✨ LANCEMENT NOUVEL OUTIL✨ Questionnaires Sécurité & Data, réduisez votre cycle de vente!  
En savoir +

Données de santé : pourquoi utiliser un logiciel RGPD ?

Sommaire

Les données de santé, par leur nature “sensible”, bénéficient d'un régime très protecteur. En effet, le RGPD doit composer avec d'autres législations comme le Code de la santé publique, la loi informatique et libertés ou bien encore le Code du travail.

Vous l’avez compris. Si vous gérez ce type de données, vous devez redoubler de vigilance puisque plusieurs réglementations se chevauchent pour encadrer leur exploitation.

Par exemple, alors que le règlement européen a pour principe de responsabiliser les organismes dans la gestion des données personnelles, la loi informatique et libertés prévoit des formalités préalables auprès de la CNIL concernant les traitements de données de santé dans des cas précis (comme les recherches, études, évaluations).

Ici, nous allons vous expliquer en quoi les données de santé sont spécifiques au regard du règlement européen et de quelle façon un logiciel RGPD peut vous épauler dans votre quotidien.

Pourquoi les données de santé sont-elles particulièrement sensibles ?

Une donnée personnelle est toute information qui permet d'identifier ou de rendre identifiable une personne physique. La donnée de santé est donc une donnée personnelle si elle rentre dans cette définition.

Définition de la donnée de santé

Les données personnelles relatives à la santé concernent les informations sur la santé physique ou mentale, passée, présente ou future, d'une personne physique.

Cela inclut la fourniture de services de soins de santé et toute information révélant l'état de santé de la personne.

Par exemple, sont concernés les renseignements d'une personne physique lors d'une prise de rendez-vous, de soins, d'examens du corps, d'échantillons, de données génétiques ou les informations relatives à une maladie, un traitement.

Tous ces éléments peuvent être fournis par le patient lui-même (comme le numéro de sécurité sociale, dossier médical, examens, résultats) ou des professionnels de santé (médecin, hôpital, laboratoire, dispositif médical, etc.).

Ne rentrent pas dans la catégorie des données de santé les informations à partir desquelles aucune conclusion ne peut être tirée concernant l'état de santé de la personne concernée.

Il en est ainsi d'une application qui enregistre le temps sans écran ou le nombre de pas effectués à condition qu'il n'y ait pas de croisement avec d'autres informations.

Donnée de santé et donnée sensible

Juridiquement, quel est le statut d'une donnée de santé physique ou mentale ? Au regard de l'article 9 du RGPD, elle est une donnée sensible.

Ainsi, entrent dans la catégorie de donnée sensible, la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Or, en principe, le traitement d'une donnée sensible est interdite sauf dans des cas énumérés pas le règlement européen :

  • la personne concernée a donné son consentement explicite pour le traitement de ses données de santé à des fins spécifiques ;
  • le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne, lorsque la personne concernée ne peut pas donner son consentement ;
  • tel est aussi le cas pour des finalités liées à la médecine préventive, au diagnostic médical, à la médecine du travail, à la gestion des soins de santé ou à la protection sociale, sous réserve des garanties appropriées ;
  • la possibilité est aussi ouverte pour des raisons d'intérêt public dans le domaine de la santé publique (protection contre les menaces sanitaires graves ou pour garantir la qualité et la sécurité des soins de santé) ;
  • le traitement est autorisé pour des fins de recherche scientifique, historique ou statistique dans l'intérêt public.

Données de santé : des obligations renforcées

Les obligations classiques à respecter

La protection des données à caractère personnel reposent sur cinq principes fondamentaux qui encadrent la collecte, l’utilisation et la gestion des données.

Principe de finalité

L’organisme qui collecte les données doit définir à l’avance pourquoi il en a besoin.

Il est interdit d'utiliser ces informations à d'autres fins que celles qui ont été initialement prévues, sauf si la personne donne son consentement pour un autre usage.

Principe de proportionnalité et de pertinence

Seules les données strictement nécessaires pour atteindre l'objectif défini peuvent être collectées.

Principe de durée de conservation limitée

Les données personnelles ne peuvent pas être conservées indéfiniment. Une limite temporelle doit être fixée, en fonction de la nature des données et de leur usage.

Au-delà d'un certain délai, les informations doivent être supprimées ou anonymisées, à moins qu'une législation exige leur conservation pour une durée plus longue.

Principe de sécurité et de confidentialité

Le responsable des données doit mettre en place des mesures de sécurité pour protéger les informations collectées contre les accès non autorisés, la modification ou la perte accidentelle.

Droits des personnes

Tout d'abord, les organismes doivent dans un premier temps faire preuve de transparence en informant les intéressés sur la façon dont leurs données vont être traitées.

Enfin, des process doivent être mis en place pour leur permettre d'exercer les divers droits accordés par le RGPD : droit d'accès, droit de rectification, droit d'opposition, droit à l'effacement, droit à la limitation, droit à la portabilité, droit à l'intervention humaine.

Pour l'accès aux données de santé le délai de réponse est assez court : 8 jours !

