RGPD : Tout savoir sur le traitement des données de santé

Données personnelles relatives à la santé : les précisions du Conseil de l’Europe et du CEPD.

Les données de santé sont diverses et posent des enjeux majeurs, qui ne cessent de prendre de l’importance. D’une part, en raison du développement des technologies qui permettent des traitements de plus en plus importants, et des problématiques de vie privée que le traitement de ces données pose (à qui sont-elles destinées, existence d’une finalité ultérieure, gestion du recueil du consentement, etc.). D’autre part, car leur traitement est d’autant plus d’actualité en raison du développement, par le Gouvernement, de nouveaux outils de lutte contre la propagation de la Covid-19.

L’idée est de faire un état des lieux de la législation entourant les données de santé, en revenant notamment sur les lignes directrices du Conseil de l’Europe du 27 Mars 2019 encadrant le traitement des données de santé. Ces lignes directrices viennent étendre les principes énoncés dans l’avis rendu le 23 janvier 2019 par le Comité Européen de la Protection des Données (CEPD) sur l’interaction entre le CTR et le RGPD.

Qu’est-ce qu’une donnée de santé ?

Le RGPD donne une définition large des données de santé, qualifiées de données relatives à la santé physique ou mentale (passée, actuelle ou future) d’une personne physique, révélant des informations sur l’état de santé de cette même personne.

Sont considérées comme données personnelles relatives à la santé :

• Les données de santé par nature : les antécédents médicaux, une éventuelle maladie, la réalisation d’une prestation de soin, etc.
• Les données qui deviennent des données de santé à la suite d’un croisement avec d’autres données : par exemple : croisement d’une mesure de poids avec d’autres données telles que le nombre de pas ou la mesure des apports caloriques.
• Les données qui deviennent des données de santé en raison de leur destination, c’est-à-dire de leur utilisation sur le plan médical.

La protection des données de santé

Un principe d’interdiction de traitement…

Les données de santé sont protégées par la loi Informatique et Liberté, le RGPD et le code de la santé publique.

La loi Informatique et Libertés dispose que les données de santé sont particulières et leur traitement est interdit sauf exception particulière l’autorisant. Construit sur le même format, l’article 9 du RGPD impose également une interdiction complétée par des exceptions.

Assortis d’exceptions :

L’article 9 § 2 du RGPD établit une liste d’exceptions permettant le traitement des données sensibles, dont les données de santé.

De la même façon, l’article 9 §3 du Règlement dispose que « les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ».

A ce titre, l’article L. 1110-4 du code de la santé publique précise quant à lui quelles catégories de professionnels sont susceptibles d’avoir un rôle à jouer dans le traitement des données. Il est ainsi indispensable de lire le RGPD à la lumière des articles du Code de la Santé Publique.

Le secteur de la santé étant ainsi particulièrement impacté par le RGPD, le traitement des données de santé a été précisé par le Conseil de l’Europe et par le CEPD.

Interactions RGPD – Règlement relatif aux essais cliniques ( CTR)

Le nouveau règlement européen (536/214) relatif aux essais cliniques est entré en vigueur le 31 janvier 2022 et a remplacé la directive 2001/20/CE. Il vise notamment à simplifier et harmoniser les réglementations relatives aux essais cliniques. Son application définitive est prévue pour 2025.

Une des évolutions majeures concerne le portail Clinical Trial Information System (CTIS) où devront se faire les demandes et les autorisations d’essais cliniques au niveau européen. Il entend également harmoniser les processus de soumission et d’évolution des essais cliniques mis en place en Europe.

Un avis explicatif a été publié par le CEPD afin de clarifier les champs d’application respectifs et les différentes interactions entre le RGPD et le CTR. La nature des traitements de données relatifs aux essais cliniques y est ainsi précisée et l’utilisation des données de santé y est expliquée.

Ces deux textes n’ont pas vocation à être opposés, mais à être lus en parallèle.

Le CEPD différencie ainsi l’utilisation première des données de leur utilisation secondaire (réutilisation des données). Parmi les utilisations premières, les actions relatives à des traitements liés à la protection de la santé (en s’assurant par exemple du bon respect des normes sanitaires).

Les bases légales des traitements initiaux des données sont traitées. La réutilisation des données à des fins de recherche est considérée comme étant une finalité compatible conformément au RGPD.

