Comment traiter les données de santé en toute conformité avec le RGPD ?

1 Août 2023

Le Règlement général sur la protection des données (RGPD) est entré en vigueur en mai 2018 et a eu un impact significatif sur la manière dont les données personnelles sont collectées, traitées et protégées. Ce règlement européen, conforme aux exigences, de la CNIL (Commission Nationale de l’Informatique et des Libertés) vise à renforcer la confidentialité et la sécurité des données des patients. Découvrez comment protéger la vie privée d’une personne tout en bénéficiant des avantages des données de santé pour la recherche, les soins et l’innovation médicale.

Qu’est-ce qu’une donnée de santé ?

Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), une donnée de santé se réfère à toute information liée à l’état physique ou mental d’une personne, passée, présente ou future. Ces informations peuvent être collectées auprès des patients, des professionnels de la santé, des hôpitaux, des laboratoires, des entreprises médicales ou de l’Assurance Maladie. En raison de leur nature personnelle, les données de santé sont considérées comme sensibles et nécessitent une protection renforcée. Il est impératif de respecter les droits fondamentaux des individus en matière de confidentialité et de sécurité des données, conformément à la loi informatique et aux réglementations en vigueur.

Quelles sont les informations qui font partie des données de santé ?

Dans le domaine médical, les données personnelles peuvent inclure une variété d’informations relatives à la santé d’une personne, parmi lesquelles :

  • Les antécédents médicaux (traitements médicaux antérieurs, les allergies connues, pathologies, etc.)
  • Les examens médicaux (résultats d’analyses de sang, les radiographies, les échographies, les IRM, les électrocardiogrammes, etc.)
  • Les diagnostics
  • Les traitements médicaux en cours ou précédents
  • Les données génétiques
  • Les données biométriques (pression artérielle, la fréquence cardiaque, la glycémie, l’indice de masse corporelle [IMC], etc.)
  • Les informations personnelles sur les modes de vie (l’activité physique, la consommation d’alcool ou de tabac, etc.)

 

Qui peut traiter des données de santé ?

Le traitement des données sensibles est généralement réservé aux professionnels de la santé, aux établissements de soins médicaux, aux organismes de recherche médicale et aux entreprises autorisées par la législation nationale. Ces entités sont habilitées à traiter et à conserver les données personnelles dans le cadre de leurs activités professionnelles et de leurs responsabilités liées à la santé et aux soins médicaux. Selon le RGPD, l’une des bases légales possibles pour le traitement des données à caractère personnel, y compris les éléments de santé, est le consentement du patient. Pour être valide, ce consentement doit respecter les principes du libre choix, de l’information complète, de la spécificité et de l’explicité. Le droit fondamental de la personne à donner son consentement de manière éclairée et volontaire est ainsi préservé par cette loi. Cela implique que le patient concerné ait le droit d’être pleinement informé des objectifs du traitement des données de santé ainsi que des conséquences qui en découlent. Il doit être en mesure d’accorder son consentement de manière volontaire, sans aucune forme de pression. Il est également important de noter que le consentement doit être spécifique à chaque traitement et ne peut être présumé pour d’autres activités. La loi garantit le respect de ces droits fondamentaux en matière de consentement éclairé pour le traitement des données de santé. Il est indispensable de souligner que le consentement n’est pas toujours la seule base légale pour la collecte des données de santé. Dans certains cas, le traitement peut être effectué sans consentement, par exemple, lorsque cela est nécessaire pour respecter une obligation légale, protéger les intérêts vitaux de la personne concernée ou exécuter un contrat.

Pour en savoir plus sur le consentement éclairé du patient et son rôle essentiel dans les soins de santé, consultez notre article dédié.

Comment traiter les données de santé en toute conformité avec le RGPD ?

Pour assurer le traitement des données de santé en conformité envers le règlement général sur le droit de la protection des données à caractère personnel, mais également dans le cadre de l’European Health Data Space, certaines obligations clés doivent être respectées.

Désignation d’un responsable DPO

Selon le RGPD, les organisations traitant des données de santé ont l’obligation de désigner un Délégué à la Protection des Données (DPO). Le rôle du DPO est de veiller à la conformité de l’organisation aux dispositions du RGPD, notamment en ce qui concerne la protection des données sensibles. Ce délégué agit en tant que conseiller au sein de l’entreprise, surveille les activités de traitement des données, établit des politiques appropriées et collabore avec les autorités de contrôle. La désignation d’un responsable DPO garantit le respect du droit fondamental à la protection des données à caractère personnel au sein d’une organisation.

Tenir un registre des traitements

Une obligation essentielle imposée par le RGPD est la tenue d’un registre des traitements pour les données de santé. Ce registre consiste en un enregistrement détaillé de toutes les activités de traitement des données personnelles, incluant les données de santé. Il contient des renseignements tels que les finalités du traitement, les catégories de données traitées, les destinataires, les transferts internationaux et les mesures de sécurité mises en place.

Faire une analyse d’impact

Une autre obligation importante est la mise en œuvre d’une analyse d’impact sur la protection des données (AIPD). L’AIPD est une évaluation systématique des risques liés aux activités de traitement des données, afin d’identifier les mesures appropriées pour atténuer ces risques. Cette analyse permet d’anticiper et de prendre en compte les implications sur la protection des données dès le stade de la conception du traitement. La CNIL peut exiger une analyse d’impact dans le cadre de demande d’autorisation concernant le traitement des données à finalité d’intérêt public.

Garantir le principe d’« accountability »

Le principe d’« accountability » ou de responsabilité est une composante clé du RGPD pour le traitement des données de santé. Il impose aux organisations qui traitent ces données d’assumer pleinement la responsabilité de leur concordance aux dispositions du RGPD. Cela signifie qu’elles doivent mettre en place des politiques, des procédures et des mesures de sécurité appropriées pour garantir la protection des données de santé. Les entreprises doivent également être en mesure de démontrer leur conformité en documentant leurs décisions et en tenant des registres appropriés.

Par exemple, dans le contexte spécifique de la transcription de comptes rendus médicaux, une attention particulière doit être accordée à la manière dont les enregistrements vocaux et les transcriptions écrites sont traités, stockés et sécurisés. Les prestataires de services de transcription doivent veiller à ce que toutes les données personnelles et sensibles soient traitées en conformité avec les exigences strictes du RGPD, notamment par le cryptage des fichiers audio et des transcriptions.

Le saviez-vous ? Les données collectées via des applications ou des outils de mesures telles que les montres ou les bracelets connectés sont considérées comme des données de santé si leur nature ou leurs croisements révèlent des informations personnelles sur l’état de santé d’un individu.

En somme, la gestion des données de santé en conformité avec le RGPD est essentielle pour garantir la protection des données personnelles sensibles et respecter les droits des patients. Les professionnels de la santé et les entités autorisées doivent se conformer aux principes de confidentialité, de sécurité et de consentement éclairé. Les obligations telles que la transparence, la désignation d’un responsable DPO, la tenue d’un registre des traitements, la mise en œuvre d’analyses d’impact et la garantie de l’« accountability » doivent être respectées. Enfin, il est recommandé de se référer aux directives de la CNIL (Commission nationale de l’informatique et des libertés) pour assurer une conformité totale avec les réglementations locales.