Le Règlement Général pour la Protection des Données appliqué à la santé

Le règlement général n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) entre en vigueur le 25 mai 2018 et apporte quelques innovations en matière de protection des droits fondamentaux et notamment de droit à la vie privée.

L’environnement numérique dans lequel circulent les données personnelles se développe de plus en plus et une protection plus forte et pragmatique devient ainsi nécessaire.

Ce règlement a nettement renforcé les obligations du responsable de traitement de données dans un mouvement de responsabilisation.

Spécifiquement appliqué au domaine de la santé, celui-ci s’applique à tous les établissements de santé en tant que responsables de traitement de données à caractère personnel.

Ces données de santé sont définies dans le considérant n°35 du règlement comme étant : « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée ».

Plus globalement, elles sont qualifiées de « données sensibles » et font l’objet d’un principe général d’interdiction de traitement.

En outre, un tel traitement sera possible dès lors qu’il s’agit de :

  • préserver les intérêts vitaux de la personne concernée ;
  • traiter les données avec son consentement exprès ;
  • répondre à objectif de sécurité sanitaire ;
  • développer la recherche scientifique.

Bien évidemment, ce traitement de données est encadré par le législateur et le responsable de traitement devra ainsi se soumettre à certaines obligations.

I- L’encadrement juridique du traitement des données personnelles par la loi Informatique et Libertés du 6 janvier 1978

Par exception et précisément dans les cas précités, le traitement de données devait respecter certains principes fondateurs.

Tout d’abord, le traitement de données devait respecter un principe de finalité consistant à déterminer un but défini, explicite et légitime.

Ensuite, seules les données nécessaires à la finalité du traitement devaient être traitées conformément au principe de pertinence et de proportionnalité.

Les informations ne devaient pas être conservées de façon indéfinie et ainsi la durée de conservation des données devait être limitée.

Le responsable des données devait s’assurer de la confidentialité des données et ainsi éviter leur divulgation.

Egalement, les personnes concernées devaient être informées du traitement de leurs données personnelles et de leurs droits.

Enfin, une déclaration des fichiers à la Commission Nationale de l’Informatique et des Libertés était obligatoire ; voire une autorisation pour les données sensibles.

Avec le RGPD, ces obligations demeurent mais certaines sont renforcées. Egalement, de nouvelles obligations apparaissent.

II- L’encadrement juridique du traitement des données personnelles à partir de l’entrée en vigueur du RGPD

Tout d’abord, les établissements de santé vont avoir l’obligation de tenir une documentation interne tenant un descriptif des traitements mis en œuvre.

Ensuite, un délégué (Data protection Officer) à la protection des données devra être désigné, de manière facultative dans les établissements privés, mais obligatoirement dans les établissements publics. Ce délégué devra informer et conseiller le responsable de traitement des données ; diffuser une culture Informatique & Libertés au sein de l’établissement ; contrôler le respect du RGPD ; conseiller l’établissement sur la réalisation d’une analyse de l’impact du traitement de données et coopérer avec la CNIL. En outre, ce délégué devra nécessairement être indépendant et jouir d’une certaine liberté dans les actions qu’il décidera d’entreprendre (dans cette optique, une externalisation sera sûrement nécessaire).

Le respect des droits des personnes devra être assuré par le droit à l’information, le droit d’accès, le droit de rectification, le droit à l’opposition, le droit à la portabilité des données personnelles.

Une analyse de l’impact du traitement de données devra être effectuée précisément.

Les contrats conclus avec des tiers fournisseurs de service devront être encadrés dès lors qu’ils sont amenés à traiter de données à caractère personnel (prestataire de services informatiques, intégrateurs de logiciels, sociétés de sécurité informatique, agences de marketing ou de communication etc). Ils devront tenir un registre des activités de traitement des données pour le compte de leurs clients et dans certains cas un délégué à la protection des données devra être désigné.

Enfin, ils devront obligatoirement signaler les incidents de sécurité dans les 72 heures à la Commission Nationale de l’Informatique et des Libertés et à la personne concernée, sous peine de se soumettre à son contrôle a posteriori.

A partir du 25 mai 2018, les responsables de données personnelles vont devoir ainsi être conformes à la législation européenne. Pour les aider dans ce changement notable de législation, la CNIL leur propose des fiches pratiques via son site Internet. Une aide sans doute importante puisque selon le livre blanc publié en juin 2017 par International Data Corporation, seulement 9 % des entreprises françaises déclaraient être conformes à cette réglementation…

Manon Vezin

 

POUR EN SAVOIR PLUS

Site Internet de la CNIL, le guide précité

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.