RGPD et Santé

24/11/2023

Le Règlement Général sur la Protection des Données (RGPD), est entré en vigueur en mai 2018, et a introduit des règles strictes en matière de protection des données personnelles. L’objectif principal est de

  • Responsabiliser les organismes dans la gestion des données personnelles
  • Et de garantir le respect des droits des personnes concernées.

Cette responsabilité, aussi appelée principe d’Accountability, est particulièrement renforcée lorsqu’il est question de données de santé.

En effet, les données de santé sont des données dites “sensibles” au sens du RGPD. Il s’agit de données dont le traitement est encadré plus strictement car il comporte un risque plus élevé pour la vie privée des personnes, notamment en cas de violation de ces données (fuite, vol, destruction ou perte).

Tous les organismes impliqués dans la chaine de traitement de données de santé sont concernés : établissements de santé publics ou privés, institut de recherche, laboratoires, médecin, entreprises, hébergeurs de santé, logiciel de gestion etc.

☝🏻 Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction, stockage, hébergement etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle.

De plus, le sujet des données de santé doit retenir l’attention des organismes qui en collecte car le risque de faire l’objet d’un contrôle de la CNIL est plus élevé. En effet, la CNIL a déclaré a des nombreuses reprises que les données de santé était un sujet d’attention particulier de ses contrôles. Par exemple, le 15 avril 2022, un éditeur de solution à destination des laboratoires d’analyses médicales a été sanctionné d’une amende s’élevant à 1,5 million d’euros à la suite de la fuite massive de donnée de santé révélée par la presse.

Dans cet article, nous vous donnons toutes les clés pour réussir votre mise en conformité au RGPD si votre organisme traite des données de santé : quelles données sont concernées ? Quelles obligations ? Suivez le guide 😉

1 - Qu’est-ce qu’une donnée de santé selon le RGPD ?

Une donnée de santé est une donnée personnelle

Une donnée de santé, c’est avant tout une données personnelle (article 4 RGPD). Pour rappel, une donnée personnelle correspond à toute information se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations).

☝🏻 À retenir : dès lors que votre organisme collecte des données personnelles, vous êtes alors soumis au Règlement Général sur la Protection des Données (RGPD).

Une donnée de santé est une donnée sensible

Au sein des données personnelles, s’y trouve une catégorie à part : les données sensibles énumérées à l’article 9 RGPD. On retrouve dans cette liste, les données relatives à l’origine raciale, l’orientation sexuelle, les opinions politiques ou religieuses mais également les données génétiques, biométriques et les données de santé.

Par principe, le RGPD interdit de traiter ce type de données sauf s’ils se trouvent dans l’un des cas suivant :

  1. La personne concernée a librement donné son consentement,
  2. Le traitement est nécessaire à la sauvegarde d'intérêts vitaux,
  3. Le traitement est effectué par une fondation, association ou organisme à but non lucratif,
  4. Les données sont rendues publiques par la personne concernée,
  5. Le traitement est nécessaire pour des motifs d’intérêt public important,
  6. Le traitement est nécessaire aux fins de la médecine préventive et médecine du travail,
  7. Le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique,
  8. Le traitement est nécessaire aux archives, recherche scientifique, historiques ou statistiques.

En dehors de ces hypothèses, votre organisme ne pourras pas légalement collecter des données de santé. Il convient donc avant tout traitement de vérifier si l’un de ces critères est rempli.

Une donnée de santé, concrètement c’est quoi ?

Les données de santé sont celles qui révèlent des informations sur l’état de santé physique ou mentale d’un individu passé, présent ou futur. Par exemple :

  • Les données relatives aux antécédents médicaux, aux prestations de soins réalisés, aux traitements, etc.
  • Les données de santé issues de corrélation avec d’autres données, par exemple entre le nombre de pas et des renseignements sur la perte de poids. Le rapprochement de ces deux informations permet de tirer une conclusion sur l’état de santé.
  • Le numéro de sécurité social (NIR). Le NIR peut être collecter par un organisme s’il s’agit d’un professionnel de santé dans le cadre des échanges avec les organismes d'assurance maladie obligatoire ou complémentaire ou sur vos employé en tant qu’employeur pour la gestion de la paie et le calcul des cotisations versées aux organismes de protection sociale.

