lundi 14 juin 2021


François-Maxime Philizot et Agathe Simon, associés chez Mercure Avocats, cabinet d’affaires dédié au secteur de la santé, des biotechnologies et des technologies innovantes, décryptent pour Biotech Finances les enjeux du nouveau RGPD

Le Règlement européen sur la protection des données personnelles (RGPD) – nouvelle législation qui vise à créer un cadre de protection des données plus solide et cohérent en Europe, tout en répondant aux enjeux soulevés par les récentes évolutions technologiques (objets connectés, big data, intelligence artificielle) – entrera en application le 25 mai 2018 Ce règlement est d’application directe dans notre ordre juridique Néanmoins, il laisse une certaine marge de manœuvre aux états membres pour adapter la législation en vigueur C’est ainsi qu’en France, un projet de loi visant à adapter la loi Informatique et libertés aux dispositions du RGPD est actuellement en cours de discussion au Parlement

La plupart des entreprises (près de neuf sur dix en pratique) sont concernées par cette nouvelle législation Toutefois, si celle-ci est souvent présentée comme une contrainte, l’entrée en application du RGPD peut également être vue comme une opportunité À titre d’exemple, les formalités administratives seront fortement allégées pour les entreprises traitant des données personnelles

Certains types de données demeurent soumis à un régime particulier C’est le cas notamment des données de santé Selon les traitements et les finalités concernés, les obligations à la charge du responsable de traitement, et les éventuelles formalités à réaliser, peuvent différer Il est donc d’autant plus important, pour les entreprises du secteur de la santé et des biotechnologies, de bien maîtriser cet environnement

  1. UNE LOGIQUE DE RESPONSABILISATION

Alors que la directive de 1995 et la loi dite Informatique et libertés reposaient en grande partie sur la notion de « formalités préalables », le RGPD fonctionne sur une logique de responsabilisation des personnes traitant des données personnelles, qui doivent être en mesure de démontrer à tout moment leur conformité aux règles applicables Les formalités préalables disparaissent ainsi en grande partie, au profit d’un certain nombre d’obligations à mettre en œuvre, en amont, par les responsables de traitement

Notamment, chaque responsable de traitement doit mettre en place une série de mesures lui permettant de cartographier l’ensemble des traitements de données existant dans l’entreprise

Le RGPD impose à ce titre la création d’un registre recensant l’ensemble des traitements effectués par l’entreprise Si la tenue de ce registre est obligatoire pour les entreprises de plus de 250 employés, cette obligation s’applique également dans d’autres cas, et en