Les données de santé sont des données à caractère personnel particulièrement sensibles. A ce titre, elles bénéficient d’un régime de protection spécifique et de mesures de sécurité renforcées. Dans ce cadre la CNIL a publié 3 référentiels CNIL qui régissent particulièrement ces données santé :
- Un référentiel portant sur les durées de conservation des données personnelles dans le domaine de la santé hors recherche;
- Un référentiel encadrant les durées de conservation dans le domaine de la recherche en santé;
- Un référentiel relatif aux traitements de données personnelles pour les cabinets médicaux et paramédicaux.
Auquel la CNIL adjoint :
Un guide pratique sur les durées de conservation qui apporte une aide aux professionnels dans la définition pertinente des durées de conservation de leurs traitements de données personnelles
Par la présente note de synthèse nous analysons les principaux axes réglementaires issus principalement de ces normes que tout organisme détenant ou gérant des données santé se doit de connaitre
I. LES DONNÉES DE SANTÉ : LES INFORMATIONS CONCERNÉES
1.1 Définition des données de santé et exemples de données considérées comme telles
Les données dites de santé sont définies comme :
« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Il s’agit des informations qui permettent d’identifier une personne et qui concernent son état de santé physique ou mental, passé, présent ou futur.
Pratiquement, le RGPD considère que ces données de santé sont des données personnelles particulièrement sensibles en raison de leur nature.
Les principales données de santé sont les suivantes :
- Les informations relatives à une personne physique ;
- Les informations obtenues lors du test ou de l’examen d’une partie du corps ;
- Les informations concernant une maladie (handicap, risque de maladie, antécédents médicaux, etc.).
Cela peut inclure des informations telles que les antécédents médicaux, les résultats de tests, les diagnostics, les traitements, les allergies ou encore les handicaps.
1.2 Distinction entre les données de santé sensibles et non sensibles
Certaines données de santé peuvent être considérées comme étant plus sensibles que d’autres, car elles révèlent des informations intimes ou confidentielles sur la personne concernée.
C’est notamment le cas des données relatives à la sexualité, à la santé mentale, à la toxicomanie ou encore à la génétique.
Il est important de noter que le RGPD ne fait pas de distinction entre les données de santé recueillies auprès d’un patient ou d’une personne en bonne santé. Ainsi, toutes les informations permettant d’identifier une personne et de révéler son état de santé sont considérées comme des données de santé et sont soumises aux règles de protection prévues par le RGPD.
II. LES RÈGLES DU RGPD APPLICABLES AUX DONNÉES DE SANTÉ
Le RGPD impose une interdiction générale de traitement des données de santé, sauf dans certains cas précis.
En effet, eu égard à la sensibilité de ces données, leur traitement doit être encadré de manière très stricte pour garantir la protection des droits et des libertés des personnes concernées.
Le traitement des données de santé est autorisé dans les cas suivants :
- Le traitement est effectué par un professionnel de la santé soumis à une obligation de confidentialité, dans le cadre de sa mission de soins ou pour la gestion des systèmes et services de santé.
- Le traitement est mis en œuvre à des fins de médecine préventive, de diagnostic médical, de soins ou de traitement médical, ou de gestion des systèmes et services de santé.
- Le traitement est opéré à des fins de recherche scientifique ou statistique, sous réserve de conditions strictes prévues par la loi.
III. CONDITIONS POUR LA COLLECTE DE DONNÉES DE SANTÉ :
Le traitement des données de santé est en principe interdit par le RGPD, néanmoins celui-ci est venu poser deux exceptions :
- L’obtention du consentement de la personne
- Les exceptions à l’obligation de consentement
3.1 L’obtention du consentement de la personne
Le traitement des données de santé est autorisé dans le cas où la personne physique donne son accord au responsable de traitement.
Le recueil du consentement est cependant soumis au respect de quatre critères cumulatifs. :
- Le consentement doit être libre il ne doit pas être ni contraint ni influencé.
- Il doit spécifique soit correspondre à un traitement unique, pour une finalité déterminée.
- Être éclairé : en disposant notamment de nombre d’informations communiquées à la personne physique.
- Garantir le caractère univoque : se matérialisant par une déclaration ou tout autre acte positif clair.
A ce titre par exemple la manifestation du consentement doit être recherché par le médecin avant que celui-ci procède à un acte médical.
Le code de la santé publique dispose que : “lorsque le malade, en état d’exprimer sa volonté, refuse les investigations ou le traitement proposés, le médecin doit respecter ce refus après avoir informé le malade de ses conséquences. Si le malade est hors d’état d’exprimer sa volonté, le médecin ne peut intervenir sans que la personne de confiance, à défaut, la famille ou un de ses proches ait été prévenu et informé, sauf urgence ou impossibilité.”
Seul deux cas de malades n’ont pas à exprimer leur volonté : les mineurs et les majeurs sous tutelle.
3.2 LES EXCEPTIONS À L’OBLIGATION DE CONSENTEMENT
Le RGPD prévoit plusieurs exceptions permettant le traitement des données de santé, notamment dans les situations ci-dessous :
- La prévention de la santé publique
- La préservation des intérêts vitaux de la personne physique concernée
- L’appréciation médicale
- La médecine du travail ou la mise en œuvre du respect du pourcentage légal d’emploi de personnes atteintes d’un handicap
- La gestion des systèmes et services de santé ou de la protection sociale
- Traitement mise en œuvre par une association ou autre organisme à but non lucratif si le traitement se rapporte exclusivement aux membres de l’organisme ou concerne des personnes en contact permanent et régulier
- Données rendues publiques par la personne concernée
- Médecine, préventive, diagnostique médicaux, prise en charge sanitaire et social, gestion des systèmes et services de santé
- Motifs d’intérêt public dans le domaine de la santé publique. recherche à des fins archivistique ou statistiques.
Dans certains cas, le traitement de données de santé doit être autorisé par la Commission nationale de l’informatique et des libertés (CNIL) :
À l’exception des études « internes », tous les projets de recherche ou d’étude ou d’évaluation dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la CNIL.
Ainsi, lorsqu’ils ne sont pas conformes à une méthodologie de référence, ces projets doivent être autorisés par la CNIL.La CNIL exigera la production d’une analyse d’impact pour instruire les demandes d’autorisation présentant une finalité d’intérêt public.
(Voir demandes d’autorisation en santé : la CNIL publie les critères à respecter–06 février 2023)