Droit des données de santé / RGPD

Référentiel

La CNIL a d’ores et déjà adopté un référentiel « clé ». Il s’agit de la délibération n°2019-057 du 9 mai 2019 relative aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires. L’objectif est de faciliter les obligations déclaratives des industriels de la santé astreints à une obligation de vigilance

Méthodologies de référence

A ce jour, 6 méthodologies de référence ont été adoptées

• MR-001 : recherches dans le domaine de la santé avec recueil du consentement (délibération n° 2018-153 du 3 mai 2018)

• MR-002 : études non interventionnelles de performances concernant les dispositifs médicaux de diagnostic in vitro (délibération n° 2015-256 du 16 juillet 2015) portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro

• MR-003 : recherches dans le domaine de la santé sans recueil du consentement (délibération n° 2018-154 du 3 mai 2018)

• MR-004 : recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé (délibération n° 2018-155 du 3 mai 2018)

• MR-005 : études nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières (délibération n° 2018-256 du 7 juin 2018)

• MR-006 : études nécessitant l’accès aux données du PMSI par les industriels de santé (délibération n° 2018-257 du 7 juin 2018) portant homologation d'une méthodologie de référence relative aux traitements de données nécessitant l'accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l'article L.5311-1 du code de la santé publique aux données du PMSI centralisées et mises à disposition par l'ATIH par l'intermédiaire d'une solution sécurisée.

Données concernant la santé

Alors que les « données concernant la santé » n’avaient jusque-là pas été définies par les textes législatifs, le RGPD franchit le pas en les définissant comme celles « relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Allant encore plus loin, le préambule du Règlement donne une orientation sur cette définition large en précisant que seront notamment des données de  santé les informations « collectées lors de l’inscription [d’une] personne physique en vue de bénéficier de services de soins de santé », un « numéro […] attribué à une personne physique pour l’identifier de manière unique à des fins de santé », « des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques » ou encore « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro ».

Définies ainsi comme données sensibles, le traitement des données de santé sera en principe prohibé. Mais le RGPD reprend, en son article 9, des exceptions déjà présentes dans la Loi Informatique et Libertés du 6 janvier 1978 telles que le consentement explicite de la personne concernée, la sauvegarde des intérêts vitaux de la personne concernée ou encore les motifs d’intérêt public important.

Données génétiques

Le RGPD considère les données génétiques comme celles « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ». Peuvent notamment résulter d’une analyse d’un échantillon biologique portant sur les chromosomes ─ l’ADN ou l’ARN, et étant donc pour la première fois également considérées comme des données sensibles ─ la collecte, le traitement ou la conservation de ces données seront en principe prohibés, sauf exceptions de l’article 9 du Règlement.

L’exploitation de ces données qui était initialement circonscrite à la sphère médicale et à l’identification judiciaire tend à s’étendre à des domaines de plus en plus variés tels que l’assurance, le marketing ou encore la généalogie. La prohibition de principe que le RGPD effectue est donc un moyen de lutter contre les risques de discrimination ou de marchandisation de telles données.

Données biométriques

Les données biométriques sont celles à « caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques».

Nouvellement attachées à la catégorie des données dites « sensibles », le règlement européen consacre donc la prohibition de celles-ci, sauf exceptions.

Registre des traitements

Le RGPD impose à depuis le 25 mai 2018 aux organismes ayant plus de 250 employés ou effectuant des traitements susceptibles de comporter un risque pour les droits et libertés des personnes, qui ne sont pas occasionnels ou qui portent notamment sur des données sensibles, telles que les données de santé, de tenir un registre recensant ces activités des traitements de données personnelles. La tenue de ce registre permettra ainsi de démontrer la conformité de l’organisme à la réglementation.

Cette documentation interne complète permet de responsabiliser les organismes responsables de traitement déterminant les moyens et la finalité de celui-ci. Dans le cadre de la tenue d’un tel registre, le responsable de traitement devra déterminer de manière précise les différents traitements de données personnelles, les catégories de données personnelles traitées avec les personnes concernées, les objectifs poursuivis lors de ces traitements, les acteurs intervenants dans ces traitements ainsi que l’origine et la destination du flux de données afin d’identifier d’éventuels transferts de données hors de l’Union européenne où le RGPD s’applique. Toujours allant dans le sens de la responsabilisation des responsables de traitement, ce registre devra indiquer les délais prévus pour l’effacement des différentes catégories de données ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

La CNIL a mis à disposition un modèle simplifié de registre de traitement sur son site internet.

Analyse d’impact

L’analyse d’impact relative à la protection des données (AIPD) est nécessaire lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment lorsqu’il s’agit d’un traitement à grande échelle. Il s’agit d’un autre outil de responsabilisation des responsables de traitement permettant de rendre compte de la conformité au RGPD par une étude de la nécessité et la proportionnalité du traitement au regard des droits fondamentaux mais également des risques sur la sécurité des données de santé des personnes concernées.

L’analyse sera effectuée par le responsable de traitement sous le conseil du délégué à la protection des données et devra, après avoir présenté de manière systématique les opérations de traitements de données de santé envisagées, indiquer les mesures envisagées par le responsable de traitement pour faire face aux risques.

Des outils d’aide à la détermination de la nécessité de mettre en place une AIPD existent cependant.

Au niveau européen, le G29 (prédécesseur du Comité Européen de la Protection des Données ─ CEPD) avait établi dès 2017 des lignes directrices (référence wp248) concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé». Même si ce document est antérieur à l’entrée en vigueur du RGPD, il est toujours d’actualité et a d’ailleurs été repris à son compte par le CEPD.

Au niveau français, la CNIL a mis à disposition plusieurs outils

• une liste de traitement nécessitant une étude d’impact : délibération n° 2018-327 du 11 octobre 2018

  En matière de données de santé, la liste dresse plusieurs situations qui doivent donner lieu à l’établissement d’une étude d’impact :

  • les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes

  • les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre

  • les traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables », dont les patients

• une liste de traitement ne nécessitant pas d’étude d’impact : délibération n° 2019-118 du 12 septembre 2019

En matière de données de santé, cette liste indique que le professionnel de santé exerçant à titre individuel au sein d'un cabinet médical, d'une officine de pharmacie ou d'un laboratoire de biologie médicale n’a pas à effectuer d’étude d’impact pour les traitements nécessaires à la prise en charge d'un patient. Cette information est d’ailleurs une confirmation de la position du G29 dans les lignes directrices précitées.

• et surtout, un arbre de décision. La CNIL a énoncé des critères de « criticité » des traitements puis indique que le fait que deux critères de criticité soient présents (ou un seul critère si le traitement présente un risque « élevé ») doit conduire à mener une étude d’impact.

Parmi ces critères, on trouve le traitement des données de santé et aussi le traitement de données concernant les patients. Autant dire que dans le secteur de la santé, les opérateurs seront vites confrontés à l’obligation de mener une étude d’impact.

Délégué à la protection des données

Le RGPD oblige certaines entreprises à désigner un délégué à la protection des données (DPD ou DPO pour data protection officer) notamment lorsque l’entreprise a des « activités de base » consistant en des traitements « à grande échelle » de catégories de données sensibles, les données de santé en faisant donc partie.

Tant la notion d’« activité de base » que celle de « traitement à grande échelle » sont encore interprétables à l’aune de l’entrée en vigueur du RGPD.

Le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel », son rôle étant « d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur [leurs] obligations » et de « contrôler le respect » du RGPD et de tous les autres textes liés à la protection des données.

La Cabinet Barbey, société d’Avocat conseille ses clients dans le domaine des données de santé.

1.

Santé, Pharma & Biotechnologies
Droit réglementaire

2.

Santé, Pharma & Biotechnologies
Santé électronique

3.

Concurrence  &  Distribution
Santé & Industrie Pharma