Skip to content

Le RGPD et les données de santé

Le RGPD et les données de santé

Avec l’essor de la digitalisation, le traitement des données de santé est devenu un enjeu majeur traité par le Règlement Général sur la Protection des Données (RGPD). En effet, un nombre croissant d’informations sont quotidiennement recueillies par diverses applications, objets connectés ou centres de soin.

C’est pourquoi, le RGPD entré en vigueur en 2018, a imposé un cadre réglementaire pour le traitement de ces données. Les entreprises ont donc l’obligation d’effectuer une mise en conformité avec le RGPD et les règles imposées par celui-ci.

Qu’est-ce qu’une donnée de santé ?

L’article 4-15 du RGPD donne une définition des données concernant la santé. Celle-ci est relativement large. En effet, elles concernent les données personnelles relatives à la santé physique ou mentale d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

Ainsi, les données de santé regroupent des informations :

  • collectées lors de la prestation d’un service de soins de santé
  • recueillies lors d’un examen de santé
  • concernant une maladie ou un handicap

Les données de santé sont donc constituées par des analyses sanguines, des fréquences cardiaques, des dossiers médicaux comportant des risques de maladies, etc.

Ces données peuvent être passées, présentes ou futures. Elles sont également considérées comme sensibles par le RGPD. C’est pourquoi, elles bénéficient d’une réglementation spécifique.

Bon à savoir : Lorsqu’une information permet la déduction de l’état de santé d’une personne directement ou à partir du croisement de différentes données, elle est considérée comme une donnée de santé.

Le RGPD autorise-t-il le traitement des données de santé ?

Le traitement des données de santé est défini comme toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable. Le RGPD définit les conditions permettant le traitement des données, notamment les données de santé.

Le principe : l’interdiction du traitement des données de santé par le RGPD

L’article 9 du RGPD pose les conditions de traitement des données dites sensibles. Celles-ci sont constituées des données révélant l’origine ethnique ou raciale, les convictions religieuses ou les données concernant la santé.

Ainsi, selon le RGPD, le traitement des données de santé est en principe interdit. Les responsables de traitement n’ont donc pas la possibilité de collecter les données relatives à la santé des personnes physiques. Toutefois, cette interdiction pose de nombreux problèmes dans l’exercice de prestations médicales quotidiennes.

En effet, le traitement d’informations relatives à la santé des personnes s’avèrent impératives pour certaines prestations. Tel est le cas pour la réalisation d’examens de santé. C’est pourquoi, le RGPD pose de nombreuses exceptions à l’interdiction du traitement des données de santé.

L’obligation d’obtenir le consentement de la personne

Une des exceptions introduite par le RGPD est l’obtention du consentement de la personne concernée. En effet, le traitement des données de santé est autorisé lorsque la personne physique donne son accord.

Cependant, le recueil du consentement doit obéir à plusieurs règles. En effet, le consentement dans le cadre du RGPD suppose un acte :

  • clair et positif : l’accord donné doit être direct et voulu.
  • libre et spécifique : la personne doit être en mesure d’accepter ou de refuser le traitement de ses données.
Attention : le consentement en matière de données personnelles ne peut pas être donné par défaut. La personne doit être consciente de donner son consentement.

Par ailleurs, les responsables de traitement ont une obligation de transparence envers les personnes dont les données sont collectées. En effet, ils doivent informer les utilisateurs du cadre dans lequel leurs données seront utilisées. Si tel n’est pas le cas, le consentement donné n’est pas valable.

Bon à savoir : Le RGPD laisse toutefois la possibilité aux Etats membres de prévoir une règle plus stricte concernant la collecte de données de santé. En effet, celle-ci peut être purement et simplement interdite même en présence du consentement des intéressés.

Exceptions à l’obligation de consentement

Outre l’obligation de consentement, le RGPD prévoit d’autres exceptions. En effet, certaines situations ne nécessitent pas de recueillir le consentement des personnes concernées. Ainsi, le traitement des données personnelles de santé est autorisé, sans consentement préalable de l’utilisateur, s’il poursuit notamment une des finalités suivantes :

  • gestion des systèmes et services de santé ou de la protection sociale
  • préservation de la santé publique (pour éviter notamment la propagation des maladies)
  • appréciation médicale : soins, diagnostics, médecine préventive,
  • préservation des intérêts vitaux d’une personne en incapacité de donner son consentement

L’utilisation de ces données est donc relativement restreinte. Ainsi, ces dernières ne peuvent faire l’objet d’une commercialisation.

Comment traiter les données de santé en conformité avec le RGPD ?

Ce type de collecte implique un certain nombre d’obligations à la charge du responsable de traitement et de ses éventuels sous-traitants. Les utilisateurs disposent également de plusieurs droits en matière de collecte de leurs données.

Les obligations des responsables du traitement

Les responsables de traitement sont soumis au principe d’accountability imposé par le RGPD. Ainsi, ils doivent mettre en œuvre des mesures afin de garantir les principes posés par le RGPD. La mise en place de ces mesures est d’autant plus impérative concernant les données de santé.

Ainsi, en cas de traitement de données de santé, les responsables de traitement doivent :

  • nominer un délégué à la protection des données (DPO) : si l’entreprise traite des données de santé à grande échelle, elle a pour obligation de nommer un DPO. Celui-ci a pour mission de mettre en place les mesures permettant le respect du RGPD.
  • tenir un registre des traitements : celui-ci contient notamment les finalités de traitement des données, la description des mesures de sécurité prises pour la protection des données, etc. La CNIL dispose de la possibilité de consulter ce registre à tout moment.
  • réaliser une analyse d’impact des risques relatifs aux données de santé : celle-ci comporte la description des opérations de traitement, une évaluation du bénéfice/risque du traitement des données de santé, etc.
Attention : la réalisation d’une analyse d’impact des risques est nécessaire uniquement si le traitement de données de santé a un impact significatif sur les droits et libertés fondamentaux des individus.

Les droits des utilisateurs concernant les données de santé

Le RGPD confère de nombreux droits aux utilisateurs pour la protection de leurs données personnelles. En effet, ceux-ci disposent du droit :

  • d’accès aux données
  • de rectification
  • à la portabilité des données : chaque personne a la possibilité de récupérer les données qu’elle a fournies à l’organisme collecteur.
  • à la limitation du traitement : les personnes concernées peuvent demander sous certaines conditions le gel de l’utilisation de leurs données.

Ainsi, chaque utilisateur peut valablement demander l’accès à ses données même lorsqu’il s’agit de données de santé.

A noter : Les responsables de traitement sont dans l’obligation de respecter ces droits, au risque de s’exposer à des sanctions imposées par le RGPD.

FAQ

Qu’est-ce qu’une donnée de santé ?

Une donnée de santé est une donnée personnelle concernant la santé physique ou mentale d’une personne qui révèle une information sur l’état de santé de celle-ci. Ces données sont considérées comme sensibles par l’article 9 du RGPD. Elles bénéficient donc d’un encadrement spécifique.

Qui peut traiter des données de santé ?

Le traitement des données de santé est en principe interdit. Toutefois, les organismes ayant recueilli le consentement des personnes concernées sont autorisés à traiter les données de santé. Les organismes répondant également aux exceptions posées par l’article 9 du RGPD ont la possibilité de traiter des données de santé.

Comment traiter les données de santé ?

Le traitement des données de santé est soumis à plusieurs obligations en matière de protection des données personnelles. Ainsi, les responsables de traitement doivent notamment nommer un délégué à la protection des données (DPO) et tenir un registre des traitements.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 05/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments