Retour au blog
Cybersécurité Protection Data
Published on 1 octobre 2018 Modifié le 6 juin 2023
Table des matières
Contributeurs
  • VHMN – user icon
    Les experts Relyens
Time to read: 7 minutes

La donnée de santé

Les données de santé représentent un véritable patrimoine qu’il est indispensable de protéger, puisqu’elles représentent à la fois une donnée à caractère personnel très importante pour les patients et la base des dossiers patients pour le personnel médical.

Définition

Les données de santé sont définies par le règlement européen général sur la protection des données personnelles (1) plus communément appelé RGPD, comme des « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

La donné de santé définie par la loi

Le texte précise que les données de santé doivent comprendre « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique, ou l’état physiologique ou biomédical de la personne concernée, indépendamment de la source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ».

adn data (1)

Le règlement définit également les données génétiques « relatives aux caractéristiques génétiques, héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé » ; et les données biométriques « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique ».

En France, l’ASIP Santé définit les données de santé comme les « données susceptibles de révéler l’état pathologique d’une personne ».

Trois principaux textes régissent aujourd’hui en France la protection des données de santé :

  • la loi informatique et liberté (LIL) du 6 janvier 1978 modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
  • le règlement européen du 27 avril 2016 sur la protection des données personnelles (RGPD/applicable depuis le 25 mai 2018) ;
  • le code de la santé publique intégrant notamment les dernières évolutions apportées par la loi de modernisation de notre système de santé du 26 janvier 2016 et la loi sur la République numérique du 7 octobre 2016.

Il ressort de l’ensemble de ces dispositions un cadre spécifique entourant le traitement des données de santé entendu comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. » (2)

Ainsi, chaque activité, chaque projet, intégrant l’utilisation de données de santé doit répondre aux exigences du dispositif prévu par le RGPD et la LIL pour assurer la protection des données et le droit des personnes concernées.

télésanté data doctor (1)

En France, la CNIL accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

N’hésitez pas à consulter le travail des experts Relyens quant aux formalités nécessitées par l’hébergement des données de santé.

À cet effet, la CNIL et le Conseil national de l’Ordre des médecins ont notamment publié en juin 2018 un « guide pratique sur la protection des données personnelles » à destination des médecins.

Ainsi, « il est interdit de traiter des données à caractère personnel, qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. » (3)

Toutefois, cette interdiction générale connaît des exceptions (4), notamment :

  • si la personne concernée a donné son consentement éclairé et explicite au traitement de ces données à caractère personnel ;
  • si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
  • si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ;
  • si le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • si le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

N’entrent pas davantage dans le champ de l’interdiction de traitement, les données de santé appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation reconnu conforme aux exigences de la loi par la CNIL (5).

En pratique, le responsable de traitement doit s’assurer que la finalité ou les moyens de celui-ci intègre au moins l’une des exceptions permettant l’utilisation de données de santé. Tel est, par exemple, le cas, naturellement, pour la création de dossiers médicaux par des professionnels ou établissements de santé, le déploiement d’activités de télémédecine…

Les principes généraux applicables aux traitements de données

La responsabilisation des acteurs

Avec le RGPD, la notion de « formalités préalables » (déclarations, autorisations) prévue jusqu’alors par la loi informatique et libertés a disparu au profit d’une logique de « conformité », dont les acteurs sont responsables sous le contrôle et avec l’accompagnement du régulateur national, la CNIL.

Les responsables de traitement doivent, à ce titre, être en mesure de démontrer, à tout moment, leur conformité aux exigences du RGPD et de la LIL en traçant toutes les démarches entreprises.

La conséquence de la responsabilisation des acteurs est la suppression des obligations de déclaration dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.

S’agissant particulièrement des tr>qui relèvent des exceptions prévues à l’article 8 de la LIL (art. 9 du RGPD), aucune formalité auprès de la CNIL n’est désormais requise. Il convient toutefois d’inscrire ces traitements dans un registre spécifique et, le cas échéant, de réaliser une étude d’impact (en cas de traitement à grande échelle de données sensibles par exemple, cf. infra).

Seuls deux régimes de formalités demeurent, pour des hypothèses très spécifiques :

  1. d’une part, le régime d’autorisation pour les traitements présentant une finalité d’intérêt public ou les traitements automatisés dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention,
  2. d’autre part, le régime de demande d’avis sur un projet d’acte réglementaire autorisant un traitement de données de santé (ex. : certains traitements utilisant le NIR (6))
clara_0

Références

(1) Règlement (UE) 2016/679 du Parlement  européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces don­nées, et abrogeant la directive 95/46/CE (règle­ment général sur la protection des données)

(2) Art. 4 du RGPD

(3) Art. 8 I. de la loi informatique et libertés ; art. 9 RGPD

(4) Les exceptions à cette interdiction sont prévues à l’article 9 du RGPD, et/ou à l’article 8 de la loi informatique et libertés

(5) Art. 8 III de la loi informatique et libertés

(6) Numéro d’inscription des personnes au répertoire national d’identification des personnes physiques

télésanté data doctor_0

Merci de votre intérêt pour le travail des experts Relyens.

Pour aller plus loin, n’hésitez pas consulter notre article sur la télémédecine et la protection des données des patients.

Les Experts Relyens viennent de délivrer le premier Livre Blanc sur le risque Cyber et ses enjeux pour et dans les établissements de santé. N’hésitez pas télécharger notre ouvrage et en apprendre plus sur les enjeux de la cybersécurité, la numérisation, la gouvernance et les bonnes pratiques, notamment en temps de crise Covid-19.

Télécharger le livre blanc cyber

Sur le même sujet

Toutes les publications
Caucasian IT professional admin using laptop computer doing data transfer operation with rack server cabinets in digital room of data center. Cyber security.
Cybersécurité Retour d’expérience

Un ransomware cible spécifiquement les organisations de santé

il y a 7 moisDéjà lu
convergence des systèmes d’informations gestion risques technologiques ght
Cybersécurité Protection Data Tendances & innovation

Les indicateurs de compromission (IoC)

il y a 7 moisDéjà lu
digital
Cybersécurité Analyse de risque

Quels sont les types de cyberattaques au sein des établissements de santé ?

il y a 1 anDéjà lu