RGPD & Santé

28 février 2022

Accueil //Blog //RGPD //RGPD & Santé
Crédits photo : Racool Studio, Freepik

Le RGPD a pour volonté de protéger le traitement des données de santé à caractère personnel. En 2021, plus de 16 millions de patients ont été impactés par une importante fuite de données médicales. Un fait marquant parmi tant d’autres attaques de données de santé. Médecins indépendants, établissements médico-sociaux, hôpitaux, laboratoires, pharmacies, centres d’analyses médicales, les besoins de collecte de données des organismes de santé varient selon leur spécialisation. L’utilisation de ces données évolue également selon les fins médicales. Alors, comment poursuivre son activité médicale tout en respectant la réglementation européenne liée à la protection des données ?

Avec la digitalisation des services de santé, autrement dit la e-santé, la télémédecine, la télétransmission ou encore les mutuelles en ligne, les données de santé, données sensibles, se multiplient chaque jour. Pour autant, la gestion des dossiers des patients par les professionnels de santé ou encore les services des Urgences subissent le manque de moyens humains et financiers pour mettre en place des dispositifs efficaces permettant de veiller à la protection des données des clients et usagers tout en respectant le RGPD.

Le tout n’étant pas de se demander si une cyberattaque ou un contrôle de la CNIL va arriver mais quand cela va arriver. Une fois cette réflexion menée, toutes les actions menées seront nécessaires à la constitution d’obstacles adéquats pour repousser au maximum l’échéance.

RGPD et données de santé : Les principes essentiels à respecter

Le principe de minimisation

L’un des principaux principes du RGPD prévoit que les données traitées soient adéquates, pertinentes et limitées au strict nécessaire selon les finalités définies et cohérentes avec la collecte.

Le principe d’information

Malgré les idées reçues, même les professionnels de santé ne peuvent s’affranchir de leurs obligations d’information.

Le RGPD entend favoriser la confiance entre les personnes et le responsable du traitement (RT) ; et crée pour cela une obligation d’information et de transparence à la charge du RT.

Le RT doit informer les personnes dont les données sont collectées des raisons de la collecte et de la manière dont ces données seront traitées.

  • En cas de collecte directe : Au moment du recueil des données
  • En cas de collecte indirecte : Dès que possible, au maximum pour un délai de 1 mois.

Le RT doit également informer la personne dont les données sont collectées lorsque le traitement connaît une modification substantielle ou dans le cas d’un évènement particulier. Par exemples, établir une nouvelle finalité, changer les modalités d’exercice des droits, une violation de données, etc. Afin de faciliter ces démarches et d’impliquer les différentes parties prenantes de manière collaborative grâce à un logiciel de conformité RGPD pré-paramétré pour le secteur santé.

La seule exception qui existe concerne la sauvegarde des intérêts vitaux. Le principal mode d’accès passe par les Méthodologies de Référence (MR), c’est-à-dire des procédures simplifiées d’accès aux données de santé. Ce point n’est pas inscrit dans le règlement mais il n’en demeure pas moins important pour les SDIS et autres services d’urgence.

Collecte de données de santé : comment informer les personnes concernées ?

L’information doit être donnée de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

  • Utiliser un vocabulaire simple et adapté au public visé
  • Délivrer une information courte et lisible
  • Adapter la fourniture d’informations aux situations et supports
  • Prioriser les éléments d’information et ne pas hésiter à délivrer l’information grâce à une architecture à plusieurs niveaux

Le principe de conservation et la destruction des données

De la collecte à la destruction de la donnée en passant par l’archivage intermédiaire, l’archivage définitif et les durées de conservation imposées par le RGPD, les traitements de données de santé ont des spécificités bien définies par la CNIL. Afin de faciliter les démarches de la structure médicale, l’utilisation d’un logiciel de conformité RGPD tel que Data Legal Drive permet de faciliter le suivi des durées de conservation de chaque traitement.

Quelles durées de conservation dans le domaine de la santé ?

  • R112-7 CSP – Prise en charge des patients par les établissements de santé : Pendant la durée de prise en charge + 20 ans à partir du dernier passage pour soin ;

Exceptions : décès (10 ans) – mineur (jusqu’au 28ème anniversaire lors la durée s’achève avant le 28ème anniversaire); dossier transfusionnels : 30 ans à compter du dernier passage) – suspension pour les recours et contentieux.

