Règlement Générale de la Protection des Données
Avis du DPO de l’Université de Lorraine sur le traitement des données personnelles de CALCIUM :
Les finalités sont définies, les données à caractère personnel utilisées minimisées, la durée de conservation déterminée, les accès aux données sont limités et sécurisés. Les personnes concernées par le traitement sont informées (finalités, droits, coordonnées de contact, …). La sécurisation physique, logique et fonctionnelle est mise en œuvre avec une définition de processus de gestion des risques. Application des mesures de confidentialité des données personnelles, afin qu’elles ne soient ni déformées, ni endommagées, ni accessibles à des tiers non autorisés. Les risques liés à la réalisation du traitement sont ainsi maîtrisés. Les principes de protection de la vie privée sont respectés (RGPD n°2016/493, loi n°2018-493 sur la protection des données personnelles).
Ainsi, CALCIUM est conforme aux obligations du RGPD. Calcium ayant été développé et déployé avant la mise en place du RGPD, le 25 mai 2018, les droits à l’effacement (oubli) par une suppression automatique des données et à la limitation ne sont pas mis en œuvre pour le moment mais feront l’objet d’une évolution ultérieure de l’outil. L’absence actuelle de ces droits ne présente pas de risque particulier pour les personnes concernées du fait de la durée de conservation légale des données qui est de 20 ans et des impératifs de soins auxquelles l’application est liée.«
Depuis la version 1.3.4 (juin 2021), il est possible dans Calcium avec le module archivage de sortir toutes les données d’une personne de la base (droit à l’effacement).
Hébergement des données de santé
L’article L.1111-8 du code de la santé publique dispose que « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet.[…]» .
L’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel « recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social » qui souhaiterait en confier la conservation à un tiers.
Lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social conserve par ses propres moyens.lesdites données, il n’est pas soumis à l’agrément prévu à l’article L.1111-8 du code de la santé publique (il reste toutefois tenu, au titre de l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »). En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet.
Source : http://esante.gouv.fr/services/hebergeurs-de-donnees-de-sante/faq-de-demande-d-agrement-hds#3