2 - Traiter des données de santé en conformité avec le RGPD

En plus des obligations classiques du RGPD, un certain nombre d’obligations incombent aux organismes traitant des données de santé. Prenons dans l’ordre, les questions à se poser.

Etape n°1 - Collecter des données de santé en toute légalité

Avant tout traitement de ce type de données, vous devez vérifier si votre organisme a légalement l’autorisation de collecter ces informations. Le traitement de données de santé n’est autorisé que dans les cas suivants :

1. La personne concernée a donné son consentement expresse au traitement de ses données de santé

⚠️ Attention, le consentement doit être récolté dans les formes attendues (article 4 RGPD) : le consentement doit être expresse, c’est-à-dire libre, spécifique, éclairé et univoque.  Sachez que votre organisme doit être en mesure d’apporter la preuve d’un tel consentement.

2. Le traitement est nécessaire à la sauvegarde de la vie humaine

Par exemple lorsque la personne concernée n’est pas en mesure d’exprimer son consentement car elle est inconsciente.

3. Le traitement porte sur des données de santé rendues publiques par la personnes concernées

Par exemple, si une personne partage délibérément ses résultats d’analyse médicales sur les réseaux sociaux via un compte librement accessible, la condition sera considérée comme remplie.

4. Les traitements spécifiques à l’activité médicale

La seule condition est que le traitement doit avoir pour finalité les activités suivantes :

  • La médecine préventive,
  • Les diagnostics médicaux,
  • L’administration de soins ou de traitements,
  • La gestion de services de santé par un professionnel de santé ou une personne soumise au secret médical,
  • Les traitements effectués par les établissements de santé, médecins ou agences nationales de santé,
  • Les traitements de données dans le domaine de la santé par des organismes chargés d’une mission de service public conformément à une liste fixée par décret.

Pour l’ensemble de ces traitements, aucune autorisation préalable de la CNIL n’est obligatoire.

Etape n°2 - Délégué à la protection des données (DPO) et données de santé

Un délégué à la protection des données (DPO) est la personne chargée de piloter la conformité au RGPD au sein d’un organisme. La désignation d’un DPO peut être rendue obligatoire par le RGPD (article 37 RGPD) dans certains cas  :

  • Les établissements publics de santé

Tous les établissements publics ont l’obligation de se doter d’un DPO. Ainsi, les établissements publics de santé sont concernés par cette obligation. Il s’agit des hôpitaux publics (CHR/CHU), des EPHAD, les hôpitaux privés, les établissements de recherches médicales.

  • Les organismes opérant des traitements à grande échelle de données de santé

Ce critère implique deux conditions cumulatives :

  • L’organisme doit opérer des traitements à large échelle.

Un traitement “à grande échelle” est un traitement concernant un volume considérable de données personnelles ou concernant un grand nombre de personnes ou sur une grande zone géographique.

Par exemple, les centres privés de recherche médicale, laboratoires, solutions d’hébergement de santé, s’ils exercent une activité à large échelle, ils auront l’obligation de désigner un DPO. Par exemple, les cabinets médicaux et les pharmacies n’exercent pas des activités de traitement de données de santé à large échelle. Il s’agit également des entreprises qui traitent des données de données sans dépasser un certain volume.

  • L’organisme traite des données de santé.

Il s’agit de l’ensemble des données passées, présentes ou futures sur l’état de santé physique ou mentale d’une personne physique.

⚠️ Si vous avez l'obligation de désigner un DPO et que vous ne le faites pas, vous vous exposez à une sanction de la CNIL pouvant aller du simple rappel à l’ordre jusqu’à une amende administrative qui peut s'élever jusqu’à 10 millions d’euros ou 4% de votre chiffre d’affaires annuel.

🤓 En dehors de toute obligation de nommer un DPO, il est beaucoup plus facile de gérer sa conformité RGPD à l’aide d’un DPO, notamment si vous traitez des données de santé.

Etape n°3 - Données de santé et analyse d’impact (PIA) ?

Une analyse d’impact (PIA) est une analyse de risque que le responsable de traitement est tenu de réaliser lorsqu’il existe un risque élevé pour les droits et libertés des personnes concernées (article 35 RGPD). Cette analyse doit être menée avant le lancement du traitement afin d’évaluer sur les mesures de sécurité sont suffisantes pour réduire le risque de violation de donnée.

