#16 Complying with the CNIL when processing health data
Regulations
Episode duration 00:25
For this sixteenth episode, "100 Days to Succeed" focuses on compliance with the CNIL when processing health data.
00:00:00
Voix off: "100 jours pour réussir". C'est le podcast de G_NIUS, le Guichet national de l'innovation et des usages en e-santé autour de Lionel Reichardt, retrouvez les innovateurs de la e-santé et les experts incontournables pour vous aider à réussir dans vos projets.
00:00:20
Lionel Reichardt: Bonjour à tous! Vous écoutez "100 jours pour réussir" le podcast à destination des innovateurs et entrepreneurs dans le numérique en santé, mais aussi de toute personne curieuse de ce domaine. Ce podcast est produit par G_NIUS, le Guichet national de l'innovation et des usages en e-santé. Dans cet épisode, nous parlerons de la mise en conformité quand on traite de données de santé. Pour ce faire, nous recevons Adel Mebarki, cofondateur et directeur général de Kap Code, une startup spécialisée en e-santé et aussi membre du conseil d'administration du Health Data Institute. Nous recevons également Manon de Fallois, juriste au service de la santé à la direction de la conformité de la CNIL : la Commission nationale de l'informatique et des libertés.
00:01:05
Lionel Reichardt: Adel Mebarki Bonjour et merci d'avoir accepté de partager avec nous votre expérience. Pouvez-vous tout d'abord nous présenter votre formation et votre parcours ?
00:01:13
Adel Mebarki: Mon parcours. Je vais essayer d'aller vite. Je suis issu d'un double diplôme en école de commerce et mon école d'ingénieur spécialisé en management industriel. J'ai commencé ma carrière dans les télécommunications. J'ai travaillé en marketing, dans les télécommunications et il y a un peu plus de huit ans maintenant, j'ai rejoint la CRO Kappa Santé qui m'a permis de développer un certain nombre de sujets autour du traitement de données dont on parlera plus en détail dans ce podcast et qui nous a permis notamment de co-fonder la startup Kap Code, qui est spécialisée en analyse médicale des données issues des réseaux sociaux.
00:01:50
Lionel Reichardt: Quelles sont les ambitions et les grandes missions de votre startup Kap Code ?
00:01:54
Adel Mebarki: L'objectif de Kap Code est de résumer, de restituer l'expérience patient exprimée sur les réseaux sociaux. L'objectif, en fait, c'est d'analyser les différents messages postés sur les réseaux sociaux pour donner de la visibilité sur la réalité de la prise en charge des patients. C'est ce qu'on appelle des données de vie réelle. Ces données de vie réelle vont autant être utilisées pour avoir une vision sur la qualité de vie, le parcours de soins, les besoins médicaux non couverts ou tout simplement les difficultés d'accès aux soins des patients exprimés spontanément sur les réseaux sociaux.
00:02:30
Lionel Reichardt: Vous êtes donc spécialisé dans l'analyse des données issues des réseaux sociaux. Ces données de vie réelle sont-elles des données de santé ? Et comment les appréhendez-vous ?
00:02:38
Adel Mebarki: En effet, on peut imaginer de manière assez éloignée qu'un tweet, par exemple, mentionnant une aire thérapeutique, peut être uniquement un tweet que l'on considérerait potentiellement comme n'étant pas une donnée de santé. Toutefois, en réalité, quand on s'intéresse un peu aux sujets et aux différents échanges des patients, on se rend compte assez vite qu'on traite forcément de la donnée de santé parce qu'on arrive à identifier la maladie dont souffre le patient, le traitement thérapeutique qu'il va utiliser, et on considère aujourd'hui que l'ensemble des données qu'on va analyser comme étant des données de santé. On part du principe qu'au-delà du message brut ou de la donnée brute, on va forcément, dans le cadre de nos analyses, identifier ou chercher à identifier des enjeux de santé déterminants autour du patient. Et ça nous permet de qualifier ce type de données comme des données de santé.
00:03:34
Lionel Reichardt: Comment peut-on définir une donnée de santé?
00:03:36
Adel Mebarki: Je ne me permettrai pas de vous donner la définition selon les définitions théoriques, mais on considère aujourd'hui au centre Kap Code que tout ce qui est attrait directement d'un point de vue clinique ou d'un point de vue indirect autour de la donnée, qu'on considère de santé, c'est à dire la donnée qui va donner de l'information sur la pathologie, sur l'activité physique, sur l'impact émotionnel ou psychologique au quotidien des patients, est considéré comme de la donnée de santé. On va considérer toutes ces données là comme étant référente, d'une manière directe ou indirecte, à une condition de santé qui nous permet de qualifier cette donnée comme étant une donnée de santé.
00:04:17
Lionel Reichardt: Quelle typologie de données analysez-vous? Comment les traitez-vous ?
00:04:22
Adel Mebarki: En termes d'accès à la donnée, de typologie de données qu'on va analyser. On va extraire toutes les données, tous les messages relatifs à une pathologie d'intérêt, à une thérapeutique d'intérêt ou autre. Et donc, on va récupérer autant le message brut donc le texte qui a été partagé par l'utilisateur que ces métadonnées, donc tout ce qui est localisation, pseudonymes, etc. En fait, on va considérer, par rapport à notre définition de traitement de données de santé, qu'on va avoir besoin d'un hébergement agréé de santé et on va appliquer ce que nous appelons la Privacy by Design. Globalement, toutes ces données sont anonymisées avant la mise en stockage dans la base de données détecté. Donc, typiquement ce type d'enjeu, ce type de structure de système d'information est dû au fait que nous mutualisons notre système d'information avec l'autre entreprise du groupe dont nous sommes issues qui s'appelle Kappa Santé, qui est une CRO, une Contract Research Organisation, une entreprise qui va chercher des études observationnelles de la pharmaco épidémiologie. Et donc, on s'oblige à avoir le même niveau de rigueur en termes de sécurité informatique qu'on peut avoir dans des études observationnelles.
00:05:39
Lionel Reichardt: Votre niveau d'exigence est proche de celui de la recherche clinique. Mais comment vous assurez vous de traiter ces données en conformité avec les différentes réglementations en vigueur ?
00:05:47
Adel Mebarki: Un élément important, c'est qu'on va être dans une superposition de réglementations un peu différente. On va autant avoir le règlement autour de la protection des données de santé que le Règlement général de protection des données personnelles. Globalement, on va avoir forcément à chaque étude, à chaque projet, à chaque extraction, une remise en question réglementaire, à la fois de la traçabilité du traitement, la finalité et la conformité réglementaire. Globalement, c'est un processus que l'on considère comme itératif et on va forcément à chaque nouveau cas d'usage, à chaque extraction, se poser la question de peut-on ou ne peut-on pas le faire ? Et dans le cas où nous pouvons le faire, dans quel cadre réglementaire on rentre ? Typiquement, je donne un exemple concret on va avoir des sujets où on va analyser un moment à un instant T, un sujet sur les réseaux sociaux. On prend par exemple la santé mentale des étudiants, mais on peut avoir des projets ou on va suivre dans le temps ces mêmes étudiants pour avoir une évaluation prospective ou rétrospective de la santé mentale des étudiants et donc, dans chaque cas d'usage, dans un cas, on va avoir une typologie de données. Dans le deuxième, on va recueillir plus de données pour pouvoir suivre dans le temps les patients. Et donc, on va toujours avoir ce questionnement qui on est en conformité vis à vis de quelle réglementation ? Et si nous ne sommes pas, quels sont les axes d'amélioration que nous pouvons apporter à notre projet ?
00:07:12
Lionel Reichardt: Vous avez mentionné la notion de Privacy By Design. Comment cela se traduit-il pour une startup qui traite des données de santé ?
