Le nouveau régime juridique des données de santé Partie 1

Ce dossier technique a vocation à établir un panorama non exhaustif du nouveau cadre juridique des données de santé. En effet, ces dernières années, de nombreuses nouveautés juridiques sont apparues modifiant profondément le droit des données à caractère personnel, et a fortiori le régime juridique des données de santé à caractère personnel.

Ces nouveautés s’articulent principalement autour de deux textes.

Tout d’abord, le règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a modifié le droit des données à caractère personnel.

Puis, en matière de santé plus spécifiquement, la loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé a fait évolué le cadre juridique des données de santé.

Ce dossier technique permet de synthétiser les principaux traits de cette nouvelle réglementation applicable à des données aussi sensibles que les données de santé. Bien que non exhaustif, il permet d’avoir une première approche globale du nouveau régime juridique applicable en matière de données à caractère personnel de santé.

INTRODUCTION

Le secteur de la e-santé est un secteur en pleine mutation. A l’instar des autres secteurs, le développement du numérique dans la santé engendre de nouvelles opportunités et de nouveaux enjeux (économiques, technologiques, éthiques et juridiques).

Le développement rapide de l’usage des technologies dans le domaine de la santé constitue un facteur important d’amélioration, notamment en terme de qualité des soins. Toutefois, ce phénomène s’accompagne d’un accroissement significatif des menaces et des risques d’atteintes aux données conservées sous forme électronique. Cette continuité numérique dans l’espace et le temps, de la récolte de la donnée jusqu’à son partage, en passant par son traitement, pose des questions essentielles et nécessite de respecter le cadre juridique applicable.

Dans ce secteur, il convient d’observer la transformation numérique sous deux angles :

-    (i) tout d’abord, au regard des avancées scientifiques et technologiques : la m-santé, les applications, les objets de santé connectés, les nouvelles technologies liées à la « silver economy », les robots, etc.

-  (ii) puis, au regard des acteurs publics et privés : les plus connus sont IMB, Google, Apple, mais ce secteur séduit également beaucoup les start up en e-santé.

Le graphique ci-dessous permet de voir que si ces différents secteurs sont encore à des stades de maturité divers, tous les domaines sont concernés par la transformation numérique, ce qui implique de nombreuses conséquences pour les entreprises, notamment au niveau des business models ou de l’organisation du travail. D’ailleurs, cette transformation numérique peut se révéler être un véritable atout si les organismes concernés en maîtrise tous les aspects, et notamment les retombées.

Comme l’illustre ce graphique, le secteur de la santé demeure encore au début de sa maturité compte tenu de ses spécificités. Il devrait donc connaître une large marge de progression dans les années à venir.

Ainsi, le secteur de la santé doit s’adapter à ces nouvelles exigences en intégrant progressivement le numérique en son sein.

En matière de santé, la situation semble paradoxale. Si une majeure partie des français se montrent favorables à l’innovation dans ce domaine, l’attractivité des sites webs, des applications et objets connectés de santé (etc.) peinent à séduire, le partage des données à caractère personnel suscitant des réserves.

Néanmoins, il est vrai que le secteur de la santé peut être amélioré grâce à la transformation numérique, puisque l’usage de certains outils numériques pourrait permettre de réduire les erreurs médicales, de faire des avancées majeures en terme de pratiques chirurgicales, de prendre en charge des maladies chroniques ou encore d’accompagner le vieillissement de la population.

Ainsi, les données constituent un élément essentiel pour parvenir à réaliser ces avancées. Le secteur de la santé est donc lui aussi touché par le phénomène du « Big Data » (expression qui   désigne : « énorme quantité (volume) de données disparates (variété) qui doit être traitée très rapidement (vélocité), même en temps réel »).

Il est donc intéressant de s’interroger sur ce phénomène de création massive de données et a fortiori de données à caractère personnel.

Dans ce secteur, la récolte de données est facilitée par les progrès technologiques qui ont permis de multiplier de manière exponentielle la quantité d’informations recueillis sur les individus, notamment avec l’utilisation des applications, des objets connectés et des dispositifs médicaux.

La collecte, le traitement et l’exploitation de ces données présentent de nombreux intérêts tels que l’identification de facteurs de risque de maladie, l’aide au diagnostic, le suivi des traitements etc. Le but est donc d’analyser l’ensemble de ces données collectées, afin de tendre vers la médecine des « 4P », c’est-à-dire une médecine préventive, prédictive, personnalisée et participative.