Le RGPD, à la lumière de l’interprétation de la CNIL, impose d’une telle analyse d’impact soit réalisée pour certains traitements ou lorsque certains critères sont remplis.

  • Traitement de données de santé pour lesquels une analyse d’impact (PIA) n’est pas obligatoire :

→ Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.

  • Traitements de données de santé pour lesquels une analyse d’impact (PIA) est obligatoire.

→ Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes (hôpitaux publics ou privés, EPHAD, CCAS etc.)

→ Traitements de données génétiques portant sur des patients (par exemple dans le cadre de la recherche médicale).

→ Traitements des données de santé nécessaires à la constitution d’un entrepôt de données (conservation des données dans une base unique pendant une longue durée) ou d’un registre.

→ Traitements concernées par au moins deux des critères suivants :

  • Le traitement comporte-t-il une évaluation relative à la personne concernée (ex : évaluation de l’état de santé).
  • Le traitement a pour objet la surveillance systématique est-elle mise en place (ex : dispositif de géolocalisation utilisé pour surveiller des personnes âgées ou des nourrissons).
  • Le traitement comporte des données de santé.
  • Le traitement est à grande échelle.
  • Le traitement opère un croisement de données
  • Le traitement concerne des personnes vulnérables (ex : patients, personnes âgées, etc.)
  • Le traitement a pour objet une technologie innovante
  • Le traitement peut entraver un droit ou l’exécution d’un contrat (ex : droit aux prestations sociales).

Si le traitement projeté concerne deux, au moins, de ces critères, alors il doit impérativement faire l’objet d’une analyse d’impact préalable.

⚠️ Attention, même si un PIA n’est pas obligatoire, il peut être bénéfique pour votre organisme de la réaliser afin de prévenir toute violation de données et de faire valoir vos efforts en matière de protection des données auprès des personnes concernées et de vos partenaire.Pour en savoir plus sur l’analyse d’impact, consultez notre livre blanc PIA.

→ Vous cherchez à réaliser votre analyse d’impact ? Le logiciel RGPD Leto vous permet de la réaliser simplement et rapidement. N’hésitez pas à réserver une démo avec nos experts.

Etape n°4 - Sous-traitants et données de santé : quelles sont vos obligations RGPD ?

Hébergeur de données de santé, Logiciel, Solution, Plateforme : vous traitez des données de santé pour le compte de vos clients ? Vous avez le statut de sous-traitant concernant les données que vous traitez pour les compte d’une autre personne morale, au sens de l’article 28 RGPD. À l’inverse, vos clients ont eux, le statut de responsable de traitement.

☝🏻Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle. Le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).

  • Sous-traitants et données de santé : quelles ne sont pas vos obligations ?
  1. Vous n’avez pas l’obligation de collecter les données de santé sous les formes prévues à l’étape n°1 (par exemple, recueillir consentement des personnes).
  2. Vous n’avez pas non plus l’obligation de désigner un DPO ⚠️ Pour autant, compte tenu de vos activités, il est très fortement recommandé de désigner un DPO pour vérifier la mise en oeuvre de mesures de sécurité adaptées à la sensibilité des données de santé.
  3. Vous n’avez pas l’obligation de réaliser une analyse d’impact. Pour autant, comme pour le DPO, il est fortement recommandé de réaliser une telle analyse pour s’assurer de la sécurité l’ensemble des transferts de données de santé.
  • Sous-traitants et données de santé : vous devez conclure un contrat sous-traitant conformes aux exigences du RGPD.