  • Gestion des cabinets médicaux et paramédicaux : 5 ans en base active à partir de la dernière consultation + 15 ans en archivage intermédiaire.
  • Pharmacie : conservation essentiellement en base intermédiaire
  • Laboratoires d’analyse médicale : dépend du traitement. Pour le traitement de base – Dossier patient : 5 ans à compter de la dernière intervention + 15 ans en archivage intermédiaire.
  • Télétransmission des feuilles de soin :
  • 3 jours ouvrés si paiement direct par l’assuré (8 jours ouvrés si dispense de frais) + 90 jours en archivage intermédiaire.
  • Décompte de remboursement de la Sécurité sociale : pas de base active, 2 ans en base active. A partir du premier jour du trimestre suivant celui auquel se rapportent les prestations.
  • Dossier pharmaceutique : dépend des données
  • DMP : utilisation par le patient + 10 ans à compter de la clôture du dossier.
  • Autres données particulières : dépistage du cancer du sein – cancer colorectal – cancer du col de l’utérus, vigilances sanitaires.
Crédits photo : DC Studio, Freepik

La nécessité de nommer un DPO

Le rôle du DPO sera d’identifier les données collectées, de les rassembler puis de les encadrer avec un suivi dans la durée. Seuls les professionnels de santé qui exercent une activité à grande échelle ont l’obligation de nommer un DPO. Par exemple, les cabinets médicaux qui partagent des dossiers avec d’autres professionnels, les laboratoires de biologie médicale qui travaillent dans un centre de santé ou pharmacies qui exercent au sein d’un réseau, sont concernés par cette obligation.

Bien que les autres professionnels de santé n’aient pas cette obligation, nommer un DPO est vivement recommandé puisqu’il permettre de mener efficacement la mise en conformité de la structure médicale de par son expertise juridique mais aussi sectorielle. Sa maîtrise de la matière et des process à appliquer sont un gain de temps et de qualité pour s’assurer d’avoir une conformité RGPD répondant aux attentes de la CNIL.

Le DPO mène un plan d’actions et s’appuie généralement sur un logiciel RGPD permettant de tenir le registre de l’établissement de santé à jour, de recevoir des alertes, de respecter les durées de conservation des données de santé, de pouvoir justifier des actions menées, notamment en cas de contrôle de la CNIL.

Maxime Diot - Délégué à la Protection des Données

J’ai choisi Data Legal Drive parce que c’est une solution extrêmement pratique, très ergonomique, qui permet à l’ensemble des collaborateurs de l’entreprise dans laquelle je travaille de s’impliquer dans la gestion de la Réglementation Générale sur la Protection des Données.

Il fallait un acteur très fiable, avec un hébergement en France, correspondant à l’ensemble des critères de la réglementation et c’est bien le cas de Data Legal Drive.

Le gros plus, c’est l’outil de veille qu’ils développent en collaboration notamment avec Dalloz, qui permet de suivre l’actualité la plus brûlante sur la Réglementation Générale sur la Protection des Données.

S’adapter à l’actualité sanitaire

Après un contexte sanitaire compliqué lié à la Covid-19 et la mise en place du Pass sanitaire comme de l’application Tous AntiCovid, la lutte contre l’épidémie a déclenché la nécessité de mettre en place de nouveaux traitements, à savoir :

  • Traitements liés à la recherche médicale et vaccinale avec les campagnes de vaccination et des données de santé considérées comme données sensibles.
  • Traitements liés à la surveillance des populations avec l’utilisation de drones de vidéosurveillance par la police pour surveiller les populations et veiller au respect des mesures de confinement. Ou encore en lien avec les caméras thermiques et intelligentes pour détecter les personnes malades.
  • Traitements liés à l’identification des chaînes de contamination avec plusieurs cas concrets tels que : la collecte de données par l’employeur pour tenir à jour un cahier de présence et suivre le rythme hybride des collaborateurs entre présentiel et télétravail ; l’application Tous AntiCovid avec une application dont la conception repose sur le Privacy by design ; un cahier de rappel mis en place dans les lieux publics
  • Traitements opérés par les collectivités territoriales avec l’autorisation par la CNIL de recourir à des données de la taxe d’habitation afin de mettre en place une communication institutionnelle sur la politique sanitaire et les gestes barrières.

Hébergement des données personnelles de santé

Dès lors que des données relatives à la santé physique ou mentale d’une personne sont hébergées sur un support numérique, cela implique de recourir à un hébergeur certifié données de santé.

Quelles sont les obligations concernant l’hébergement des données de santé ?

  • Depuis le 1er juillet 2018, l’ancienne procédure d’agrément des hébergeurs a été remplacée par une procédure de certification. La certification des hébergeurs de données de santé est délivrée par un organisme certificateur accrédité par le Comité Français d’Accréditation (COFRAC) ou un équivalent européen.
  • L’organisme certification s’assurera que l’hébergeur respecte les normes ISO 27001 et ISO 20000 visant à garantir la sécurité des systèmes informatiques et assurer une protection maximale pour les données de santé.

Comment choisir le bon hébergeur et la bonne offre ?

Dans le cas d’un traitement impliquant des données de santé, lorsque vous optez pour une offre d’hébergement de votre site web ou base de données, il est important de veiller à choisir une offre d’hébergement « données de santé » et non pas une offre d’hébergement standard.

Que doit contenir le contrat d’hébergement des données ?

Il faut avoir en tête que l’hébergement de données de santé implique obligatoirement la signature d’un contrat de prestation d’hébergement entre l’hébergeur et vous-même. Ce contrat comporte un certain nombre de mentions obligatoires telles que :

  • L’indication des lieux des serveurs (attention la CNIL n’est pas favorable à un transfert des données vers les Etats Unis) ;
  • La mention d’un référent contractuel client de l’hébergeur à contacter pour le traitement des incidents de sécurité.

La certification de l’hébergement des données de santé constitue une mesure de sécurité au sens du RGPD ce qui veut dire que les établissements de santé peuvent voir leur responsabilité engagée faute d’avoir recouru à un hébergeur non certifié.

RGPD dans le domaine de la santé : quelles sanctions encourues ?

Les sanctions encourues en cas d’hébergement de données de santé non certifié sont de 3 ans d’emprisonnement et 45,000€ d’amende (article L.1115-1 Code de la santé publique).

On se souvient, en 2021, de plusieurs sanctions émanant de la CNIL à destination d’établissements de santé. Par exemple, un cabinet d’orthodontie a écopé de 12 000€ d’amende ou encore deux médecins libéraux ont respectivement eu 6 000€ et 3 000€ d’amende.

La sécurité informatique des données de santé

Selon une étude menée par Intertrust, 71% des applications médicales comportaient au moins une faille majeure de sécurité.

L’une des recommandations de la CNIL repose sur la mise en place d’optimisations SI telles que le choix de mots de passe complexes ou le chiffrement des données. Bien entendu, les systèmes d’information propres à l’établissement de santé doivent être protégés, contrôlés régulièrement.

Afin de limiter les risques de cyberattaques, la cartographie des risques et menaces cybers existants autour de l’établissement de santé doivent être recensés. Pour cela, la structure médicale aura dû, en amont, préparer la cartographie des traitements répertoriant toutes les données personnelles collectées. Un exercice facilité grâce à l’utilisation d’un logiciel RGPD comme Data Legal Drive, conçu pour simplifier les démarches de compliance des structures médicales.

Tous les intervenants et personnels de santé concernés doivent être sensibilisés aux enjeux liés à la protection des données de santé à travers des formations et modules e-learning de sensibilisation.

Si nécessaire, une task-force impliquant la direction générale, la DSI, la direction juridique et le DPO doit être mise en place.

D’ailleurs, en 2021, deux médecins ont reçu des sanctions portant sur la sécurité puisque des milliers d’images médicales hébergées sur des serveurs appartenant à des médecins étaient librement accessibles sur internet. Les raisons de cette faille de sécurité ? Une mauvaise configuration de la box internet et l’absence de chiffrement systématique.

Crédits photo : Pch Vector, Freepik

Etablissements de santé : Encadrez contractuellement vos sous-traitants

Avant même de structurer contractuellement la relation avec les sous-traitants, l’une des recommandations à destination des établissements de santé étant de veiller à la bonne sélection de ses sous-traitants, à la fois parce qu’ils respectent le RGPD mais aussi parce qu’ils hébergent leurs données en France, ou à défaut dans l’Union Européenne.

L’encadrement contractuel des sous-traitants passe, de toute évidence, par un acte écrit.

Les principales obligations étant :

  • La transparence et la traçabilité
  • L’assistance, l’alerte et le conseil
  • Le Privacy by design / Privacy by default
  • La sécurité informatique

Quelles sont les clauses à faire figurer dans votre accord de sous-traitance ?

  • Les finalités et instructions
  • Les obligations du RT
  • Le devoir d’assistance, de conseil et d’alerte
  • Les obligations du sous-traitant
  • La confidentialité
  • Les mesures de sécurité
  • Les notifications des violations et droits des personnes
  • La sous-traitance ultérieure

RGPD dans la santé : Quels sont les PIA à effectuer ?

Le PIA ou Privacy Impact Assessment ou encore Analyse d’Impact relative à la protection des données est un outil au service du responsable de traitement devant être mis en œuvre avant chaque traitement.

Le défaut de réalisation d’un PIA est sanctionné d’une amende administrative :

Son montant est déterminé par la CNIL selon la gravité du manquement : quels ont été les effets du défaut de réalisation du PIA ? Cela a-t-il eu des conséquences préjudiciables pour les personnes objets du traitement, étendu du traitement, sensibilité des données, etc.

PIA sur les données de santé : Quels sont les critères à remplir ?

  • Données sensibles : collecte et traitement de données sensibles
  • Données hautement personnelles : traitement du NIR
  • Personnes vulnérables : patients, mineurs, personnes âgées

A noter : les données concernant l’état de santé sont des données sensibles.

Voir les sanctions

À lire aussi