer les demandes d'effacement de données ?

Si la base légale est l'exécution d'une mission d'intérêt public (B)

Quel est le droit d'une personne concernant les informations la concernant ?

Obtenir une copie lisible de toutes les informations la concernant (C)

Quel est l'objectif principal de la collecte des données dans le traitement des données personnelles?

Assurer la conformité avec les lois (D)

Quelle base légale permettrait de traiter des données sans consentement explicite dans certains cas?

Mission d'intérêt public (C)

Quel principe limite la manière dont un responsable de traitement peut utiliser les données?

Le principe de finalité (B)

Quelles données nécessitent des mesures de sécurité particulières selon la LIL ?

Données de santé (D)

Quel type de recherche n'implique aucune formalité auprès de la CNIL?

Recherche interne (C)

Quelle est la conséquence d'une absence de base légale pour le traitement des données personnelles?

Traitement illégal (C)

Quel type d'étude est concerné par le terme 'RPIH'?

Recherche impliquant la personne humaine interventionnelle (D)

Quelles méthodologies la CNIL a-t-elle adoptées pour encadrer les traitements de recherche?

MR-001 à MR-006 (B)

Quel principe doit être respecté lorsque le patient partage ses données?

Le patient doit être informé en amont (C)

Quel est l'impact du RGPD sur la collecte de données personnelles?

Le RGPD impose des restrictions (C)

Qu'est-ce qui définit une personne physique identifiable ?

Une personne qui peut être identifiée par son nom ou son numéro d'identification. (D)

Quelles informations sont considérées comme des données sensibles ?

Antécédents médicaux, opinions politiques et convictions religieuses. (D)

Quel type de données est considéré comme des données à caractère personnel ?

Données sur l'appartenance syndicale et croyances religieuses. (C)

Quels éléments constituent des données de santé par nature ?

Antécédents médicaux et résultats d'examens. (C)

Quel exemple illustre les données de santé par combinaison ?

Poids associé au nombre de pas effectués. (C)

Comment les données peuvent-elles être considérées comme anonymisées ?

Elles ne peuvent pas être attribuées à une personne identifiée sans informations supplémentaires. (C)

Quelle est la principale différence entre la pseudonymisation et l'anonymisation ?

La pseudonymisation permet d'identifier indirectement une personne. (A)

Quelles données doivent bénéficier d'une protection particulière selon le RGPD ?

Données concernant la santé physique ou mentale. (B)

Quel type de données est considéré comme non directement identifiant ?

Date de naissance. (B)

Quels types de données sont considérés comme des données biométriques ?

Données permettant l'identification unique d'une personne, comme les empreintes digitales. (B)

Quelles données sont considérées comme des données de santé par destination ?

Une image médicale utilisée pour le diagnostic. (C)

Quel est l'objectif principal de la protection des données à caractère personnel selon le RGPD ?

Prévenir les abus et garantir la vie privée des individus. (B)

Quel type d'identifiant est le plus fort selon les niveaux d'identification des données ?

Données nominatives comme le nom et le prénom. (C)

Quel droit permet aux personnes d'accéder à leurs données de santé ?

Droit d'accès (D)

Dans quel cas peut-on s'opposer à l'utilisation de ses données de santé ?

Dans certains cas, dans le cadre de recherches (A)

Quel est le principe fondamental concernant le traitement des données personnelles ?

Le traitement est interdit sauf exceptions (D)

Quelle est une des bases légales pour le traitement des données selon le RGPD ?

Le contrat avec la personne concernée (D)

Quel droit permet de récupérer des données dans un format lisible par machine ?

Droit de portabilité (B)

Quelle affirmation est vraie concernant le droit d'effacement des données ?

Il est peu applicable dans le cadre de soins (D)

Quel droit peut être exercé pendant le temps d'examen d'une contestation sur des données ?

Droit de limitation (C)

Quel type d'organisme peut traiter des données à caractère personnel ?

Celui qui fondé sur une base légale (B)

Pour quel type de traitement est généralement demandé le consentement de la personne ?

Les données de santé (A)

Quel est un exemple d'intérêt légitime permettant le traitement de données ?