Le RGPD prévoit que le contrat qui lie le responsable de traitement et son sous-traitant doit prévoir un certain nombre de protection et d’engagements de la part du sous-traitant conformément à l’article 28 RGPD. Ce contrat, aussi appelé Data Processing Agreement (DPA),  doit prévoir les éléments suivants :

  • L’objet, la durée, la nature et la finalité du traitement liés aux données transférées
  • Le sous-traitant ne traite les données du responsable de traitement que sur ces instructions.
  • Lorsque le sous-traitant est immatriculé dans un pays en dehors de l’Union européenne qui ne bénéficie pas d’une décision d’adéquation, le contrat doit reprendre les clauses contractuelles types (CCT).
  • Une assistance pour la gestion des demandes d’exercice de droits, le sous-traitant doit aider le responsable à y donner suite en supprimant les données sur demande.
  • Le sous-traitant a l’obligation de garantir la sécurité des données transférées par la mise en oeuvre de mesures techniques pour garantir un niveau de sécurité adapté au risque (article 32 RGPD).
  • Informer immédiatement le responsable de traitement en cas de violation des données personnelles (article 33 RGPD et l’article 34 RGPD)

À titre d’illustration, le 15 avril 2022, la CNIL a prononcé une amende d’un montant de 1,5 millions d’euros à l’encontre d’un éditeur d’une plateforme traitant des données à destination des laboratoires d’analyses médicales à la suite d’une massive fuite de données révélée par la presse. Au cours de son contrôle, la CNIL a notamment relevé l’absence de contrat sous-traitant et un défaut de mesures de sécurité adéquates.

Etape n°5 - Traiter des données de santé en toute sécurité

Nous venons de l’aborder au sujet du sous-traitant : la mise en place de mesures de sécurité suffisantes est absolument nécessaire lorsque votre organisme traite des données de santé. Pour une raison simple : le risque est plus grand en cas de violation de donnée, c’est-à-dire de fuite, vol, destruction ou perte de la donnée.

Lorsque l’organisme est responsable de traitement, l’organisme doit s’interroger sur les mesures de sécurité prévues et si elles sont suffisantes pour prévenir tout violation de donnée, c’est-à-dire violation de leur sécurité entraînant, de manière intentionnelle (par exemple : piratage) ou non, la destruction, la perte, la divulgation ou l’accès non autorisé. Pour empêcher cela, l’article 32 RGPD prévoit que l’organisme doit :

  1. Evaluer les risques en l’état des connaissance et des coûts.
  2. Prévoir des mesures de sécurité techniques (pares-feux, de mise à jour automatique, de sauvegarde, d’anonymisation, de pseudonymisation, de chiffrement des données) ; organisationnelles (sensibilisation des collaborateurs, limitation des accès, mots de passe sécurisé, charte informatique) et physique (par exemple pour empêcher un accès aux data center).
  3. Enfin, le responsable de traitement doit s’assurer que ses sous-traitants prévoient des mesures de sécurité adéquates.

Etape n°6 - Traitements de données de santé : tenir un registre de traitements

Le principe d’Accountability (article 5 RGPD) prévoit que l’organisme est responsable du respect des principes relatifs au traitement des données à caractère personnel et doit être en mesure de démontrer qu’elle respecte l’ensemble de ces obligations. Cette obligation prend principalement la forme de ce qu’on appelle “le registre des traitements de données personnelles” (article 30 RGPD). Concrètement, le registre de traitement est une déclaration de la manière dont vous utilisez les données personnelles. C’est une obligation pour tous les organismes traitants des données personnelles, notamment lorsqu’il s’agit de données de santé.Il doit contenir les éléments suivants :

  1. Les coordonnées des personnes associées aux traitements : responsable du traitement (représentant légal de votre entreprise), sous-traitants (par exemple, votre éditeur de logiciel, votre comptable) et le délégué à la protection des données (DPO), si présent.
  2. Les catégories de données personnelles concernées : par exemple le type de donnée de santé.
  3. Les catégories de personnes concernées par le traitement : clients, prospects, employés, anciens employés, fournisseurs, etc.
  4. La base légale pour la collecte d'informations, qui peut être l'exécution d'un contrat, le consentement de la personne, une obligation légale, l'intérêt légitime de l'entreprise, l'exécution d'un intérêt public ou la protection d'un intérêt vital.
  5. La finalité du traitement, c'est-à-dire la raison pour laquelle vous collectez des données personnelles.
  6. Les personnes qui ont accès aux données, qu'il s'agisse des équipes internes de votre entreprise ou des prestataires de service.
  7. La durée de conservation des données : les responsables de traitement doivent déterminer une durée de conservation ou un moyen pour la déterminer.
  8. Les mesures de sécurité mises en place pour protéger les données, notamment techniques et organisationnelles.

Etape n°7 - Informez les personnes du traitements de leurs données de santé.

