Données de santé et RGPD : comment allier utilité publique et conformité réglementaire ?
La collecte de données est aujourd’hui un enjeu majeur pour les acteurs de la santé. Toutefois, compte tenu de la sensibilité de ces informations, le secteur est soumis à une réglementation spécifique.
Donnée de santé : définition
Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale d’une personne ou qui révèlent des informations sur son état de santé passé, présent ou futur.
Cette notion englobe donc :
- Les données d’identification comme le nom, le prénom, l’adresse ou le numéro de téléphone d’un patient.
- Les informations sur la vie personnelle ou la couverture sociale : nombre d’enfants, assurance maladie complémentaire, etc.
- Les informations relatives à la santé du patient et aux professionnels qui interviennent dans sa prise en charge : pathologie, diagnostic, prescription, soins, etc.
Comment le RGPD impacte-t-il la collecte et le stockage des données de santé ?
Entré en vigueur en 2018 dans les États membres de l’Union européenne, le règlement général sur la protection des données (RGPD) a instauré une base légale précise pour le recueil et la protection des données de santé.
Les obligations du responsable de traitement
Le responsable de traitement doit être en mesure de prouver à tout moment sa conformité au RGPD, en retraçant toutes les démarches qui ont été menées.
Concrètement, tout établissement de santé doit :
- Tenir un registre des traitements, recensant l’ensemble des traitements de données personnelles mis en œuvre dans la structure.
- Réaliser des analyses d’impact pour les traitements susceptibles de présenter un « risque élevé » pour les personnes.
- Encadrer l’information des personnes concernées et s’assurer du respect de leurs droits.
- Formaliser les responsabilités et les rôles du responsable de traitement.
- Désigner un délégué à la protection des données (DPO) lorsque cela est obligatoire.
- Renseigner les actions mises en œuvre pour garantir la sécurité des données.
Des formalités allégées
En contrepartie, le RGPD a permis un allègement des démarches à accomplir auprès de la CNIL. Ainsi, certaines formalités préalables ont disparu, par exemple dans les cas suivants :
- Les traitements pour lesquels la personne a donné expressément son consentement.
- Les traitements portant sur des données personnelles rendues publiques par la personne concernée de son plein gré.
- Les traitements nécessaires à la sauvegarde de la vie humaine.
- Les traitements permettant d’effectuer des recherches à partir des données.
- Les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans le cadre du PMSI local.
Toutefois, il subsiste quelques traitements qui doivent toujours faire l’objet d’une formalité auprès de la CNIL :
- Les traitements présentant une finalité d’intérêt public.
- Les traitements automatisés dont la finalité est la recherche ou les études dans le domaine de la santé, l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention.
- Les traitements de données de santé contenant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR).
Quels sont les droits fondamentaux des individus concernant leurs données de santé ?
Dans le cadre du RGPD, les personnes disposent de plusieurs droits afin de garder la maîtrise de leurs données de santé.
Le droit à l’information
Pour être licite, la collecte de données personnelles concernant la santé doit s’accompagner d’une information claire et précise des personnes. Cette information porte sur l’identité du responsable du fichier, la finalité du fichier, les destinataires des données récoltées ou encore les droits des personnes concernées.
Le recueil du consentement
Le consentement est une démarche active et explicite, de préférence écrite, qui permet aux personnes d’autoriser le traitement de leurs données par les responsables du traitement.
Le droit d’opposition
Tout individu a le droit de s’opposer au traitement de ses données de santé pour des motifs légitimes, à moins que ce traitement ne réponde à une obligation légale.
Les droits d’accès et de rectification
Toute personne peut accéder à l’ensemble des informations qui la concernent, connaître leur origine et obtenir une copie de ces données (moyennant des frais qui ne peuvent pas dépasser le coût de la reproduction. Elle peut également exiger que ses données soient rectifiées, mises à jour, complétées ou supprimées.
Le droit à la portabilité
Enfin, chaque individu a le droit de recevoir les données qui le concernent, de les réutiliser et de les transmettre à un autre responsable de traitement.
Données de santé : quelles sont les actions à mener pour être en conformité avec le RGPD ?
Au-delà du respect des obligations du responsable de traitement prévues par le RGPD, les organisations qui collectent et exploitent des données à caractère personnel concernant la santé doivent mettre en œuvre différentes actions.
À commencer par l’utilisation d’un hébergement cloud certifié HDS (Hébergement des Données de Santé), garantissant un niveau optimal de sécurité, de confidentialité et d’accessibilité des données personnelles.
Par ailleurs, il est essentiel d’établir une politique de data governance reposant sur 4 grands principes :
- La qualité des données, qui doivent être exactes, complètes et fiables.
- La sécurité et la conformité des données : les sources de données doivent notamment être classées en fonction de leur niveau de risque respectif.
- L’intendance des données, qui consiste à contrôler la façon dont les équipes utilisent les sources de data.
- La transparence des données, dont la provenance et les caractéristiques doivent être facilement identifiables.
Quelles sont les sanctions prévues par le RGPD en cas de non-conformité dans le traitement des données de santé ?Le règlement général sur la protection des données prévoit des sanctions pécuniaires pouvant atteindre 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise). |
Avec sa solution de Business Intelligence puissante et intuitive, son hébergement cloud 100 % français et certifié HDS, DigDash s’adapte aux multiples exigences du secteur de la santé, tout en garantissant une conformité totale avec la réglementation en matière de collecte et d’utilisation des données sensibles.