Désignation d'un Délégué à la protection des données (DPO)

Si vous traitez des données de santé, il semble difficile d'échapper à votre obligation de désigner un DPO, un professionnel dont la mission est la mise en œuvre de la conformité au règlement européen et la protection des données et la vie privée.

L'article 37 du règlement le rend obligatoire dans l'une des situations suivantes :

  • si vous êtes un organisme public ;
  • si l'organisme implique un suivi régulier et systématique des personnes à grande échelle ;
  • si votre activité principale consiste à traiter à grande échelle des données sensibles (comme les données de santé ou les données génétiques).

Quid du professionnel de santé ? Le DPO est obligatoire s'il exerce une activité "à grande échelle".

La CNIL donne en exemple l'exercice au sein d'un réseau de professionnels, les maisons de santé, les dossiers partagés entre plusieurs professionnels de santé.

Analyse d'impact (PIA) pour les données de santé

Une analyse d'impact relative à la protection des données (PIA) est une évaluation des risques que le responsable de traitement doit réaliser lorsque le traitement des données présente un risque élevé pour les droits et libertés des personnes concernées.

La CNIL a dressé une liste non-exhaustive d'activités pour lesquelles une PIA est obligatoire :

  • traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes. Exemples : dossier médical du patient, dispositifs de télémédecine ;
  • traitements portant sur des données génétiques ;
  • traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre.

Si vous ne rentrez pas dans ces cas de figure, il faut néanmoins vous confronter à un dernier test.

Selon la CNIL, une PIA est obligatoire si vous remplissez au moins deux critères parmi les 9 : scoring, décision automatique avec effet légal ou similaire, surveillance systématique, collecte à large échelle, données sensibles, croisement de données, personnes vulnérables (patients, enfants, etc.), usage innovant, exclusion du bénéfice d'un contrat.

Objectivement, si vous traitez des données de santé, il est probable que cette obligation vous incombe.

Il en sera ainsi pour le développement d'une application dans le domaine de la santé ou si vous êtes un laboratoire. De la même façon, si vous êtes un établissement dont l'objet est la prise en charge de patients ou leur indemnisation (mutuelle ou assurance) ou si vous conservez les antécédents de santé de vos clients (soin, résultats, examen en EPHAD ou clinique).

Données de santé : les premières étapes d'une conformité réussie

Cette dernière doit finalement répondre à une seule et même question : quel est le sort d'une donnée de santé une fois qu'elle a été récoltée ?

En tant que responsable de traitement, vous avez la responsabilité de connaître le cycle de vie de chacune d'entre elle et de pouvoir justifier son exploitation.

Cartographie des données de santé

Cette étape est indispensable pour faire le point sur les données de santé en votre possession, de leur point d'entrée jusqu'à leur suppression.

Il s’agit de comprendre le cycle de vie des données en votre possession pour détecter les risques de non-conformité.

Collecte des données : minimisation et transparence

Pour rappel, lors de la collecte des données de santé, il est crucial de recueillir uniquement ce qui est nécessaire à un traitement spécifique et justifié.

L'organisme doit respecter  les principes de transparence et de consentement (à moins d'être dans l'une des autres exceptions énoncées dans la partie donnée de santé et donnée sensible).

Autrement dit, les personnes concernées doivent être informées non seulement du devenir de leurs données afin qu'elles puissent donner un consentement libre, spécifique, éclaire et univoque, mais également des droits qui leur sont accordés.

Tenue d’un registre de traitement

C'est l'article 30 du RGPD qui impose ce registre. Il répertorie toutes les opérations de traitement des données au sein de l’entreprise. A ce titre, il fait partie des documents essentiels pour l'accountability.

Certains éléments sont obligatoires :

  • les coordonnées du responsable du traitement, du référent RGPD ou du délégué à la protection des données.
  • les catégories/les types de données de santé collectées ;
  • les personnes : patients/clients, prospects, employés, etc.
  • la base légale pour la collecte d'informations : exécution d'un contrat, consentement de la personne, obligation légale, intérêt légitime, exécution d'un intérêt public ou protection d'un intérêt vital ;
  • la finalité du traitement : le but pour lequel le responsable de traitement collecte des données de santé ;
  • les personnes qui ont accès aux données : équipe interne ou prestataires ;
  • la durée de conservation des données : le délai exact ou un moyen pour le définir ;
  • les mesures de sécurité : moyens techniques et organisationnels.

Le registre de traitement des données est un document qui doit être régulièrement mis à jour en cas de contrôle.

Par ailleurs, il s'agit d'un très bon outil de synthèse qui permet de savoir où vous en êtes en matière de protection des données personnelles.

Sécurité des données

Elle implique la mise en place de moyens pour protéger les informations sensibles contre tout accès non autorisé, altération ou destruction.

Deux démarches sont essentielles :

  • l'évaluation des risques en fonction des moyens techniques, des moyens financiers et de la finalité du traitement ;
  • l'adoption de mesures techniques et organisationnelles adaptées : pseudonymisation, chiffrement des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes, la maîtrise du facteur humain (comportement des équipes internes et des prestataires).