00:07:20
Adel Mebarki: On voit la Privacy by design comme une méthode qui permet de structurer l'extraction et le traitement de données avec l'objectif de protéger au maximum les données personnelles. Si je prends l'exemple de nos analyses réseaux sociaux, on va par définition récupérer des données personnelles. Ce qu'on va faire, c'est qu'on va anonymiser le maximum d'informations qui ne sont pas importantes pour le traitement de données comme, le nom, l'âge, le sexe, ce sont des choses qu'on va anonymiser. Pour autant, on va s'intéresser, par exemple, à la notion de localisation. C'est une donnée personnelle en soi, mais on ne va pas appliquer de la Privacy by design. Si on prend concrètement ce que l'on fait aujourd'hui au centre Kap Code, c'est que dès l'extraction, on va sélectionner si la finalité a besoin de cette donnée personnelle, les typologies de données que l'on va anonymiser avant stockage en base de données. Si on prend l'exemple du pseudo ou du nom, on ne va jamais avoir l'identité individuelle de la personne. On va par définition le transformer en ce qu'on appelle un ID, un ID patient, qui va nous permettre d'avoir un identifiant qui nous permet de remonter le message au niveau de l'utilisateur sans pour autant avoir de données personnelles autour de l'utilisateur.
00:08:35
Lionel Reichardt: Vous êtes amené à travailler régulièrement avec la règlementation et les référentiels de la CNIL. Comment un porteur de projet peut-il s'informer pour s'assurer qu'il travaille en conformité avec la réglementation ?
00:08:45
Adel Mebarki: Je dirais que c'est un mélange des deux, c'est à dire qu'on va autant avoir une veille continue sur le cadre réglementaire. On est sur des sujets où le traitement de données de santé est de plus en plus large et intègre de plus en plus de nouvelles typologies de données, qui fait qu'au sein des régulateurs, je pense à la CNIL notamment, on va avoir des réflexions et des recommandations stratégiques qui vont évoluer dans le temps, vis à vis des pratiques et de l'intégration de nouvelles données. On va avoir forcément cette veille, autant sur le site Internet de la CNIL, autant sur les différents livres blancs ou autres documents produits par les équipes de la CNIL que des Webinaires auxquels la CNIL participe pour donner sa vision réglementaire, dans un premier temps. On va aussi avoir sur certains sujets des accompagnements spécifiques de la CNIL. Si je peux donner un exemple concret, on a eu un projet de recherche qui visait à prédire l'apparition d'évènements dépressifs majeurs via l'analyse des réseaux sociaux. Et on a eu à utiliser un l'outil qui a été développé par la CNIL, qui permet de faire de la Privacy impact assessment. On a eu un accompagnement complémentaire des équipes de la CNIL pour tester cet outil, faire un retour d'expérience en tant qu'utilisateur pour essayer de prendre en compte la réglementation avec les outils qui sont développés par la CNIL elle-même pour aider à la mise en conformité des différents acteurs. Donc, je dirais globalement qu'aujourd'hui, n'importe quel entrepreneur peut faire de la veille et se baser sur les référentiels qui sont en constante évolution mis à disposition par la CNIL, mais aussi sur des sujets extrêmement précis où on n'a pas forcément les réponses à toutes mes questions, ne pas hésiter à se tourner vers les équipes de la CNIL, qui sont aujourd'hui très demandeurs d'accompagnement et de réponses à des questions très spécifiques des porteurs de projets.
00:10:36
Lionel Reichardt: Pour conclure, quel conseil donneriez-vous à un innovateur en santé numérique qui souhaiterait traiter des données de santé ?
00:10:42
Adel Mebarki: Je dirais que j'ai deux grands conseils que je pourrais donner. En premier, c'est de ne pas voir le régulateur comme étant une autorité de coercition. C'est à dire qu’aujourd’hui, c'est principalement les nombreux travaux de la CNIL et l'accompagnement qui est proposé par la CNIL. Aujourd'hui, la CNIL n'a pas vocation directe à être dans une position de coercition. Elle a l'objectif de mettre en conformité le maximum de porteurs de projet, donc ne pas hésiter à se rapprocher vers les autorités, vers les régulateurs pour avoir une connaissance experte du domaine et voir comment la régulation va s'appliquer sur notre sujet. Et le deuxième élément qui me paraît très important, c'est de pouvoir parler à l'ensemble des parties prenantes de votre projet. Il y a un enjeu qui est de plus en plus porteur de ces entrepreneurs en France, c'est qu'on a cette capacité à vouloir garder cette idée et de peur de se faire copier. Or, on se rend compte que plus on va parler avec différents acteurs du traitement de la donnée, des acteurs plutôt juridiques, des acteurs plutôt techniques, plus on va avoir cette capacité à appréhender la faisabilité technique et la faisabilité réglementaire, mais aussi le besoin qu'on adresse avec notre innovation qu'on essaie de porter. Donc, globalement, travailler avec le régulateur et surtout, essayer d'échanger au maximum autour de typologies de données : Quel est l'accès aux données ? Est-ce qu'on y arrive ? Est-ce que c'est faisable ? Quels sont les besoins auxquels on répond ? Toutes ces discussions vont ne faire que maturer la qualité du projet et donc optimiser la capacité de mise en opération des idées et des différents entrepreneurs.
00:12:20
Lionel Reichardt: Adel Mebarki Merci pour votre témoignage.
00:12:27
Lionel Reichardt: Vous vous posez des questions sur comment être en conformité avec le traitement de notre santé? Eléments de réponse avec Manon de Fallois, juriste au service de la santé à la Direction de la conformité de la CNIL, la Commission nationale de l'informatique et des libertés.
00:12:40
Lionel Reichardt: Manon de Fallois , bonjour et merci d'avoir accepté notre invitation. Pouvez-vous nous présenter tout d'abord votre formation et votre parcours ?
00:12:48
Manon de Fallois: Merci à vous. J'ai suivi un cursus généraliste en droit privé, puis je me suis spécialisé en droit de la santé et en droit des données personnelles. Et il y a trois ans, j'ai rejoint le Service de la santé de la CNIL, la Commission nationale de l'informatique et des libertés. Ce service est composé de sept juristes, d'un assistant juridique et d'un chef de service. Il est chargé de l'accompagnement des acteurs dans le domaine de la santé, qu'il s'agisse d'organismes publics ou privés, d'établissements de soins ou encore de professionnels de santé. Il est organisé en deux pôles : le pôle recherche médicale et le pôle hors recherche. Et donc, je suis rattaché à ce premier pôle.
00:13:24
Lionel Reichardt: Pouvez-vous nous rappeler quelles sont les grandes missions de la CNIL ?
00:13:27
Manon de Fallois: La CNIL a été créée par la loi Informatique et libertés du 6 janvier 1978. Elle est le régulateur français des données personnelles. Elle remplit quatre principales missions. Sa première mission est d'informer et de protéger les droits. Dans ce cadre, elle remplit un rôle d'information. Elle répond par exemple aux demandes des particuliers et des professionnels et mène des actions de communication. Par ailleurs, elle reçoit et traite les plaintes des particuliers, notamment lorsqu'ils rencontrent des difficultés à exercer leurs droits. Deuxième mission de la CNIL accompagner la conformité et conseiller les organismes. Dans ce cadre, elle va accompagner les organismes publics et privés dans la mise en œuvre de leur conformité en matière de protection des données personnelles, conformément à la charte d'accompagnement qu'elle a publié en février dernier. Cet accompagnement est multiple. Il passe notamment par la publication sur son site internet de fiches thématiques de guide. Je pense notamment aux guides pratiques de sensibilisation au RGPD pour les PME, au Guide sur la sécurité des données personnelles. Elle publie également des modèles, par exemple un modèle de notes d'information ou encore un modèle de registre des activités de traitement. Enfin, elle met en ligne des outils pédagogiques comme Outil PIA, un logiciel open source qui permet de réaliser des analyses d'impact relatives à la protection des données. Elle répond également à des demandes de conseils. Et pour faire le lien entre deux des missions qui sont dévolues à la CNIL. Je voulais porter à votre connaissance une petite actualité. En février dernier, la CNIL a publié un appel à projet sur son site internet pour permettre à des projets qui sont innovants dans le domaine de la santé numérique de bénéficier d'un accompagnement renforcé dans le cadre de son bac à sable données personnelles et donc la liste des lauréats de cet appel à projets vient tout juste d'être publiée sur le site web de la commission. La troisième mission de la CNIL est d'anticiper et d'innover, dans ce cadre, elle met en place une veille pour détecter et analyser les technologies ou les nouveaux usages qui peuvent avoir des impacts importants sur la vie privée. Dans ce cadre, elle conseille les organismes dans une logique de Privacy by design et enfin, la CNIL peut diligenter des contrôles ou encore imposer à un organisme de régulariser son traitement ou prononcer des sanctions à son encontre si elle constate des manquements lors des contrôles.
00:15:42
Lionel Reichardt: Comment interagit-on avec le service de la santé de la CNIL quand on est un porteur de projet numérique?
00:15:48
Manon de Fallois: il faut bien se l'avouer, la réglementation applicable au secteur de la santé n'est pas forcément aisée. Et donc, pour rendre cette réglementation un peu plus accessible, nous avons publié sur notre site web des fiches thématiques pour aider les professionnels à se mettre en conformité et à déterminer, le cas échéant, s'ils doivent réaliser une formalité lorsqu'ils mettent en œuvre des traitements de données de santé. C'est le premier point. On a publié des fiches thématiques sur notre site Internet. Par ailleurs, une fois que vous avez bien défini votre projet, si vous avez des questions plus spécifiques, vous pouvez nous contacter lors de la permanence juridique du Service de la santé qui est organisée deux fois par semaine. Vous pouvez également nous adresser une demande de conseil écrite ou nous rencontrer lorsque, bien entendu, la crise sanitaire aura pris fin lors d'interventions extérieures, notamment lors de colloques ou lors d'actions de sensibilisation au RGPD.
00:16:38
Lionel Reichardt: Quelles questions doit se poser un porteur de projet numérique qui traite de la donnée? Quelles sont les démarches à entreprendre pour se conformer aux réglementations ?
00:16:46
Manon de Fallois: Première chose, il ne faut pas prendre peur et il ne faut pas concevoir le respect du RGPD comme un frein à l'innovation ou comme un énième carcan réglementaire. Bien au contraire, la conformité va représenter un indicateur de bonne gouvernance et un avantage concurrentiel pour votre organisme. Elle va permettre d'améliorer la réputation de votre organisme et contribuera à renforcer la confiance des utilisateurs. Premier point à bien garder à l'esprit c'est que la protection de la vie privée va devoir être intégrée dans le développement de votre outil dès sa conception. C'est ce qu'on appelle le principe du Privacy by Design. Par conséquent, si vous souhaitez développer une solution innovante en santé, il va falloir vous poser les bonnes questions au bon moment. Première question : est-ce que vous allez traiter des données à caractère personnel pour les besoins de votre projet ? Donc, bien entendu, pour répondre à cette question, il faut bien comprendre les notions, les principales notions qui sont applicables en matière de protection des données à caractère personnel. Qu'est-ce qu'un traitement. Un traitement ça va être une opération ou un ensemble d'opérations qui portent sur des données personnelles, quel que soit le procédé utilisé, la collecte, l'enregistrement, la communication, l'extraction, etc. Ensuite, qu'est-ce qu’une donnée à caractère personnel ? Une donnée à caractère personnel c'est une information qui est relative à une personne physique susceptible d'être identifiée directement ou indirectement. Par exemple, les noms et prénoms, les coordonnées postales ou électroniques. Et enfin, si votre projet est dans le domaine de la santé, il peut être également intéressant de vous intéresser à la notion de données de santé. Les données de santé sont définies par le RGPD comme les données à caractère personnel qui sont relatives à la santé physique ou mentale, passé présent ou futur d'une personne physique qui vont révéler des informations sur l'état de santé de la personne. Donc, pour vous aider à déterminer si vous collectez des données de santé, vous pouvez vous référer à une page qui est disponible sur notre site Web sur la notion de données de santé. Il faut bien avoir en tête que les données de santé constituent des données sensibles, au même titre que les données génétiques ou encore les données relatives à la vie sexuelle ou à l'orientation sexuelle. Et donc, à ce titre, elles font l'objet d'un encadrement particulier. Donc, leur traitement est en principe interdit. Il existe des exceptions qui permettent de traiter des données de santé, par exemple le recueil du consentement explicite des personnes concernées. S'il s'avère que vous traitez effectivement des données à caractère personnel, pas de panique. Il faut par contre que vous vous posiez les bonnes questions. Première question pourquoi est-ce que vous voulez mettre en œuvre ce traitement ? Quel est l'objectif de ce traitement ? Est-ce que cet objectif est bien précis et légitime ? Est-ce que vous avez bien le droit de traiter ces données ? Est-ce que vous avez bien un fondement juridique à ce traitement ? Et là, vous pouvez vous référer à une fiche thématique qui est disponible sur notre site pour vous aider à déterminer la base légale de votre traitement. Par ailleurs, est-ce que les données que vous envisagez de traiter sont pertinentes et strictement nécessaires à l'objectif que vous poursuivez ? Ensuite, quel est votre rôle ? Est-ce que vous déterminez l'objectif du traitement et la manière dont les données sont traitées ? auquel cas, vous êtes responsable de traitement. Ou est-ce que vous traitez les données sur instruction et pour le compte d'un responsable de traitement, auquel cas vous êtes sous-traitant ? Par ailleurs, vous devez vous demander comment vous allez traiter ces données. Est-ce que votre traitement est bien loyal et transparent ? Est-ce que vous avez bien informé les personnes concernées ? Est-ce qu'elles peuvent correctement exercer leurs droits ? Est-ce que les données sont bien exactes ? Et si ce n'est pas le cas, Est-ce que les personnes peuvent les mettre à jour ? Est-ce que vous avez bien défini une durée de conservation qui est proportionnée à la finalité poursuivie ? Et enfin, est-ce que vous avez pris garde à mettre en place des mesures techniques et organisationnelles pour préserver l'intégrité et la confidentialité des données traitées ? En effet, comme je vous l'ai dit tout à l'heure, les données de santé sont des données particulièrement sensibles et donc vous devez mettre en place des mesures de sécurité à la fois informatique, mais aussi physique, adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes concernées. Vous devez également vous demander s'il est nécessaire de réaliser une analyse d'impact relative à la protection des données. C'est une analyse qui est produite par le responsable de traitement pour certains traitements qui vas viser à évaluer les risques et à prendre des mesures en fonction de ces risques pour mettre en place des traitements qui sont respectueux de la vie privée des personnes concernées. Donc, il faut savoir que la réalisation d'une analyse d'impact est obligatoire lorsque le traitement est susceptible d'engendrer des risques élevés. Pour vous aider à déterminer si vous devez réaliser une analyse d'impact, il faut savoir qu'au niveau européen, des critères ont été dégagés pour aider les responsables de traitement. Par exemple, si vous traitez des données sensibles, comme par exemple des données de santé de personnes vulnérables comme par exemple les patients, et qu'en plus vous utilisez des nouvelles technologies, il est fort probable que votre traitement nécessite de réaliser une analyse d'impact. Enfin, dernière question à vous poser, c'est vraiment la dernière question qu'il faut se poser et devez-vous réaliser une formalité vis à vis de la CNIL. Donc, il faut savoir que le RGPD, le Règlement général sur la protection des données a induit une responsabilisation des organismes et la conséquence de cette responsabilisation des organismes c'est l'allègement des