Rédigé par Mariam Le Bars Kerampran et Xavier Rodrigues, Plasseraud IP.
Une définition désormais précise des données de santé
Le Règlement n°2016/679 offre pour la première fois une définition très large du terme « données de santé ».
Ce sont, au sens de l’article 4 alinéa 15 du Règlement, « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Le considérant 35 vient préciser cette définition générale, ajoutant que les données de santé peuvent aussi bien se rapporter à l’état de santé passé, présent ou futur d’une personne. Elles comprennent également les informations sur une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé (numéro ou symbole spécifique attribué à une personne pour l’identifier de manière unique), les informations obtenues lors de la prestation de soins elle-même (résultats de tests ou d’examens médicaux) ou encore les données permettant d’identifier une maladie, un état physiologique ou biomédical.
Une donnée peut donc être une donnée de santé par nature : une maladie, un traitement médical, des antécédents médicaux, etc. Mais elle peut aussi devenir une donnée de santé lorsque, croisée avec d’autres, elle permet de tirer des conclusions sur l’état de santé d’une personne. C’est notamment la situation des objets connectés, dont l’interaction peut permettre de rassembler des informations qui, prises isolément, ne constituent pas nécessairement des données de santé. La question de l’hébergement de telles données est donc susceptible d’impacter leurs modalités de traitement.
Le principe de l’interdiction de traitement des données de santé
Compte tenu du caractère sensible de ces données, l’article 9 du Règlement pose comme principe l’interdiction de leur traitement. Il reconnait néanmoins une dizaine de situations dans lesquelles un traitement sera autorisé, comme par exemple le cas où :
- un consentement explicite est donné par la personne concernée ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- le traitement est nécessaire pour des motifs d’intérêt public important dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail.
Lorsqu’il est autorisé au sens du Règlement, le traitement des données de santé doit se conformer au cadre spécifique prévu par le Code de la santé concernant les modalités d’hébergement des données.
La sécurisation de l’hébergement des données de santé
L’hébergement des données de santé, qui sont considérées comme des données dites « sensibles » au sens de l’article 9 du Règlement, fait l’objet de mesures de sécurité renforcées, prévues notamment à l’article L.1111-8 du Code de la santé publique. Il s’agit en effet d’encadrer l’accès à ces données sensibles pour protéger les personnes concernées. Bien que ces dispositions ne soient pas introduites par le RGPD, elles sont maintenues en vigueur et vont très bientôt évoluer.
Jusqu’à présent, les hébergeurs étaient soumis à une procédure d’agrément, délivré par le Ministre en charge de la Santé. L’ordonnance n°2017-27 du 12 janvier 2017 est venue modifier l’article L.1111-8 du Code de la santé publique pour remplacer la procédure d’agrément par une procédure de certification. Depuis le 1er avril 2018, les hébergeurs de données de santé doivent donc se rapprocher d’un organisme certificateur qui évaluera leur conformité à un référentiel de certification. L’audit se déroulera en deux temps : un audit documentaire et un audit sur site.
Le certificat de conformité qui sera délivré aura une durée de validité de trois ans et un audit de surveillance annuel sera conduit. Deux types de certificat distincts sont prévus, propres à chaque métier :
- un certificat « hébergeur d’infrastructure physique », pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
- un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.
La transition entre le régime de l’agrément et celui de la certification sera notamment fonction de la date d’expiration de l’agrément délivré avant l’entrée en vigueur des nouvelles mesures.
Le fichier national des données de santé (SDNS), instauré par la loi La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et qui permet d’accéder à certaines données de santé, reste en vigueur et demeure basé sur les principes de confidentialité, d’intégrité des données et de traçabilité des accès et des autres traitements.
Outre les impératifs liés spécifiquement à l’hébergement des données de santé, le Règlement prévoit des obligations renforcées pour les responsables de traitement.
Les obligations des responsables de traitement de données de santé
Du fait de l’extrême sensibilité des données de santé, il pèse sur les personnes qui les traitent des obligations renforcées. Ces dernières varient toutefois en fonction du statut du responsable de traitement, selon par exemple qu’il s’agisse d’un établissement public ou d’une organisation privée, et de la nature du traitement des données utilisées :
- la désignation d’un délégué à la protection des données (« DPD » ou « DPO ») (article 37) : elle est obligatoire pour les organismes et autorités publics. Les entreprises privées ou les établissements privés de santé ne sont quant à eux concernés par cette obligation que si leurs activités de base consistent en un traitement des données de santé « à grande échelle ». Le considérant 91 et les lignes directrices du G29 fixent des indices pour déterminer dans quels cas ce critère sera rempli : il faut ainsi prendre en considération le volume des données traitées, la durée et l’étendue géographique des traitements.
- la tenue d’un registre interne (article 30) : le DPO, s’il en existe un, ou le responsable de traitement, doivent tenir un registre des activités de traitements effectués par leur organisme. Ce registre doit faire état de plusieurs mentions obligatoires, listées à l’article 30. L’objectif de ce registre est de recenser l’ensemble des traitements réalisés, et de pouvoir justifier de leur licéité en cas de contrôle.
- l’information des personnes concernées par le traitement (article 13): le RGPD énumère les informations obligatoires à fournir aux personnes dont les données de santé sont traitées. L’idée étant d’inciter les individus à exercer les droits qui leur sont accordés comme le droit d’accès aux informations les concernant, le droit de rectification, de suppression ou d’opposition pour motif légitime.
- l’analyse d’impact relative à la protection des données (article 35): la réalisation d’une étude d’impact est obligatoire lorsque le traitement de données de santé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’appréciation du caractère élevé du risque repose sur plusieurs critères, comme la collecte de données sensibles, le croisement de données, les données de personnes vulnérables (patients notamment). Si deux de ces critères sont remplis, le traitement doit faire l’objet d’une analyse d’impact.
- la mise en œuvre de procédures : d’une manière générale, le Règlement prévoit, pour assurer un haut niveau de protection des données à caractère personnel, qu’un ensemble de procédures doivent être mises en œuvre par le responsable de traitement et ses partenaires. Il s’agit de mesures destinées à informer les personnes concernées, à sécuriser leurs données et à permettre un exercice effectif des droits dont le Règlement les investit. Elles prennent plus particulièrement la forme de mentions d’information et de clauses à intégrer aux contrats conclus par le responsable de traitement avec les personnes amenées à traiter ces données.
Le traitement des données de santé doit par conséquent faire l’objet d’une attention toute particulière afin de s’assurer que les dispositions du Règlement sont bien mises en œuvre et d’éviter les lourdes sanctions qui sont applicables depuis le 25 mai 2018.
L’équipe du Pôle NTIC de Plasseraud IP est à votre disposition pour vous accompagner dans votre mise en conformité avec ces nouvelles mesures.