Les méthodologies de référence dans le domaine de la recherche

Dans le cadre du traitement des données de santé à des fins de recherche, deux régimes de formalités peuvent être distingués : conformité à une des méthodologies de référence élaborées par la CNIL ou autorisation auprès de la CNIL.

En effet, la CNIL élabore des référentiels, et des méthodologies de référence pour guider les responsables de traitement et alléger les formalités préalables. Dès lors que l’un de ces traitements est conforme en tout point à une méthodologie de référence (MR) élaborée par la CNIL, il peut être mis en œuvre sans autorisation de la CNIL, à condition que le responsable de traitement adresse au préalable une déclaration d’attestation de la conformité du traitement.

Il existe aujourd’hui, en matière de recherche 6 méthodologies de référence qui doivent être appliquées par les promoteurs de recherche traitant des données dans le cadre d’une recherche dans le domaine de la santé. L’objet n’est pas le même selon le type de recherche concernée.

• Les MR-001 et MR-003 concernent les recherches impliquant la personne humaine
• La MR-002 concerne les études non interventionnelles de performances de dispositifs médicaux de diagnostic in vitro
• La MR-004 concerne les recherches n’impliquant pas la personne humaine
• Les MR-005 et MR-006 permettent l’accès aux données du PMSI (Programme de médicalisation des systèmes d’information) par les établissements de santé, les fédérations industrielles du secteur de la santé aux fins de réaliser des études dans des conditions strictes de sécurité et confidentialité

Quelles sont les principales nouveautés des MR ?

• L’obligation, pour le responsable de traitement, de désigner un DPO
• L’obligation de délivrer une information conforme aux articles 13 et 14 du RGPD ;
• La possibilité de traitement de données identifiantes par des sous-traitants du responsable de traitement sous certaines conditions et pour des missions précises.

Les autres référentiels

En juillet 2020, la CNIL a adopté trois nouveaux référentiels dans le but d’aider les responsables de traitement concernés dans la gestion de données de santé, plus précisément les cabinets médicaux et paramédicaux.

Un référentiel a été mis en place pour encadrer la gestion des traitements courants des cabinets médicaux et paramédicaux, afin d’aider les professionnels de santé libéraux dans leur démarche de mise en conformité. Sont concernés par ce référentiel les professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou bien les maisons de santé.

De plus, la CNIL a élaboré deux autres référentiels pour guider les responsables de traitement dans l’établissement de la durée de conservation des données.

• Un référentiel visant le traitement de données dans le domaine de la santé, hors recherche

• Un référentiel visant le traitement de données mis en œuvre à des fins de recherche, d’étude et d’évaluation dans le domaine de la santé

Ces deux derniers référentiels publiés par la CNIL constituent une aide à la prise de décision, et orientent le responsable de traitement dans la fixation de la durée de conservation des données.

Par ailleurs, en novembre 2021, un référentiel sur les entrepôts de données de santé a été adopté par la CNIL. L’objectif principal consiste à simplifier les formalités à effectuer et à mettre à disposition des responsables des bases de données un cadre juridique rigoureux. Dans le cas où l’entrepôt est conforme au référentiel, une autorisation préalable auprès de la CNIL n’est pas nécessaire. Le responsable doit toutefois déclarer sa conformité et veiller au bon respect de l’ensemble des principes du RGPD.

COVID-19 : Le traitement de données de santé dans le cadre de la lutte contre l’épidémie

A l’heure de la lutte contre l’épidémie de Covid-19, la problématique de traitement des données de santé est plus que jamais d’actualité. D’une part, parce que des pratiques jusqu’à présent rares, comme les téléconsultations, ont connu à l’occasion des périodes de confinement, une indubitable intensification et sont devenues tout à fait courantes. D’autre part, car pour enrayer l’épidémie, le Gouvernement a mis en place de nombreux outils et fichiers, traitant des données de santé des français, à savoir :

• Le fichier SI-DEP qui centralise les résultats des tests effectués en laboratoires privés et publics
• Le fichier « Contact Covid » tenu par la CNAM
• L’application TousAntiCovid
• Le fichier « Vaccin Covid »
• Le fichier « Quarantaine et Isolement »
• Le pass sanitaire

Afin d’effectuer un traitement de données en conformité avec la Réglementation européenne, l’exécutif a choisi de soumettre au Parlement tous les trimestres, un rapport détaillé de l’utilisation de ces mesures.