L’information des personnes à propos de l’utilisation qui est faite de leurs données personnelles est l’un des piliers du RGPD. Cette obligation pour les organismes est renforcée concernant les données de santé. Cette information doit contenir les éléments suivants :

  1. L'identité et les coordonnées du responsable du traitement.
  2. Les coordonnées du délégué à la protection des données, si applicable.
  3. Les finalités du traitement et sa base juridique.
  4. Les destinataires des données.
  5. L'intention de transférer des données à des tiers, le cas échéant.
  6. La durée de conservation des données ou les critères pour déterminer cette durée.
  7. Les droits des personnes et comment les exercer, y compris l'accès aux données, la rectification ou l'effacement, l'opposition au traitement, le droit à la portabilité des données, le retrait du consentement, le droit de porter plainte auprès d'une autorité de contrôle, etc.
  8. L'information concernant toute prise de décision automatisée ou profilage.
  9. Les intentions concernant un traitement ultérieur des données pour des finalités différentes.

Etape n°8 - S’équiper d’un logiciel RGPD

Il est absolument crucial pour votre organisme qui traite des données de santé de se doter d'un logiciel pour gérer votre conformité au Règlement général sur la protection des données (RGPD) pour plusieurs raisons :

  1. Les données de santé nécessitent une attention particulière : Les données de santé sont considérées comme des données sensibles en vertu du RGPD. Elles nécessitent des protections supplémentaires et le non-respect de ces exigences peut entraîner de graves conséquences pour les personnes concernées mais également pour votre image de marque. Un logiciel de conformité au RGPD peut vous aider à mettre en place ces protections et à maintenir la conformité.
  2. Économie de temps et d'efforts : Assurer la conformité au RGPD peut être une tâche complexe et chronophage, surtout si vous n'avez pas d'expertise en interne. Un logiciel spécialisé peut automatiser de nombreux processus, vous faisant gagner un temps précieux et réduisant la charge de travail de votre équipe.
  3. Évitement des sanctions : Le non-respect du RGPD peut entraîner des sanctions financières très lourdes, allant jusqu'à 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé. En ayant un logiciel de conformité RGPD, vous minimisez le risque d'une violation de données et donc d'une amende potentiellement dévastatrice.
  4. Gestion des droits des personnes concernées : Le RGPD accorde aux individus un certain nombre de droits en ce qui concerne leurs données personnelles, tels que le droit d'accès, le droit à l'effacement, et le droit à la portabilité des données. Un logiciel de conformité RGPD peut faciliter la gestion de ces demandes de droits et assurer qu'elles sont traitées dans les délais requis par la loi.
  5. Confiance et réputation : En montrant que vous prenez au sérieux la protection des données de santé, vous gagnez la confiance de vos patients et partenaires, et renforcez votre réputation. Ceci est essentiel pour maintenir des relations saines avec vos clients et pour votre croissance à long terme.
  6. Évaluation et gestion des risques : Un logiciel de conformité RGPD vous permet de réaliser votre analyse d'impact sur la protection des données (PIA) comme l'exige le RGPD pour les types de traitement qui sont susceptibles de présenter un risque élevé pour les droits et libertés des personnes physiques.
  7. Adaptabilité : Le RGPD n'est pas une norme fixe, mais un ensemble de réglementations en évolution constante. Un logiciel de conformité RGPD peut vous aider à rester au courant des derniers changements et à vous adapter rapidement à ces nouvelles exigences.

En somme, un logiciel de gestion de conformité au RGPD est un outil essentiel pour protéger les données de santé que vous traitez, éviter des sanctions financières, gagner la confiance de vos patients et partenaires, et simplifier le processus complexe de conformité au RGPD.

☝🏻 Le logiciel RGPD Leto vous permet de maitriser l’ensemble des aspects de votre conformité RGPD.

Conclusion

L'application du RGPD aux données de santé met en équilibre la nécessité de protéger les droits fondamentaux des individus et la nécessité de permettre l'utilisation des données de santé à des fins bénéfiques pour la société.

Toutefois, il est crucial que les organisations du secteur de la santé soient conscientes de leurs obligations en vertu du RGPD et mettent en place des mesures appropriées pour assurer la conformité.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre