Le RGPD et les données de santé

Le RGPD et les données de santé

Avec la digitalisation de plus en plus prégnante, un nombre croissant d’informations relatives à la santé des personnes sont quotidiennement recueillies par diverses applications, objets connectés, centres de soin… Or, les données de santé, en tant que données sensibles (au sens du Règlement Général sur la Protection des Données), ont une importance capitale en ce qu’elles sont normalement couvertes par le secret médical et posent des enjeux dans les systèmes assurantiels et financiers privés. Le RGPD (Règlement Général sur la Protection des Données) applicable à partir du 25 mai 2018, impose un cadre réglementaire pour protéger les citoyens face au risque que présente le traitement de ce type de données.

Il convient avant tout de s’intéresser à la notion de données de santé.

 

Qu’est-ce qu’une donnée de santé ?

Les données de santé sont les données à caractère personnel concernant l’état de santé physique ou mental, présent ou futur d’une personne identifiée ou identifiable.

En somme, cette définition regroupe toutes les données concernant un individu tant au niveau des soins qu’il a reçu, mais aussi les données génétiques et caractéristiques physiques (fréquence cardiaque moyenne, analyse sanguine…), les informations concernant un handicap, un risque de maladie…

Il s’agit de données sensibles au sens du règlement de sorte qu’elles sont soumises à un régime spécifique et font l’objet d’une attention particulière des pouvoirs publics.

Pour les caractériser, il convient de s’intéresser :

  • à la nature des données. Sont-elles relatives à la santé d’une personne identifiée ou identifiable ?
  • à leur usage et leur finalité. Sont-elles utilisées à des fins médicales ?

En effet, certaines données par défaut ne sont pas considérées comme des données de santé mais, lorsque ces premières sont croisées avec d’autres données et permettent de déduire l’état de santé d’une personne, elles seront qualifiées de données de santé.

Par exemple, le fait d’entrecouper des données relatives au nombre de pas journaliers réalisés par un individu, son âge, son sexe et ses habitudes alimentaires peuvent, au moyen d’un algorithme, permettre de déduire avec une certaine marge d’erreur, l’état de santé d’une personne. Le cas échéant, ces données seraient qualifiées de données de santé.

Enfin, si des données sont utilisées à des fins médicales, peu importe leur nature, elles seront considérées comme des données de santé par destination.

 

L’interdiction de principe du traitement des données de santé

Le traitement des données de santé est défini comme toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable. Il est en principe interdit sauf lorsque le consentement de la personne a été obtenu et/ou la finalité du traitement est conforme aux exceptions prévues par le règlement.

Obligation d’obtenir le consentement de la personne

Néanmoins, dès lors que la personne concernée par le traitement de données de santé donne son consentement exprès, le traitement est autorisé. Pour qu’il soit considéré comme valable, il faudra veiller à bien informer l’utilisateur de la finalité du traitement c’est à dire dans quel cadre les données seront utilisées. Le consentement dans le cadre du RGPD est donc (dans la majorité des cas) obligatoire et doit être donné par la personne concernée après avoir pris conscience du but de la récolte de données.

Le règlement laisse toutefois la possibilité aux Etats membres de prévoir une règle plus stricte (interdiction pure et simple par exemple) concernant la collecte de données de santé.

 Exceptions à l’obligation de consentement

Le traitement des données personnelles de santé est autorisé et ce, sans consentement préalable de l’utilisateur s’il poursuit notamment une des finalités suivantes :

  • gestion des systèmes et services de santé ou de la protection sociale
  • préservation de la santé publique (pour éviter notamment la propagation des maladies)
  • appréciation médicale : soins, diagnostics, médecine préventive,
  • préservation des intérêts vitaux d’une personne en incapacité de donner son consentement

L’utilisation de ces données est donc relativement restreinte et, de facto, ces dernières ne peuvent faire l’objet d’une commercialisation.

 

Les obligations à la charge de l’entreprise responsable du traitement des données de santé

Ce type de collecte implique un certain nombre d’obligations à la charge du responsable de traitement et de ses éventuels sous-traitants dont notamment :

RGPD et la nomination d’un délégué à la protection des données

Dès lors que l’entreprise traite des données de santé à grande échelle, elle a pour obligation de nommer un délégué à la protection des données. Soumis à une obligation de confidentialité, le délégué à la protection des données conseille en toute indépendance l’entreprise sur les sujets relatifs à la protection des données de santé recueillies par cette dernière.

A ces fins, il n’est pas nécessaire de recruter un salarié ayant pour vocation exclusive d’endosser ce rôle : il peut s’agir, par exemple, d’un salarié déjà en poste acceptant ce rôle en plus de sa fonction habituelle.

Le registre des traitements

Le RGPD impose à l’entreprise effectuant un traitement de données de santé à grande échelle de tenir un registre consultable par la CNIL à tout moment mentionnant notamment

  • le nom et les coordonnées de l’entreprise responsable du traitement et du délégué à la protection des données
  • les finalités du traitement
  • la description des catégories des personnes concernées par le traitement des données de santé
  • les délais prévus pour l’effacement des données
  • la description des mesures de sécurité prises pour la protection des données

Analyse d’impact des risques relatifs aux données de santé

Le traitement de données de santé peut avoir un impact significatif sur les droits et libertés fondamentaux des individus notamment du fait de la portée générale et absolue du secret médical. Dans ces conditions, le responsable du traitement de ce type de données doit préalablement effectuer une analyse d’impact du traitement contenant au moins :

  • une description des opérations de traitement et la finalité poursuivie par le responsable du traitement
  • une évaluation de l’intérêt au regard des risques (bénéfices/risques) notamment au regard des droits et libertés fondamentaux reconnus aux individus. Le traitement de ce genre donnée doit donc présenter un intérêt majeur pour les personnes concernées au regard des risques encourus en cas de fuite ou de vol de ces données.
  • les mesures de protections mises en place pour limiter le risque (anonymisation, certificat SSL, cryptage des données…)

Le RGPD impose une consultation préalable de la CNIL avant toute opération de traitement sur les données de santé.
Il faut aussi savoir que la portabilité des données dans le RGPD concerne aussi les entreprises procédant au traitement des données santé.

A noter : Les amendes de non conformité au RGPD peuvent aller jusqu’a 4% du chiffre d’affaires international de l’entreprise !

Cet article vous a-t-il été utile ?