Toutefois, les traitements de données de santé soulèvent de nombreuses interrogations…

La croissance du volume de données collectées fait naître des questions relatives notamment au traitement et à l’hébergement des données de santé à caractère personnel ainsi qu’aux droits et libertés des individus concernés. Où sont hébergées les données de santé ? Pourquoi sont-elles collectées ? Cette collecte peut-elle impacter le respect de la vie privée des individus ? La collecte des données de santé permet-elle de contribuer à la protection de la santé ? Ces interrogations ne sont

qu’une partie d’une longue liste… Car s’il est vrai que les données constituent selon une expression bien connue, le nouvel « or noir du XXIème siècle », compte tenu de leur valeur, un strict cadre juridique doit être respecté afin de réaliser les traitements de données de santé en conformité avec le droit applicable. D’autant plus que la tendance actuelle est à la création d’objets connectés qui, par essence, collectent massivement des données.

Les données de santé sont soumis à un régime spécifique. En effet, conformément à l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (ci-après, la

« Loi Informatique et Libertés »), les données de santé constituent des données sensibles qui bénéficient d’un régime de protection renforcé face aux données à caractère personnel dites

« classiques ».

Un compromis doit donc être trouvé, afin de réaliser une collecte volumineuse de données sans contrevenir à la règlementation applicable !

C’est ainsi que le développement du numérique dans la santé conduit à faire évoluer le cadre juridique et les conditions d’utilisation des données de santé grâce à deux règlementations majeures :

-   La loi du 26 janvier 2016 de modernisation de notre système de santé (ci-après « Loi du 26 janvier 2016 ») ;

Le règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « Règlement »).

La Loi du 26 janvier 2016 permet ainsi d’encadrer l’accès aux données de santé, qui représente un enjeu stratégique et déterminant pour la recherche en France, pour les patients et les citoyens, pour les autorités sanitaires et les professionnels de santé, pour les industriels et d’une manière générale, pour tous les acteurs opérants dans le champ de la santé1.

L’exploitation des données de santé, qui doit être encadrée de manière minutieuse, constitue un levier majeur pour la recherche et le développement d’innovations, ainsi que pour la mise à disposition de nouvelles technologies en santé efficientes.

Les organismes privés et publics ayant vocation à agir dans le domaine de la santé devront donc prendre connaissance et appliquer ces nouvelles dispositions, d’autant plus qu’une nouvelle définition des données de santé a été réalisée par le Règlement.

Au regard des évolutions du secteur du numérique de santé, qui se caractérisent par un partage accru des données, la donnée de santé a été définie de façon plus large par le Règlement, afin qu’une protection appropriée soit offerte aux informations qui caractérisent la situation sanitaire de la personne dans son ensemble.

Ainsi, la donnée de santé « couvre en particulier toutes informations relatives à l’identification du patient dans le système de soin ou le dispositif utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un contrôle ou d’un examen médical y compris des échantillons biologiques et des données génomiques, toutes informations médicales : par exemple une maladie, un handicap, un risque de maladie, une  donnée clinique ou thérapeutique, physiologique ou biologique, indépendamment de sa source, qu’elles proviennent par exemple d’un médecin ou d’un autre professionnel de la santé, d’un dispositif médical ou d’une exploitation in vivo ou in vitro.

Cette nouvelle définition traduit un concept plus large de la donnée de santé prenant en compte le fait que la prise en charge sanitaire d’une personne emporte également la connaissance de sa situation familiale ou sociale et fait intervenir des acteurs multiples, professionnels de santé et personnels sociaux. ».

CHAPITRE 1 : L’APPROCHE SPÉCIFIQUE DES DONNÉES DE SANTÉ

Comme énoncé en introduction, les données de santé ont vocation à croître de manière exponentielle en raison de plusieurs facteurs, dont l’utilisation croissante par le grand public des objets de santé connectés et des dispositifs médicaux. Or, ces données peuvent être intégrées aux systèmes d’informations des cabinets médicaux et/ou des établissements de santé.

De plus, la Loi du 26 janvier 2016 concourt à tendre vers la dématérialisation dans le secteur de la santé. A titre d’exemple, cette loi souhaite développer l’utilisation du dossier médical partagé, mais plus généralement encore, l’accès aux données de santé par des organismes publics mais aussi privés.

Or, les données de santé constituent des données protégées puisqu’elles sont qualifiées de données sensibles au sens de l’article 8 de la Loi Informatique et Libertés.

Section 1 : La croissance exponentielle des données de santé

L’utilisation accrue des nouvelles technologies dans la vie quotidienne des individus a eu pour conséquence de générer un volume massif de données. Le marché des applications et de l’IoT (« Internet Of Things ») ne cesse de grandir, ce marché étant alimenté par l’attrait de la « santé connectée ». De même pour les dispositifs médicaux, qui disposent d’un cadre juridique particulier avec l’adoption de deux règlements en date du 5 avril 2017. Ce succès auprès des « consommateurs- utilisateurs » s’explique notamment parce le fait que ces objets connectés et dispositifs médicaux sont considérés comme disposant d’une valeur ajoutée face à d’autres objets, puisqu’ils permettent d’allier surveillance, contrôle et suivi de la santé de l’utilisateur.

