Une notification MDPH étant une donnée sensible, comment la protéger ?

La notification MDPH est un document nominatif (la personne est identifiée par son nom, son prénom, numéro de dossier, etc.) mais elle est aussi par nature un document qui révèle indirectement des informations relatives au handicap. Ce type d’information est considéré comme une donnée de santé (considérants 35, 54 du RGPD).

Il ne faut cependant pas confondre le document et la donnée. La notification est un document, le handicap est la donnée. Dès lors tous les traitements (fichiers Excel et autres) qui feront référence à la notification seront considérés comme des traitements de données contenant des données de santé. Les données de santé sont rangées dans les catégories particulières de données personnelles (article 9 du RGPD) comme telles elles présentent un risque élevé (considérant 76 du RGPD) et leur traitement justifie une analyse d’impact (article 35 du RGPD). Le responsable du traitement doit procéder à cette analyse. Ce n’est qu’au moyen de cette analyse que l’on peut ensuite envisager les mesures à prendre.

Le déplacement du document d’un dossier à l’autre est une mesure parmi d’autres mais il est nécessaire de procéder à une approche globale du risque avant d’envisager la solution. Dans cette approche par le risque il est également nécessaire de prendre en compte l’ensemble du dossier administratif dont il est probable que son examen révèle la présence plus large de données de santé (qui ne se confondent pas avec des données médicales).

C’est la raison pour laquelle nous conseillons de cartographier, de manière exhaustive, tous les traitements puis de les auditer. Les mesures de correction des écarts ne viendront qu’ensuite. C’est en ce sens que la démarche de conformité RGPD est une démarche de projet.

Les commentaires sont fermés.