Questions à ...

Marjorie Menapace : “La connaissance doit descendre au plus près des utilisateurs”

Marjorie Menapace : “La connaissance doit descendre au plus près des utilisateurs”

Pour cette juriste de la CNIL au service des délégués à  la protection des données, le RGPD est une loi de bon sens.

Qu’est-ce que la Commission nationale informatique et Liberté (CNIL) ?

La CNIL est une autorité administrative indépendante créée en 1978 dans le cadre de la loi informatique et liberté entrée en application la même année. Nous avons deux missions. La première est d’accompagner les responsables des traitements des fichiers comportant des informations à caractère personnel par rapport à la loi. Nous les accompagnons vers une mise en conformité si nécessaire et donnons les autorisations pour les données de santé.

Notre seconde mission est d’être le gendarme des données. C’est-à-dire que nous traitons les plaintes des personnes, contrôlons les responsables de traitement et les sanctionnons par des amendes si nécessaire. Nous traitons plus de 10 000 plaintes par an.

Nous avons également un rôle de conseil auprès des administrations. Nous donnons des avis sur les projets de textes, comme sur la loi sur la bioéthique.

Quels sont les moyens de la CNIL ?

Nous disposons d’un collège de 18 commissaires : 6 représentants des hautes juridictions, 5 personnalités qualifiées, 4 parlementaires, 2 membres du Conseil économique social et environnemental, et 1 membre de la commission d’accès aux documents administratifs. Ils sont assistés de 200 agents qui instruisent les demandes et accompagne les

Qu’est-ce qui a changé avec la mise en place de règlement général sur la protection des données (RGPD) ?

Les règles concernant la protection des données étaient déjà contenues dans la loi informatique et liberté de 1978. Le RGPD résulte de l’harmonisation de notre loi avec une directive européenne. C’est une loi de bon sens qui apporte trois nouveautés : l’obligation de réaliser des analyses de l’impact du traitement des données sur la vie privée, de définir des critères de ciblage et de créer de nouveaux droits. Avec ces derniers, le texte veut redonner au citoyen la maîtrise de ses données. À savoir : toute personne doit pouvoir savoir le risque qu’elle court dans le traitement, pouvoir en demander l’effacement, la récupération, la limitation d’utilisation.

Le RGPD pose aussi le principe de coopération entre les autorités européennes pour les plaintes et le contrôle. Le RGPD a en outre créé un nouveau métier, celui de délégué des protections des données.

Pour la première fois, la CNIL organise une visioconférence aux Antilles-Guyane à destination des professionnels de santé : pourquoi ?

Nous organisons régulièrement des sessions de formation, jusqu’à présent principalement à Paris. Pour la première fois effectivement, nous utilisons les technologies pour toucher simultanément les professionnels de santé de Martinique, de Guadeloupe et de Guyane. Nous ciblons les professionnels de santé parce qu’ils travaillent sur des données sensibles qui nécessitent de connaître les règles particulières qui les régissent. Il faut comprendre que le croisement de données de santé peut permettre de déduire des situations de santé qui peuvent impacter la vie des personnes. De même, il faut comprendre qu’en remplissant même soi-même son carnet de santé à la demande d’un médecin, les informations qui y sont contenues deviennent des données de santé qui sont régies par un régime juridique très strict.

Quel est ce régime juridique ?

Le RGPD pose le principe de l’interdiction de traitement des données de santé. Ensuite, il indique les exceptions qui rendent possible ce traitement. Ce sont par exemple les médecins, les CHU, mais aussi tous les professionnels de santé, et ils sont nombreux. Et puis, il y a des aménagements prévus par le RGPD, dans le cas de la recherche, ou encore de ce que nous appelons des entrepôts hospitaliers, c’est-à-dire des lieux de stockage de données des patients créés par les hôpitaux. Dans tous les cas, tous ces professionnels, personnes ou organisations doivent demander une autorisation de la CNIL avant toute utilisation et nous vérifions que la méthodologie utilisée est bien conforme à la législation.

Les formations de ce type en région via les technologies vont-elles se développer ?

Oui, parce que nous pensons que la collecte des données s’intensifie et qu’il nous faut désormais rappeler plus régulièrement les points de vigilance. Nous avons également mis en ligne depuis mars 2019 un MOOC qui rappelle également les bonnes pratiques. 

Partager cet article :

Suggestion d'articles :