Gestion des sous-traitants

Les sous-traitants que le responsable de traitement choisi doivent aussi se conformer aux règles de la protection des données personnelles.

Le règlement européen oblige les deux parties à conclure un contrat de sous-traitance - ou Data Processing Agreement (DPA) - afin de définir la responsabilité et les obligations respectives des deux parties sur les données confiées.

C'est l'article 28 qui prévoit le contenu de ce document : objet, durée, nature, finalité du traitement, obéissance aux instructions du responsable de traitement, assistance pour la gestion des demandes d’exercice de droits, etc.

Formation des collaborateurs

Une sensibilisation continue des collaborateurs à la protection des données est indispensable puisqu'ils sont les premiers à manipuler les données de santé dans le cadre de leur mission.

Cela inclut des formations régulières sur les bonnes pratiques, les enjeux de la sécurité des données et les sanctions en cas de manquement.

Le recours à une charte informatique est un bon levier pour les rendre vigilants sur le sujet et d'officialiser juridiquement leur engagement RGPD.

Les atouts d'un logiciel RGPD pour les données de santé

Le caractère sensible des données de santé, du fait du danger que leur divulgation comporte sur la vie privée de la personne, complique la tâche des responsables de traitement.

D'ailleurs, la CNIL intervient très souvent dans le domaine de la santé. De nombreuses entreprises ont déjà été contrôlées et sanctionnées (Doctissmo, Cegedim, Dedalus).


Automatisation des processus

Au lieu d'effectuer les tâches à la main, et de prendre le risque d'oublier certaines vérifications (l'erreur est humaine), un logiciel RGPD est avantageux notamment :

  • pour suivre la gestion automatique des consentements lorsque vous avez beaucoup d'utilisateurs et/ou que vous menez régulièrement des examens, des soins, des analyses de masse ;
  • pour répondre rapidement à l'exercice des droits (pour rappel, vous avez un délai de 8 jours) ;
  • pour surveiller les contrats de vos sous-traitants et/ou vérifier que ceux avec qui vous travaillez sont bien respectueux du RGPD.

Assurer une mise en conformité continue

La conformité est un travail itératif. D'ailleurs, la CNIL rappelle que les organismes doivent vérifier régulièrement que les traitements n’ont pas évolué et que la mise en place des procédures et des mesures de sécurité est bien respectée.

Un logiciel RGPD vous aidera à :

  • suivre les évolutions réglementaires puisque un tel logiciel RGPD intégrera automatiquement les nouvelles règles ou les recommandations de la CNIL ;
  • mettre à jour le registre de traitement en cas de création de nouvelles catégories de données de santé ;
  • former vos collaborateurs avec des Moocs ou des ateliers. En effet, le RGPD est avant tout une réglementation opérationnelle qui concerne chacun de vos collaborateurs.

Avoir une vision à 360° des données de santé

Un logiciel RGPD offre une vue d'ensemble complète des données de santé traitées grâce à :

  • une traçabilité centralisée : toutes les données sont suivies depuis leur collecte jusqu'à leur suppression.
  • une gestion efficace des flux de données : identification rapide des vulnérabilités ou des traitements sensibles.
  • une réactivité accrue : réponses rapides aux demandes et aux failles de sécurité.



Comment Leto peut vous aider à gérer les données de santé

Leto est un logiciel SAAS qui automatise le respect des obligations de votre entreprise aux règlements de protection des données personnelles.

Cartographie et suivi des données de santé

Leto identifie automatiquement toutes les données de santé collectées. Cela permet aux entreprises de savoir précisément où et comment ces données sont stockées et utilisées.

L'atout indéniable ? Anticiper, gérer les risques et prendre toutes les mesures continues nécessaires en quelques clics.

Gestion des consentements et exercice des droits

Leto centralise et gère les consentements des utilisateurs, tout en assurant que ceux-ci soient valides et correctement documentés.

Le logiciel est conçu pour gérer les demandes d'exercice des droits des individus : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Feuille de route

Leto concentre toutes les tâches à réaliser par vos équipes et surtout adapte les modèles de feuille de route à votre métier.

Vous pouvez ensuite suivre où en sont les actions. Autre point essentiel : notre logiciel s'interface avec vos outils de gestion de projet internes afin de ne pas changer les habitudes de vos équipes

Documentation

Le logiciel fournit des outils pour générer des documents pré-remplis comme le registre des traitements, les politiques de confidentialité adaptées aux données de santé et les contrats de sous-traitance.

Surtout, nous conservons sur une même plateforme toutes les preuves nécessaires pour démontrer que les processus sont conformes aux exigences du règlement européen et des lois spécifiques sur les données de santé.

Analyse d'impact (PIA)

Leto propose un outil pour réaliser des analyses d'impact sur la protection des données et rendre cette mission simple et accessible. L’interface est collaborative et très simple à compléter même pour des profils non experts.

Par ailleurs, vous capitalisez sur les informations déjà saisies dans Leto (registre des traitements de données, mesures de sécurité, etc.) puisque notre intelligence artificielle récupère les données nécessaires pour générer ce document (gain de temps de 50% dans la réalisation de l'analyse d'impact).

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre