Accompagnement
RGPD pour CPTS
Opt-on, partenaire FCPTS, propose un accompagnement RGPD aux CPTS (communautés professionnelles territoriales de santé) afin de leur permettre d'être en conformité et pérenniser leur action.
Assur-on pour les CPTS c’est l’assurance d’être épaulé, sans limites, dans les trois situations les plus risquées :
- Violation de données.
- Contrôle de la CNIL.
- Demande d’exercice de droit d’un citoyen.
C’est également la possibilité d’un appui technique par un DPO certifié AFNOR, désigné auprès de la CNIL. Pour un accompagnement RGPD progressif de l’association, mais aussi lancer des projets de recherche.
L’offre idéale pour les CPTS qui souhaitent gérer en interne, ou qui n’ont pas beaucoup de temps à consacrer au projet RGPD.
Conform-on c’est la solution Assur-on, avec encore plus de temps d’appui technique, l’audit de la CPTS en début de mission, et un bilan annuel du DPO.
La phase d’audit, correspond à notre solution Audit-on, se déroule sur 3 mois, et apporte un plan d’action complet ainsi que le registre de traitements.
Cette solution intègre la désignation du DPO, des newsletters, la formation du personnel, mais aussi des ateliers pratiques RGPD à destination des adhérents.
C’est l’accompagnement RGPD pour les CPTS dans les règles de l’art préconisées par les autorités.
Pourquoi choisir Opt-on ?
Nos solutions sont spécialement conçues pour les CPTS et MSP.
Nous sommes au service des employés de la CPTS, pour les aider sur tous les aspects de la protection des données.
Nous réalisons des ateliers pratiques afin d’aider vos adhérents à se mettre eux-mêmes en conformité RGPD.
Notre expérience vous permet de suivre les méthodologies de référence de la CNIL.
Nos offres sont transparentes, sans frais cachés.
Parce que vous avez un métier avant tout, votre DPO est disponible jusqu’à 20h du lundi au samedi.
Conseil RGPD n°1 pour CPTS
Réaliser un état des lieux
La mise en conformité avec le RGPD nécessite un audit des activités de traitement. La rédaction d'un registre des traitements des données à caractère personnel est une nécessité.
Recenser les activités
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les missions de la CPTS.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Cartographier les traitements
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Recenser les activités
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les missions de la CPTS.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Cartographier les traitements
Conseil RGPD n°2 pour CPTS
Évaluer les risques
L'analyse du registre de traitement permet d'évaluer la sensibilité des activités de l'organisation.
Identifier les données sensibles
Une fois les activités de traitement recensées, le bureau de la CPTS obtient les différentes catégories de données personnelles. C’est ici que commence la conformité avec le RGPD.
C’est ainsi que le risque sur les droits et libertés est évalué. Dans le cadre de certaines missions des CPTS, la réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD des activités d’une CPTS, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité RGPD générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés par la CPTS.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles. Le but étant de gommer les défauts que le bureau et la coordination de la CPTS doivent améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles comme le précisent les articles 24 et 25 du RGPD.
Identifier les données sensibles
Une fois les activités de traitement recensées, le bureau de la CPTS obtient les différentes catégories de données personnelles. C’est ici que commence la conformité avec le RGPD.
C’est ainsi que le risque sur les droits et libertés est évalué. Dans le cadre de certaines missions des CPTS, la réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD des activités d’une CPTS, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité RGPD générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés par la CPTS.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles. Le but étant de gommer les défauts que le bureau et la coordination de la CPTS doivent améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles comme le précisent les articles 24 et 25 du RGPD.
Conseil RGPD n°3 pour CPTS
Appliquer la méthode PDCA
La mise en conformité RGPD doit être envisagée comme une gestion de projet permanente, du fait de la diversité des taches et services interne concernés.
Conseil RGPD n° 4 pour CPTS
Opter pour un DPO externe
Externaliser la fonction de délégué à la protection des données garantie l'absence de conflit d'intérêt (article 38.6 du RGPD). La mise en conformité peut être réalisée en interne, à condition toutefois d'investissements cohérents en temps et en argent.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action réalisable par le bureau de la CPTS. C’est pourquoi il doit être pragmatique.
L’analyse des risques met en évidence les actions à prioriser. C’est pourquoi une liste exhaustive des actions de conformité RGPD doit faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par les administrateurs de la CPTS. Il guidera l’ensemble des acteurs opérationnels des traitements de données. En outre, il permettra d’encadrer les pratiques de l’association et de ses adhérents.
Ainsi, des actions telles que la réalisation des analyses d’impact, la sensibilisation des adhérents, doivent être les tâches prioritaires.
Sensibiliser
Les CPTS ont pour mission d’aider leurs adhérents à se numériser, il est donc primordial que la brique « éthique » ne soit pas oubliée.
Les CPTS doivent encadrer les pratiques des adhérents dans le cadre de certaines missions (ETP), mais aussi les aider à se mettre eux-mêmes en conformité.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action réalisable par le bureau de la CPTS. C’est pourquoi il doit être pragmatique.
L’analyse des risques met en évidence les actions à prioriser. C’est pourquoi une liste exhaustive des actions de conformité RGPD doit faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par les administrateurs de la CPTS. Il guidera l’ensemble des acteurs opérationnels des traitements de données.
Ainsi, des actions telles que la réalisation des analyses d’impact, la sensibilisation des adhérents, doivent être les tâches prioritaires.
Sensibiliser
Les CPTS ont pour mission d’aider leurs adhérents à se numériser, il est donc primordial que la brique « éthique » ne soit pas oubliée.
Les CPTS doivent encadrer les pratiques des adhérents dans le cadre de certaines missions (ETP), mais aussi les aider à se mettre eux-mêmes en conformité.
Conseil RGPD n°5 pour CPTS
Maîtriser la conformité
Lancer un chantier de mise en conformité avec le RGPD n'est pas tout. Les compétences du DPO externe doivent être fiables et pérennes. Opt-on investit en permanence dans son expertise.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
Conseil RGPD n°6 pour CPTS
Maintenir la conformité RGPD de la CPTS
La tâche la plus complexe en matière de conformité est sûrement celle du maintien de la dynamique.
Grâce à notre expérience de DPO, nous pouvons affirmer que, le plus difficile dans la mise en conformité avec le RGPD, est de réussir à rendre la démarche attrayante.
Toutefois, cela doit être un objectif prioritaire dès le début du chantier. La mise en conformité ne doit pas être subie par les CPTS, afin que la démarche reste dynamique.
Il est judicieux de confier le chantier à un DPO externe, dont c’est le quotidien, afin d’éviter que la coordination se décourage, à cause d’une impression d’immobilisme.
En effet, le métier de DPO est difficile à plus d’un titre. Il est difficile de faire adopter une culture de la protection des données au sein d’une organisation qui n’y est pas habituée. En outre, la protection des données est souvent perçue comme un frein à l’activité. Ces situations génèrent des résistances.