Données de santé : attention aux règles spécifiques

Le Règlement Européen sur la protection des données entend renforcer le cadre juridique applicable en matière des données personnelles et permettre notamment aux personnes concernées de décider quant au sort de leurs données. Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier une personne physique de manière directe ou indirecte en se référant par exemple à son nom, prénom, un identifiant ou autres éléments^[1].

Le traitement de ces données est en principe autorisé. Des mesures adaptées doivent toutefois être mises en place par le responsable de traitement pour une protection optimale des données. Ainsi, l’organisme souhaitant traiter des données relatives à des individus doit se poser tout un tas de questions au préalable afin de savoir s’il a le droit ou pas de le faire et de déterminer les obligations dont il est tenu.

[1] Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 4.

Donnée de santé : une notion large

Ce principe d’autorisation de traitement n’est toutefois pas absolu. Le RGPD distingue en effet une catégorie de données qu’il désigne de « catégories particulières de données à caractère personnel », non concernée par cette autorisation générale. Une liste exhaustive de ces données est introduite à l’article 9 et les données appartenant à cette liste ont pour point commun un degré de sensibilité important. Leur traitement ou encore leur révélation peut être à l’origine de risques élevés pour les droits et libertés des personnes.

Les données de santé qui appartiennent à cette liste, sont considérées comme des données sensibles et sont soumises à des règles spécifiques. L’article 4 du RGPD les définit comme étant celles qui renseignent sur la santé physique ou mentale d’une personne physique. Cette définition a connu une évolution progressive au fil des années. Alors que la Directive 95/46/CE donnait une définition restreinte en considérant qu’il s’agit des données relatives à la santé, la Commission Européenne a considéré que la simple information qu’une personne se soit blessée au pied et qu’elle est en congé maladie constitue une donnée de santé^[1]. Aussi, la CNIL a adopté une définition large de la donnée de santé dans sa délibération du 10 octobre 2013 et a considéré que les données sur les addictions et la dépendance sont des données de santé.

Depuis l’entrée en application du RGPD, cette notion ne couvre plus la seule hypothèse d’une information en lien direct avec une pathologie, mais plus largement avec tout l’environnement lié à la prestation de santé. Les renseignements peuvent ainsi concerner la santé présente, passée ou future d’une personne et tout élément informant sur l’état de santé d’une personne. Il peut en effet s’agir, non seulement, des informations relatives à une éventuelle maladie ou pathologie mais aussi celles obtenues lors d’un test ou examen d’une partie du corps. Ainsi, selon la nouvelle définition, les objets connectés et dispositifs de « quantified self » qui collectent, par exemple, des données brutes relèvent désormais du régime des données de santé. Autre exemple, le simple fait qu’une personne soit en arrêt maladie, sans en connaître la raison, constitue une donnée de santé.

La CNIL pour sa part distingue trois catégories de données de santé^[2] :

• Les données de santé par nature ;
• Les données qui deviennent des données de santé du fait de leur croisement avec d’autres données car permettant de tirer des informations sur l’état de santé de la personne ;
• Les données qui deviennent des données de santé en fonction de leur destination.

Les deux dernières catégories peuvent regrouper un grand nombre de données. Ceci permet une protection plus élevée des personnes et invite dans une certaine mesure le responsable de traitement à porter une attention particulière à toute donnée pouvant révéler de loin ou de près une information sur la santé d’une personne.

[1] CJUE, 6 novembre 2003, C-101/01 : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=ecli:ECLI%3AEU%3AC%3A2003%3A596

[2] https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

Les principes entourant le traitement des données de santé

Les données de santé sont régies par un cadre juridique complexe. En plus des dispositions introduites par le RGPD, des règles plus spécifiques se retrouvent dans la loi Informatique et Libertés.

Au vu du caractère sensible des données de santé, ces données ne peuvent, en principe, pas être utilisées, voire traitées. Ce principe d’interdiction vise à limiter autant que possible les risques pouvant découler de leur usage et les conséquences nuisibles pour les personnes concernées. Des exceptions existent toutefois^[1].

[1] Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 9.

Le recueil du consentement

Les données de santé peuvent être traitées dans le cas où le consentement de la personne a été collecté au préalable. Cette exception introduite à l’article 9 du RGPD ne peut être considérée comme valide que lorsque les principes généraux du consentement ont été respectés. Le consentement doit être collecté de manière libre, spécifique, éclairé et univoque. La personne concernée ne doit notamment pas être forcée à donner son accord et il ne doit pas y avoir un doute quant à la volonté de consentir.

Les autres exceptions

En plus de l’exception portant sur la collecte du consentement, d’autres exceptions existent permettant d’autoriser le traitement des données de santé, notamment dans les cas suivants :

• Respect des obligations légales.
• Sauvegarde des intérêts vitaux.
• Données ont été rendues publiques par la personne concernée.
• Pour des motifs d’intérêt public.
• Nécessaire aux fins de la médecine préventive ou la médecine du travail.
• A des fins archivistiques, de recherche ou statistiques.

Les obligations à respecter pour un traitement conforme des données de santé

Tout organisme traitant des données de santé est soumis à un certain nombre d’obligations portant sur les modalités de mise en œuvre des traitements. Les principes généraux du RGPD doivent être respectés et des mesures renforcées doivent être mises en place au vu du caractère sensible de ces données.

Mettre en place une documentation

Afin de se conformer au principe d’accountability, l’organisme doit tenir une documentation en interne qui décrit les traitements ainsi que les mesures prises pour assurer la conformité de ces traitements. Parmi ces documents, il faut surtout porter une attention particulière à la conservation des autorisations conférées par la CNIL pour tel ou tel traitement. En effet, dans le domaine de la santé, la CNIL doit être sollicitée dans certains cas notamment pour les traitements de recherche et le traitement ne peut être mis en œuvre qu’après avoir reçu l’autorisation de la CNIL.

Désigner un DPO

L’organisme peut être soumis à l’obligation de désigner un DPO. Cette obligation concerne tous les établissements publics de santé. Les organismes privés ne sont pas toutefois tous concernés et cela dépend de l’étendue du traitement des données de santé mis en œuvre. Ainsi, pour les traitements de données de santé mis en œuvre à « grande échelle », l’article 37 du RGPD impose à l’organisme de désigner un DPO. Celui-ci a pour mission d’organiser la mise en conformité au sein de l’organisme, d’anticiper les mesures à mettre en place et de le protéger contre tout risque de non-conformité.

Définir des procédures pour le respect des droits des personnes

Le RGPD a renforcé les droits dont bénéficient les personnes concernées. Ces droits visent particulièrement à permettre aux personnes de maîtriser leurs données.

Il peut s’agir du droit à l’information, de rectification, d’accès, d’opposition, etc. Des procédures spécifiques doivent être mises en place en interne afin de permettre aux personnes dont les données sont traitées d’exercer leurs droits et pour organiser le traitement des demandes ainsi que la transmission des réponses aux personnes dans les délais.

Réaliser un PIA

La mise en place de traitements portant sur des données de santé est susceptible le plus souvent d’engendrer des risques élevés pour les droits et libertés des personnes. Une analyse d’impact doit, dès lors, être menée préalablement à la mise en œuvre de ce type de traitement.

Mettre en place des mesures de sécurité suffisantes

Les mesures mises en place doivent permettre d’assurer une sécurité renforcée des données de santé afin de limiter les risques pour les droits et libertés des personnes et d’éviter tout accès non autorisé aux données.

Formaliser les relations avec les tiers

Dans le cas où l’organisme entend recourir à un sous-traitant, il doit veiller à choisir un prestataire qui met en place des mesures techniques et organisationnelles suffisantes. Le recours à un prestataire de service pour une prestation portant sur des traitements de données de santé doit être formalisé par un acte juridique décrivant les prestations concernées ainsi que les responsabilités de chaque partie.

L’hébergement des données de santé

L’article L. 1111-8 du Code de la santé publique impose dans certains cas une obligation de certification pour l’hébergement des données de santé. Cette obligation de recourir à un prestataire certifié HDS ne s’applique toutefois pas de manière absolue. Est uniquement concerné l’hébergement externalisé des données de santé c’est à dire celui effectué pour le compte d’un responsable de traitement ou pour le compte du patient lui-même. Ainsi, si l’organisme décide de stocker ses données en interne, il n’est pas tenu d’obtenir cette certification au préalable. Dans tous les cas, l’hébergement doit être conforme au RGPD et des mesures de sécurité suffisantes doivent prises afin de garantir sa sécurité.