Chronique de Balkiss Smaili, Akerva
Dans le cadre de son rôle de protection de la vie privée et des libertés individuelles et publiques des citoyens, la Commission Nationale de l’Informatique et des Libertés (CNIL) identifie chaque année des thématiques prioritaires lui permettant d’orienter sa stratégie de contrôle annuelle. L’une d’elles, présentée dans son communiqué du 12 mars 2020, concerne les données de santé à caractère personnel.
Dans une démarche globale de gestion des risques liés au traitement de toutes les données personnelles, de nombreuses actions sont à mener par les entreprises stockant et/ou traitant des données de santé pour intégrer la sécurité dans les systèmes d’information.
Qu’est-ce qu’une donnée de santé ?
Les données de santé sont définies par la CNIL comme des « données à caractère personnel, relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. Quelques exemples de données de santé :
- Les données collectées par les laboratoires ou tout autre établissement de santé lors de la création du dossier d’un nouveau patient ;
- Les données acquises lors d’un test biologique ou d’une opération ;
- Les résultats d’un test biologique ou d’un contrôle médical ;
- Les données d’identification d’une personne considérée comme à risque face à certaines pathologies ;
- etc.
Quelles est la portée du RGPD dans votre établissement ?
Une étape primordiale de la démarche de mise en conformité au RGDP est de qualifier le rôle de l’établissement de santé, et donc ses responsabilités, vis-à-vis du traitement des données de santé.
- En tant que responsable de traitement, votre établissement aura pour responsabilité de définir les mesures de sécurité applicables, de les intégrer dans les contrats de sous-traitance relatifs au traitement considéré et contrôler leur bonne application.
- En tant que sous-traitant, votre établissement aura pour responsabilité d’identifier les mesures de sécurité à mettre en œuvre, de respecter les clauses contractuelles qui y sont relatives et de reporter sur la mise en œuvre effective de ces mesures.
L’étape suivante consiste à identifier le fondement des traitements portés sur les données de santé considérées et de confirmer qu’elles sont traitées pour une raison légitime. Il conviendra notamment d’identifier les finalités de traitement associées, c’est-à-dire si les données sont traitées dans le cadre :
- D’un diagnostic médical ;
- D’une prise en charge sanitaire ou sociale ;
- De la gestion des systèmes et des services de soins de santé ;
- De l’intérêt public dans le domaine de la santé publique ou de recherche ;
- D’une action de médecine préventive ou de médecine du travail.
Comment assurez-vous la protection des données de santé de vos patients ?
L’entreprise devra être en mesure de démontrer à tout moment son niveau de conformité aux exigences du RGPD en traçant toutes les démarches mises en œuvre :
1. Identification, si nécessaire, d’un délégué à la protection des données (DPO).
2. Rédaction d’un registre interne de traitement.
Point d’attention : parfois, notamment en cas de recherche sur les données traitées, l’entreprise devra solliciter l’autorisation de la CNIL avant de mettre en œuvre le traitement.
3. Identification des lieux de stockage et de traitement des données de santé traitées.
4. Définition des processus et procédures permettant d’assurer le respect des droits des patients.
5. Réalisation des analyses d’impact pour les traitements des données de santé.
6. Intégration dans les contrats de sous-traitance de clauses dédiées définissant les rôles et responsabilités des parties prenantes.
Quelles démarches effectuer ?
Les traitements de données de santé doivent être déclarés auprès de la CNIL avant leur mise en place. Cependant, afin de simplifier cette démarche, la mise en œuvre de certaines mesures exempte l’entreprise d’une déclaration préalable :
- L’entreprise est en capacité de prouver que les données de santé collectées sont adéquates, pertinentes et limitées à ce qui est strictement nécessaire pour la prise en charge du patient.
- L’accès aux données de santé des patients est limité aux seules personnes autorisées à y accéder au regard de leurs missions.
- Les durées de conservation des données des patients doivent être limitées au strict minimum.
- Comme pour tout autre traitement de données personnelles, les patients sont informés des données qui seront récupérées lors de leur prise en charge ainsi que des traitements qui y seront appliqués.
- Le consentement des patients est recueilli avant l’application du traitement, hormis si la collecte et la conservation de leurs données de santé sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.
- Des mesures techniques et organisationnelles appropriées sont implémentées pour préserver la confidentialité et l’intégrité des données des patients.
- Si l’entreprise traite de données de santé à grande échelle, un DPO est désigné, en interne ou en externe.
- Si identifiée comme nécessaire, une analyse d’impact (DPIA) est réalisée sur les traitements concernés.
La déclaration préalable à la CNIL reste cependant obligatoire dans les situations suivantes :
1. Les traitements présentant une finalité d’intérêt public.
2. Les traitements de données de santé comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR). A noter que, dans ce deuxième cas, les traitements doivent par ailleurs être prévus par un décret cadre.
Publiée le 8 octobre 2020 par JDnet