Un premier avis de la CNIL avait été rendu le 10 septembre 2020, dans lequel ont notamment été relevées des irrégularités de traitement de données dans le cadre de l’application StopCovid (l’ancienne application déployée par le gouvernement).

Ensuite, la CNIL a édité un nouvel avis, dans lequel elle relève concernant le fichier « Contact Covid » que des mauvaises pratiques persistent dans certaines Agences Régionales de Santé, et dénonce un manque d’homogénéité entre les ARS dans le traitement des données.

Une ARS a notamment été mise en demeure de se mettre en conformité dans un délai d’un mois, concernant notamment la durée de conservation des données et leur sécurité.

S’agissant de l’application TousAntiCovid, la CNIL relève qu’il n’existe pas d’irrégularités à ce jour, et que le traitement de données effectué via l’application est fait en conformité avec la règlementation. En effet, il a été constaté qu’aucune donnée traitée dans le cadre de l’application TousAntiCovid ne fait l’objet d’un traitement sur un serveur central, ce qui s’inscrit dans le respect du principe de minimisation des données et de protection des données dès la conception et par défaut (privacy by design and by default).

Un troisième avis a également été rendu le 27 mai 2021 dans lequel la CNIL constate des lacunes concernant le fichier « Contact Covid ». Plusieurs manquements ont encore une fois été identifiés au niveau des pratiques des Agences régionales de santé (ARS).

Concernant le fichier « Vaccin Covid », la CNIL précise que la fonctionnalité permettant à tout professionnel de santé habilité de rechercher une personne via son NIR ne constitue pas un défaut de sécurité. Elle constate également notamment que les exigences en matière d’information, de chiffrement des données et d’authentification ont été respectées.

Concernant le fichier « Quarantaine et Isolement » permettant de contrôler la circulation active de l’épidémie, elle relève qu’il ne permet pas de réaliser les objectifs voulus, étant donné que son utilisation est uniquement prévue dans deux aéroports.

La CNIL a aussi rendu le 12 mai 2021 son avis sur le projet de pass sanitaire visant à contrôler l’accès à certains lieux. Elle a notamment rappelé la nécessité de « s’assurer du caractère temporaire du dispositif » et de définir le type des lieux et évènements concernés, d’identifier les finalités et de prévoir les garanties appropriées afin de limiter tout risque d’atteinte aux droits et libertés des personnes concernées.

Un deuxième avis a été publié le 7 juin 2021 sur les modalités de mise en œuvre du passe sanitaire. La CNIL met l’accent sur la nécessité d’avoir plus de précisions sur les évènements concernés. Elle rappelle également la nécessité de veiller au bon usage du pass sanitaire et de finaliser l’analyse d’impact relative à la protection des données (PIA) avant sa mise en œuvre.

La CNIL s’est aussi prononcée le 9 septembre 2021 sur la mise en œuvre d’un dispositif pour améliorer la lutte contre la fraude au pass sanitaire. Ses recommandations concernent notamment la mise en place d’une liste noire afin d’annuler les certificats identifiés comme étant frauduleux, de ne collecter que l’empreinte technique du certificat, de déterminer la durée du dispositif et de renforcer l’information des personnes afin de leur permettre d’obtenir facilement un nouveau certificat.

Enfin, un quatrième avis a été publié en octobre 2021 sur les conditions de mise en œuvre des systèmes d’information mis en place afin de lutter contre la propagation de l’épidémie de COVID-19. Ainsi, par exemple, concernant le fichier SI-DEP, elle relève que les évolutions mises en place ont permis d’améliorer la sécurité du dispositif. Concernant le fichier «CONTACT COVID», des irrégularités ont été relevées à l’instar de celles qui concernent le non-respect des exigences sur la durée de conservation ou encore sur l’information des personnes et la non réalisation d’un PIA. Il est également précisé que les mesures mises en place ont permis de renforcer la sécurité des données collectées dans le cadre de l’application « TousAntiCovid ».

Ces dispositifs collectant des données sensibles, la CNIL fait preuve de vigilance à l’égard du respect effectif de la règlementation sur les données personnelles.