La satisfaction d'un client (C)

Quel cadre réglementaire s'applique aux données personnelles en France ?

Le RGPD et la LIL (B)

Qu'est-ce que le dossier médical personnel (DMP) en rapport avec les données de santé ?

Un outil de portabilité de données (D)

Flashcards

Qui est le responsable du traitement (RT) ?

Le responsable du traitement (RT) est l'entité qui décide de la finalité et des moyens du traitement des données à caractère personnel.

Qui est le sous-traitant ?

Le sous-traitant est l'entité qui traite les données à caractère personnel pour le compte du responsable du traitement.

Quel est l'impact du RGPD sur les acteurs du traitement de données ?

Le RGPD responsabilise les acteurs du traitement des données, en particulier le responsable du traitement, et allège les formalités préalables avec la CNIL.

Qu'est-ce que le principe d'accountability ?

Le principe d'accountability oblige le responsable du traitement à démontrer sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises.

À quoi sert le registre des activités de traitements ?

Le registre des activités de traitements est un document qui répertorie toutes les opérations de traitement de données à caractère personnel.

Quand est-ce qu'une analyse d'impact est nécessaire ?

Une analyse d'impact est nécessaire pour les traitements présentant un risque élevé pour les personnes.

Quelles sont les obligations du responsable du traitement envers les personnes concernées ?

Le responsable du traitement est responsable d'informer correctement les personnes concernées sur le traitement de leurs données.

Quels sont les droits des personnes concernées ?

Le responsable du traitement est responsable d'assurer l'effectivité des droits des personnes concernées, comme le droit d'accès, de rectification ou d'opposition.

CNIL

La CNIL est l'autorité de contrôle nationale en France pour le RGPD, régulant les données personnelles.

RGPD

Le règlement général sur la protection des données (RGPD) régit la protection des données personnelles au sein de l'Union Européenne.

Traitement des données de santé

Le traitement de données à caractère personnel de santé est interdit en règle générale, sauf exceptions bien définies.

Interdiction de traitement des données de santé

L'article 9-I du RGPD et l'article 6-I de la loi informatique et libertés (LIL) interdisent le traitement de données à caractère personnel de santé, sauf exceptions.

Exceptions au traitement des données de santé

Certaines conditions permettent de contourner l'interdiction de traitement des données de santé, comme la recherche médicale ou le soin.

Finalité du traitement

L'objectif principal de l'utilisation des données collectées. Elle doit être claire et définie au préalable.

Base "légale" ou "juridique"

Le fondement légal qui permet à une organisation de traiter des données personnelles.

Dérogation aux principes d'interdiction

Des situations exceptionnelles où le traitement de données personnelles sensibles est autorisé malgré l'interdiction générale.

Mesures de sécurité

S'assurer que des mesures de sécurité sont mises en place pour protéger l'intégrité et la confidentialité des données.

Enjeux de cybersécurité

Évaluation des risques liés à la sécurité des données et mise en place de mesures correctives.

Dispositions particulières de la LIL

Vérifier si le traitement des données est conforme aux exigences spécifiques de la Loi Informatique et Libertés (LIL) relative aux données de santé.

Recherche impliquant la personne humaine (RPIH)

Procédure d'autorisation pour la recherche impliquant la personne humaine, qui est différente de la recherche non interventionnelle.

Recherche n'impliquant pas la personne humaine (RNPIH)

Procédure d'autorisation pour la recherche non impliquant la personne humaine, qui est différente de la recherche impliquant la personne humaine.

Conforme à un référentiel homologué

Évaluer si la recherche est conforme aux méthodologies de référence homologuées par la CNIL.

Information du patient

Informer clairement le patient du partage ou de l'échange de ses données personnelles.

Donnée à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable, qu'elle soit confidentielle ou publique, de nature privée ou professionnelle.

Personne physique identifiable

Une personne physique qui peut être identifiée, directement ou indirectement, par exemple par référence à un identifiant, des données de localisation ou des éléments spécifiques propres à son identité.

Données sensibles

Catégories particulières de données personnelles considérées comme sensibles et nécessitant une protection accrue.

