Site d’information destiné aux acteurs sanitaires et médico sociaux

02/10/2018

La protection des données de santé après le RGPD

par Nathalie Levray
Données de santé RGPD - Ne pas utiliser pour un autre article Pascal_Gros

Le règlement européen et sa transposition dans la loi Informatique et libertés rendent les opérateurs responsables du traitement des données de santé sous le contrôle de la Cnil. La tenue d’un registre interne, la désignation d’un délégué spécifique et une sécurisation juridique, technique et organisationnelle s’ajoutent aux obligations existantes sur les incidents informatiques graves et aux règles en matière d’hébergement externalisé ou de pratiques de télémédecine.

Email Email

Le 25 mai 2018 est entré en vigueur le règlement général sur la protection des données (RGPD) européen.

La loi du 20 juin 2018 relative à la protection des données personnelles le transpose dans notre corpus juridique en modifiant la loi Informatique et libertés (LIL) du 6 janvier 1978.

Le décret du 1er août pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles apporte différentes précisions.

C’est donc un nouveau cadre réglementaire qui s’applique au traitement de données à caractère personnel, c’est-à-dire, quel que soit le procédé utilisé, à la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, à l’extraction, la consultation, l’utilisation, la communication par transmission, à la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi qu’au verrouillage, à l’effacement ou la destruction de telles données (LIL, art. 2).

Ce nouveau cadre s’applique sous le contrôle de la Commission nationale de l’informatique et des libertés (Cnil), autorité administrative indépendante. Sa formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations du RGPD (LIL, art. 11 et 17).

Protection renforcée

Le RGPD définit une nouvelle notion de « privacy by design ». Considérées comme sensibles, les données de santé bénéficient d’un régime de protection renforcée.

Le principe est celui de l’interdiction du traitement des données de santé relatives à une personne identifiée ou identifiable et de leur commercialisation (RGPD, art. 9 ; LIL, art. 8).

Toutefois, leur exploitation est possible si la personne concernée, bien informée de la finalité du cadre dans lequel ses données seront utilisées, donne son consentement « clair et explicite » (RGPD, art. 7).

Elle est également autorisée si elle est rendue nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne soumise à l’obligation de secret professionnel.

Elle est enfin permise si elle est conforme à la loi Informatique et libertés et justifiée par l’intérêt public, pour éviter notamment la propagation des maladies, ou dans le cadre d’une recherche publique, après avis motivé et publié de la Cnil, ou encore s’il s’agit de données rendues anonymes.

Si la déclaration préalable des fichiers auprès de la Cnil et la délivrance d’une autorisation sont d’une manière générale supprimées, sauf, notamment, pour la recherche, l’instance doit être consultée préalablement à toute opération de traitement sur les données de santé. Ce qui est précisé dans le décret du 1er août.

Nomination d’un délégué

Le principe de base de la protection des données de santé à caractère personnel repose sur la responsabilisation des opérateurs et de leurs sous-traitants, à savoir les établissements sanitaires et médico-sociaux, les acteurs institutionnels, les industriels pharmaceutiques et du dispositif médical, les start-up en santé, etc.

En conséquence, ceux-ci doivent respecter de nouvelles obligations. La première concerne la nomination obligatoire d’un délégué à la protection des données (DPD) en cas de traitement à grande échelle des données de santé. Le DPD prend le relais des précédents correspondants informatique et libertés (CIL).

Soumis à une obligation de confidentialité, le DPD veille à l’application du RGPD et de la LIL, conseille son employeur sur les sujets relatifs à la protection des données de santé recueillies par celui-ci. Il est l’interlocuteur de la Cnil. Un salarié en poste peut être chargé de cette mission. Une mutualisation entre plusieurs établissements est également possible (RGPD, art. 47).

Mise en place d’un registre interne

La deuxième obligation concerne la mise en place d’un registre interne, qui s’applique à tous et non plus seulement aux seuls établissements disposant d’un CIL.

Le registre mentionne notamment le nom et les coordonnées de l’entreprise responsable du traitement et du DPD, les finalités du traitement, la description des catégories des personnes concernées, les délais prévus pour l’effacement des données, la description des mesures de sécurité pour les protéger.

Il décrit les traitements et documente leur conformité au règlement et à la loi nationale afin de pouvoir en justifier, à tout moment, en cas de contrôle de la Cnil.

Analyse d’impact préalable

En outre, en raison de l’impact sur les droits et libertés fondamentaux des individus ainsi que de la portée générale et absolue du secret médical, tout opérateur doit sécuriser les traitements de données de santé. Il doit réaliser une analyse d’impact préalable portant sur les risques techniques de sécurité et les risques juridiques pour la vie privée des personnes concernées.

Cette analyse contient une description des opérations de traitement et la finalité poursuivie, une évaluation de l’intérêt au regard des risques, et les mesures de protection mises en place pour limiter le risque (anonymisation, certificat SSL, cryptage des données…). L’opérateur met en outre en œuvre des processus garantissant la sécurité et la confidentialité des données et le respect des droits des personnes (clauses contractuelles, procédures internes…).

Le texte oblige enfin à signaler à la Cnil les incidents de sécurité impliquant des données personnelles (CSP, art. L.1111-8-2), obligation qui s’ajoute à celle du signalement des incidents informatiques graves aux agences régionales de santé (ARS). Des obligations spécifiques sont prévues pour les sous-traitants des opérateurs, lorsqu’ils traitent des données de santé externalisées par un établissement de santé.

Sanctions graduelles

Ces trois obligations s’ajoutent aux règles édictées par le code de la santé publique et relatives à l’hébergement externalisé des données de santé couvertes par le secret médical, à la pratique de la télémédecine, à l’identifiant national de santé, etc.

Dans ce nouveau cadre juridique, l’opérateur garantit au citoyen la sécurité maximale de ses données personnelles, la transparence de leur traitement et le respect de ses droits.Toute défaillance, l’imprudence et la négligence engagent sa responsabilité dans le cadre d’un système de sanctions graduelles, allant de la mise en demeure et de l’avertissement à l’amende administrative.

Relevé de 150 000 euros à trois millions d’euros par la loi Pour une République numérique en 2016 (art. 65), le plafond de ces amendes est porté au maximum à 4 % du chiffre d’affaires mondial ou jusqu’à 20 millions d’euros (LIL, art. 45). Enfin, un juge peut prononcer une sanction pénale, pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (RGPD, art. 58, 83, 84 ; code pénal, art. 226-16 à 226-24). Cet arsenal punitif n’empêche pas la saisine d’un tribunal au civil pour l’obtention de ­dommages-intérêts.

La donnée de santé au sens du RGPD

Une donnée de santé se rapporte à l’état de santé, physique ou mental, passé, présent ou futur, d’une personne physique identifiée ou identifiable. Elle est collectée à l’occasion d’une prestation de soins de santé, d’une prise en charge sanitaire, ou pour la recherche. Elle concerne le génome, la fréquence cardiaque moyenne ou l’analyse sanguine, les informations relatives à un handicap, un risque de maladie, des antécédents médicaux, un traitement clinique, un état physiologique ou biomédical, etc. Une donnée (nombre de pas journaliers) peut être qualifiée de données de santé quand son croisement avec d’autres données (âge, sexe et habitudes alimentaires) permet de déduire un état de santé. Toute donnée utilisée à des fins médicales, peu important sa nature ou sa source, est une donnée de santé par destination.

Laisser un commentaire

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>