Données de santé

Compte tenu de la sensibilité des données de santé au regard du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés, notre cabinet vous conseille dans la mise en œuvre d’un tel traitement de manière à respecter la législation en vigueur.

Nos prestations

Notre cabinet vous accompagne

dans l’identification des formalités à effectuer auprès de la CNIL et les démarches relatives aux demandes d’autorisation, déclarations de conformité à un cadre de référence ou réalisation d’une analyse d’impact.

Nous vous accompagnons

également conformément au nouveau principe d’accountability qui pèse sur tout responsable de traitement, sur toutes les étapes de mise en conformité de votre entreprise et notamment sur la constitution d’une documentation permettant de prouver la conformité de votre organisme à la législation relative au droit des données à caractère personnel.

Cette documentation se compose notamment du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation.

I. Le régime du traitement de données de santé

A. L’interdiction du traitement de données de santé

L’article 4.15 du RGPD définit les données concernant la santé comme « les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Selon l’article 9 du RGPD et l’article 6 de la loi Informatique et Libertés le traitement de données dites sensibles est interdit (révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou la vie ou l’orientation sexuelle).

B. Les exceptions prévues par la loi

L’article 65 de la loi Informatique et libertés, tel que modifié par la loi du 24 juillet 2019, n°2019-774, prévoit certaines exceptions à cette interdiction si :

  • La personne a donné son consentement explicite
  • Le traitement est nécessaire pour la sauvegarde des intérêts vitaux de la personne concernée
  • Le traitement est effectué par une fondation, une association ou organisme à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale
  • Les données à caractère personnel sur lesquelles porte le traitement ont déjà été rendues publiques par la personne concernée
  • Le traitement est nécessaire à l’exercice ou la défense d’un droit en justice
  • Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel dont l'atteinte est réprimée par l'article 226-13 du code pénal
  • Les traitements permettant d’effectuer des études réalisées par le personnel assurant ce suivi, à partir des données citées ci-dessus
  • Les traitements mis en œuvre par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire
  • Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale
  • Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne
  • Les traitements mis en œuvre par l'Etat aux fins de conception, de suivi ou d'évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d'exploitation et de diffusion des statistiques dans ce domaine

II. Les formalités préalables au traitement de données de santé

La CNIL a établi des référentiels et règlements types en concertation avec l'Institut national des données de santé. Les traitements conformes à ces référentiels peuvent être mis en œuvre sur déclaration préalable de leur conformité adressée à la CNIL.

Les traitements non conformes à ces référentiels sont soumis à une autorisation de la CNIL. L’article 66 de la loi Informatique et Libertés prévoit en effet un régime d’autorisation par la CNIL pour les traitements présentant une finalité d’intérêt public telle que la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux.

Les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites doivent faire l’objet d’une analyse d’impact, tout comme ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

De manière générale, une analyse d’impact devra être effectuée avant la mise en œuvre d’un traitement de données à caractère personnel lorsque celui-ci est susceptible de présenter un risque élevé pour les droits et libertés des personnes notamment par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

L’article 35 du RGPD prévoit qu’une analyse d’impact est requise lorsque le traitement de données à caractère personnel permet l’évaluation systématique et approfondie d’aspects personnels des personnes, le traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales et la surveillance systématique à grande échelle d’une zone accessible au public.

Lorsque l’analyse d’impact révèle que le traitement envisagé présente un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit consulter la CNIL préalablement à sa mise en œuvre.

Outre les dispositions spécifiques aux données de santé, comme tout responsable de traitement, l’organisme mettant en œuvre un traitement de données de santé est tenu de se mettre en conformité au RGPD. Il devra démontrer que toutes les mesures techniques et organisationnelles nécessaires à assurer la conformité du traitement de données à caractère personnel au RGPD ont été effectuées.

Pour cela, il devra constituer une documentation permettant de prouver la mise en conformité de son organisme. Cette documentation est tenue à la disposition de la Cnil et transmise en cas de demande. Elle est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation.


Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.