Ces données révèlent des informations sensibles sur la :

• origine raciale ou ethnique
• opinions politiques
• convictions religieuses ou philosophiques
• appartenance syndicale
• données concernant la santé
• données génétiques
• données biométriques pour identifier une personne unique
• données concernant la vie sexuelle ou l’orientation sexuelle

Données concernant la santé

Données relatives à la santé physique ou mentale d’une personne, incluant les informations sur l’état de santé, les prestations de soins de santé, les traitements et les diagnostics.

Données de santé par nature

Informations sur les antécédents médicaux, les diagnostics, les traitements, les résultats d'examens, les interventions médicales et les handicaps.

Données de santé par combinaison

Données provenant de la combinaison d'autres données, qui, à cause de cette association, deviennent des données de santé.

Données de santé par destination

Données qui deviennent des données de santé en raison de leur utilisation dans un contexte médical.

Données identifiantes

Données directement identifiantes, comme le nom, le prénom, l'adresse, etc.

Données non directement identifiantes

Données qui ne permettent pas d'identifier directement un individu, mais peuvent le faire indirectement, comme la date de naissance, un numéro de patient, etc.

Données anonymisées

Données qui ne permettent plus d'identifier une personne. Elles sont modifiées pour supprimer toute trace d'identité.

Données agrégées

Données regroupées, comme des statistiques, qui ne permettent plus d'identifier un individu.

Pseudonymisation

Technique de protection des données personnelles consistant à remplacer les données directement identifiantes par des données indirectement identifiantes, comme des alias ou des numéros séquentiels.

Anonymisation

Traitement qui rend impossible, en pratique et de manière irréversible, l'identification d'une personne

Intérêt de la pseudonymisation

Le RGPD recommande la pseudonymisation pour limiter les risques liés au traitement de données personnelles, surtout dans le domaine de la recherche en santé.

Champ d'application du RGPD : territorialité

Le RGPD s'applique aux données personnelles de personnes se trouvant sur le territoire de l'Union Européenne, même si le responsable du traitement est situé en dehors de l'UE. Il y a quelques exceptions à cette règle.

Exceptions à l'application du RGPD

Le RGPD ne s'applique pas aux traitements de données personnelles effectués par une personne physique dans le cadre d'une activité strictement personnelle ou domestique. Il ne s'applique pas non plus à des situations spécifiques comme la sécurité publique.

Obligation d'information sur les droits des personnes

Tous les organismes qui utilisent des données personnelles ont l'obligation d'informer les personnes concernées sur leurs droits concernant ces données. Ils doivent également indiquer où et comment les personnes peuvent exercer ces droits.

Droits des personnes concernées par les données

Les personnes ont le droit d'accéder à leurs données personnelles, de les rectifier, de s'opposer à leur traitement, de les effacer, de limiter leur traitement et de les transférer (portabilité).

Exceptions aux droits des personnes

Dans certains cas, comme l'exécution d'une mission d'intérêt public, le responsable du traitement peut refuser de donner suite aux demandes de suppression, d'opposition, de rectification ou de limitation du traitement des données.

Droit d'accès aux données de santé

Le droit d'accès aux données de santé permet aux personnes de consulter les informations les concernant détenues par les professionnels de santé, soit directement, soit par l'intermédiaire d'un médecin.

Bases légales du traitement des données

Le RGPD définit six bases légales qui justifient le traitement de données à caractère personnel. Le consentement, le contrat, l'obligation légale, la mission d'intérêt public, l'intérêt légitime et la sauvegarde des intérêts vitaux font partie de ces bases légales.

Droit à l'effacement

L'effacement des données permet aux personnes de demander la suppression de toutes leurs données détenues par un organisme. En matière de santé, l'effacement est rarement applicable dans le cadre du soin, mais il est possible dans le cadre de la recherche.

Droit d'opposition

Le droit d'opposition permet aux personnes de refuser que leurs données soient utilisées à des fins spécifiques, par exemple pour la recherche. En matière de santé, le droit d'opposition s'applique surtout dans le cadre de la recherche.

Droit à la portabilité

La portabilité des données permet aux personnes de récupérer leurs données dans un format numérique lisible par machine. Ce droit peut être utilisé pour transférer des données d'un organisme à un autre, comme l'envoi de son dossier médical personnel d'un hôpital à un autre.

