Accompagnement
RGPD pour MSP
Opt-on propose un accompagnement RGPD aux MSP (maisons de santé pluriprofessionnelles) afin de leur permettre d'être en conformité et pérenniser leur action.
Assur-on pour les MSP c’est l’assurance d’être épaulé, sans limites, dans les trois situations les plus risquées :
- Violation de données.
- Contrôle de la CNIL.
- Demande d’exercice de droit d’un citoyen.
C’est également la possibilité d’un appui technique par un DPO certifié AFNOR, désigné auprès de la CNIL. Pour un accompagnement RGPD progressif de la structure.
L’offre idéale pour les MSP qui souhaitent gérer en interne, ou qui n’ont pas beaucoup de temps à consacrer au projet RGPD.
Conform-on c’est la solution Assur-on, avec encore plus de temps d’appui technique, l’audit de la MSP en début de mission, et un bilan annuel du DPO.
La phase d’audit, correspond à notre solution Audit-on, se déroule sur 3 mois, et apporte un plan d’action complet ainsi que le registre de traitements.
Cette solution intègre la désignation du DPO, des newsletters, la formation du personnel, mais aussi des ateliers pratiques RGPD à destination des associés.
C’est l’accompagnement RGPD pour les MSP dans les règles de l’art préconisées par les autorités.
Pourquoi choisir Opt-on ?
Nos solutions sont spécialement conçues pour les CPTS et MSP.
Nous sommes au service des employés de la MSP, pour les aider sur tous les aspects de la protection des données.
Nous réalisons des ateliers pratiques afin d’aider vos associés à se mettre eux-mêmes en conformité RGPD.
Notre expérience vous permet de suivre les méthodologies de référence de la CNIL.
Nos offres sont transparentes, sans frais cachés.
Conseil RGPD n°1 pour MSP
Réaliser un état des lieux
La mise en conformité avec le RGPD nécessite un audit des activités de traitement. La rédaction d'un registre des traitements des données à caractère personnel est une nécessité.
Recenser les activités
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les missions de la MSP.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Cartographier les traitements
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Recenser les activités
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les missions de la MSP.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Cartographier les traitements
Conseil RGPD n°2 pour MSP
Évaluer les risques
L'analyse du registre de traitement permet d'évaluer la sensibilité des activités de l'organisation.
Identifier les données sensibles
Une fois les activités de traitement recensées, les associés de la MSP obtiennent les différentes catégories de données personnelles. C’est ici que commence la conformité avec le RGPD.
C’est ainsi que le risque sur les droits et libertés est évalué. Dans le cadre de certaines missions des MSP, la réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD des activités d’une MSP, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité RGPD générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés par la MSP.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles. Le but étant de gommer les défauts que la coordination de la MSP doit améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles comme le précisent les articles 24 et 25 du RGPD.
Identifier les données sensibles
Une fois les activités de traitement recensées, les associés de la MSP obtiennent les différentes catégories de données personnelles. C’est ici que commence la conformité avec le RGPD.
C’est ainsi que le risque sur les droits et libertés est évalué. Dans le cadre de certaines missions des MSP, la réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD des activités d’une MSP, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité RGPD générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés par la MSP.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles. Le but étant de gommer les défauts que la coordination de la MSP doit améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles comme le précisent les articles 24 et 25 du RGPD.
Conseil RGPD n°3 pour MSP
Appliquer la méthode PDCA
La mise en conformité RGPD doit être envisagée comme une gestion de projet permanente, du fait de la diversité des taches et services interne concernés.
Conseil RGPD n° 4 pour MSP
Opter pour un DPO externe
Externaliser la fonction de délégué à la protection des données garantie l'absence de conflit d'intérêt (article 38.6 du RGPD). La mise en conformité peut être réalisée en interne, à condition toutefois d'investissements cohérents en temps et en argent.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action réalisable par la coodrination de la MSP. C’est pourquoi il doit être pragmatique.
L’analyse des risques met en évidence les actions à prioriser. C’est pourquoi une liste exhaustive des actions de conformité RGPD doit faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par les administrateurs de la MSP. Il guidera l’ensemble des acteurs opérationnels des traitements de données. En outre, il permettra d’encadrer les pratiques des associés de la MSP.
Ainsi, des actions telles que la réalisation des analyses d’impact, la sensibilisation des membres, doivent être les tâches prioritaires.
Sensibiliser
Les MSP ont pour mission d’aider leurs associés à se numériser, il est donc primordial que la brique « éthique » ne soit pas oubliée.
Les MSP doivent encadrer les pratiques des communes dans le cadre de certaines missions, mais aussi aider les membres à se mettre eux-mêmes en conformité.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action réalisable par la coordination de la MSP. C’est pourquoi il doit être pragmatique.
L’analyse des risques met en évidence les actions à prioriser. C’est pourquoi une liste exhaustive des actions de conformité RGPD doit faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par les administrateurs de la MSP. Il guidera l’ensemble des acteurs opérationnels des traitements de données.
Ainsi, des actions telles que la réalisation des analyses d’impact, la sensibilisation des membres, doivent être les tâches prioritaires.
Sensibiliser
Les MSP ont pour mission d’aider leurs associés à se numériser, il est donc primordial que la brique « éthique » ne soit pas oubliée.
Les MSP doivent encadrer les pratiques communes dans le cadre de certaines missions , mais aussi aider les membres de la MSP à se mettre eux-mêmes en conformité.
Conseil RGPD n°5 pour MSP
Maîtriser la conformité
Lancer un chantier de mise en conformité avec le RGPD n'est pas tout. Les compétences du DPO externe doivent être fiables et pérennes. Opt-on investit en permanence dans son expertise.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
Conseil RGPD n°6 pour MSP
Maintenir la conformité RGPD de la MSP
La tâche la plus complexe en matière de conformité est sûrement celle du maintien de la dynamique.
Grâce à notre expérience de DPO, nous pouvons affirmer que, le plus difficile dans la mise en conformité avec le RGPD, est de réussir à rendre la démarche attrayante.
Toutefois, cela doit être un objectif prioritaire dès le début du chantier. La mise en conformité ne doit pas être subie par les MSP, afin que la démarche reste dynamique.
Il est judicieux de confier le chantier à un DPO externe, dont c’est le quotidien, afin d’éviter que la coordination et les associés se découragent, à cause d’une impression d’immobilisme.
En effet, le métier de DPO est difficile à plus d’un titre. Il est difficile de faire adopter une culture de la protection des données au sein d’une organisation qui n’y est pas habituée. En outre, la protection des données est souvent perçue comme un frein à l’activité. Ces situations génèrent des résistances.