formalités pour quasiment tous les traitements donnés à caractère personnel, sauf en matière de santé. Et donc, pour vous aider à déterminer si vous devez réaliser une formalité vis à vis de la CNIL. Nous avons publié sur notre site internet une fiche thématique. Donc, il faut savoir que demeurent soumis à formalité tous les traitements qui présentent une finalité d'intérêt public. Donc, par exemple, les entrepôts de données de santé pour lesquels le consentement express des personnes n'est pas recueilli, ou encore tous les traitements donnés à des fins de recherche dans le domaine de la santé. Donc, en résumé, vous devez mettre en place des mesures pour garantir la conformité de votre projet et vous devez être en mesure de démontrer cette conformité à tout moment en traçant toutes les démarches que vous avez entreprise. C'est le principe de la comptabilité. En pratique, cette mise en conformité dynamique va pouvoir s'appuyer sur des outils dont, par exemple, le registre des activités de traitement, l'analyse d'impact et sur un acteur lorsque sa désignation est obligatoire. Donc, le délégué à la protection des données, qui est le chef d'orchestre de la conformité au sein de l'organisme.
00:23:03
Lionel Reichardt: Quand le traitement de données implique la personne humaine, il y a-t-il des questions supplémentaires à se poser, des règles supplémentaires à respecter ?
00:23:10
Manon de Fallois: Alors, effectivement, en matière de recherche, on va distinguer deux catégories de recherche, donc les recherches impliquant la personne humaine et les recherches n'impliquant pas la personne humaine. Donc, les recherches impliquant la personne humaine sont régies par les dispositions du Code de la santé publique qui impose le recueil d'un avis favorable d'un comité de protection des personnes avant la réalisation d'une formalité auprès de la CNIL.
00:23:34
Lionel Reichardt: Là encore, des fiches pratiques sont disponibles sur le site web de la CNIL pour s'assurer de la bonne conformité du traitement des données et d'ailleurs aussi sur le site web de G_NIUS. Pour conclure, quel conseil donneriez-vous à un porteur de projet qui voudraient traiter les données de santé en toute conformité ?
00:23:49
Manon de Fallois: Comme je vous l'ai dit tout à l'heure, il faut se poser les questions au bon moment et donc le plus en amont possible. Il faut savoir s'entourer en interne. Donc, si vous avez désigné un délégué à la protection des données, il faut pouvoir s'appuyer sur lui. Et vous pouvez aussi compter sur la CNIL pour vous accompagner une fois que vous avez bien défini votre projet. Il faut également documenter votre conformité au fil de l'eau et réaliser, le cas échéant, la formalité auprès de la CNIL.
00:24:16
Lionel Reichardt: Manon de Fallois Merci pour toutes ces informations.
00:24:24
Lionel Reichardt: Notre épisode touche à sa fin. Merci de nous avoir écoutés. Nous remercions nos deux invités pour leur disponibilité. N'hésitez pas à vous abonner au podcast sur les plateformes d'écoute. Nous vous donnons rendez-vous très bientôt pour un nouvel épisode de "100 jours Pour réussir".
00:24:42
Voix off: Celles et ceux qui font la e-santé d'aujourd'hui et de demain sont sur le podcast de G_NIUS et toutes les solutions pour réussir sont sur gnius.esante.gouv.fr
Description
With Adel Mebarki (Kap Code) and Manon de Fallois (CNIL)
For this sixteenth episode, "100 Days to Succeed" focuses on the local ecosystem on which an eHealth project leader can rely.
We're talking with Adel Mebarki, co-founder and CEO of Kap Code, a startup specialising in eHealth, and Board member at the Health Data Institute.
We also welcome Manon de Fallois, a lawyer in the health department of the CNIL's compliance office.