Droit de rectification

Le droit de rectification permet aux personnes de corriger les erreurs contenues dans leurs données. En matière de santé, ce droit est peu applicable, car les erreurs de données sont souvent traitées directement par les professionnels de santé.

Droit à la limitation du traitement

Le droit à la limitation du traitement permet aux personnes de demander un blocage temporaire du traitement de leurs données, par exemple le temps d'examiner une contestation sur l'utilisation de ses données ou une demande d'exercice de droits.

Double cadre réglementaire

La LIL (Loi Informatique et Libertés) et le RGPD (Règlement Général sur la Protection des Données) forment le double cadre réglementaire qui régit le traitement des données personnelles.

Interdiction du traitement des données personnelles

Les données personnelles et les données personnelles de santé sont des données dont le traitement est interdit, sauf exceptions définies par la LIL et le RGPD.

Application du RGPD

Le RGPD s'applique aux responsables de traitement situés dans l'UE ou si les données concernent une personne sur le territoire de l'UE.

Droits sur les données des personnes

Les personnes ont des droits sur leurs données qui dépendent de la base légale du traitement. Ces droits sont garantis par le RGPD.

Consentement

Le consentement est une base légale qui permet de traiter les données personnelles si la personne concernée a donné son accord explicite.

Le contrat

Le contrat est une base légale qui permet de traiter les données personnelles si le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée.

L'obligation légale

L'obligation légale est une base légale qui permet de traiter les données si le traitement est nécessaire au respect d'une obligation légale.

La mission d'intérêt public

La mission d'intérêt public est une base légale qui permet de traiter les données si le traitement est nécessaire à l'exécution d'une mission d'intérêt public.

L'intérêt légitime

L'intérêt légitime est une base légale qui permet de traiter les données si le traitement est nécessaire à la poursuite d'intérêts légitimes de l'organisme qui traite les données ou d'un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées.

La sauvegarde des intérêts vitaux

La sauvegarde des intérêts vitaux est une base légale qui permet de traiter les données si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers.

Study Notes

UE7 - Santé, Société, Humanité - Actualisation - Fiche de cours n°3 - Santé numérique - Traitement des données de santé : Définitions, introduction au traitement des données et cadre réglementaire

• Données à caractère personnel en santé: Informations sur les patients (nom, adresse, etc.), informations sur la vie personnelle, couverture sociale, informations relatives à la santé (pathologies, diagnostics). Informations sur les professionnels et correspondants impliqués dans la prise en charge. Numéro de sécurité sociale et Numéro d'Inscription au répertoire des Personnes Physiques (NIR).

• Données à caractère personnel: Toute information concernant une personne physique identifiable, directement ou indirectement, par référence à un identifiant, à des données de localisation, à des éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

• Données sensibles: Catégorie particulière de données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ou les données concernant la santé.

• Données concernant la santé: Informations sur l'état de santé d'une personne, y compris les prestations de services de soins de santé. Considérées comme sensibles et nécessitant une protection particulière.

• Pseudonymisation: Remplacement des données directement identifiantes par des données indirectement identifiantes pour limiter les risques liés au traitement de données personnelles.

• Données anonymisées: Technique de traitement de données qui rend impossible l'identification individuelle d'une personne dans un jeu de données donné.

• Traitement des données: Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, incluant la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

• Consentement (RGPD): Manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte que des données personnelles la concernant soient traitées.

• Responsables et sous-traitants de traitements de données: Le responsable du traitement (RT) détermine les finalités et les moyens du traitement, et le sous-traitant traite les données pour le compte du RT.

• Délégué à la protection des données (DPD/DPO): Responsable de la conformité en matière de protection des données au sein d'une organisation.

• Cadre réglementaire (RGPD/LIL): Lois et règlements régissant la protection des données à caractère personnel, qui imposent des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et aux échanges de ces données.

Description

Testez vos connaissances sur le Règlement Général sur la Protection des Données (RGPD) et ses implications. Ce quiz aborde les rôles et responsabilités du responsable du traitement, ainsi que les droits des personnes concernées. Explorez les enjeux du RGPD et les missions de la CNIL.