C’est ainsi que de nombreuses applications et une multitude d’objets connectés relatifs à la santé ont vu le jour. A titre d’exemple, ont notamment été créés :

-    Des bracelets et des montres connectées pour récolter des données sur l’activité physique de l’utilisateur ;

-  Des applications pour surveiller la qualité du sommeil ;

-  Des brosses à dents connectés ;

-  Des balances connectées, etc.

Les objets connectés se retrouvent potentiellement partout, dans chaque pièce d’une habitation ainsi que sur ou dans le corps humain, etc.

Ce phénomène émergent qui ne cesse de s’amplifier ne devrait d’ailleurs pas faillir dans les prochaines années. En effet, un souhait majeur de la loi du 26 janvier 2016 consiste dans le développement du Dossier Médical Partagé (le « DMP »). Le DMP est un dossier qui s’apparente à un carnet de santé numérique permettant aux professionnels de santé d’accéder aux informations du patient. Il est susceptible de contenir les documents suivants : les comptes-rendus hospitaliers et radiologiques du patient, ses résultats d’analyses de biologie, ses antécédents et ses allergies, les actes importants réalisés et les médicaments prescrits et délivrés au patient. Mis en place il y a quelques années, il n’avait pas connu à l’époque un franc succès car les usages n’étaient pas encore assez développés. En effet, les médecins par exemple n’avaient pas la même pratique des systèmes d’informations qu’aujourd’hui. Mais à présent, la société est devenue « hyper connectée » et les usages ont évolué, laissant même place à l’hyper-connexion en tout lieu et à toute heure.

Le secteur de la santé dans le domaine du numérique est l’un des secteurs les plus concernés par cette évolution des usages. Toutefois, il peut apparaître complexe à comprendre au regard de la distinction des termes : il devient difficile de faire la différence entre les dispositifs, les applications ou les objets connectés, de même que la distinction entre le bien-être, la santé ou l’exercice de la médecine. Les notions s’entrecroisent et semblent recouvrir la même réalité, alors que ce n’est pas le cas.

Ce schéma du « Libre Blanc « De la e-santé à la santé connectée » » permet de distinguer les notions.

La définition de chaque terme est importante, mais des abus de langage peuvent régulièrement être formulés, ce qui contribuent à obscurcir la différence entre chaque notion.

Concernant plus globalement la définition de la e-santé, les termes de « e-santé » ou de « santé en  ligne » désignent l'utilisation d’outils et de solutions basées sur les nouvelles technologies de l'information et de la communication (TIC) dans le secteur de la santé, pour faciliter et améliorer la prévention, le diagnostic, le traitement et le suivi médical ainsi que la gestion de la santé et du mode de vie.

Il s'agit d’outils et de solutions destinés tant aux autorités sanitaires qu’aux professionnels de la santé, ainsi qu’aux patients et citoyens tels que, par exemple, les réseaux d'information médicale, les dossiers médicaux électroniques, les services de télémédecine ou les portails sur la santé.

A présent, la notion de « e-santé » s’est banalisée et il est possible de retenir la définition suivante, à savoir que la e-santé est tout ce qui contribue à la transformation numérique du système de santé voir, au-delà du seul secteur santé, le médico-social.

Comme énoncé en introduction, le point commun entre tous ces secteurs économiques réside dans le fait qu’ils ont pour conséquence de créer, collecter et traiter des données, et a fortiori des données à caractère personnel de santé. C’est pourquoi un cadre juridique doit nécessairement être adopté et respecté afin de protéger efficacement et durablement les données à caractère personnel des personnes.

Ainsi, à titre non exhaustif, il est primordial de garantir :

-    Le respect de la vie privée des utilisateurs ;

-    L’intégrité et l’accès aux données ;

-    Une utilisation avec le consentement éclairé de la personne.

Un autre point doit être envisagé, celui du secteur spécifique des dispositifs médicaux.

En effet, il est important de faire la différence entre la qualification d’un objet en dispositif médical ou en objet connecté.

La qualification d’un objet connecté ou d’un dispositif médical dépend de l’usage qui est envisagé pour l’objet. Ainsi, c’est sa finalité quant à son usage et la volonté du fabricant qui détermine la qualification de l’objet en objet connecté ou en dispositif médical.

Toutefois, afin d’instaurer un cadre plus clair en la matière, une nouvelle règlementation européenne vient d’être adopté le 5 avril 2017.

Selon cette règlementation, un dispositif médical « désigne tout instrument, appareil, logiciel, implant, réactif, matière ou tout autre produit destiné par le fabricant à être utilisé, seul ou en combinaison, chez l’Homme, à des fins médicales suivantes :

- diagnostic, prévention, surveillance, prédiction, pronostic, traitement ou atténuation de la maladie,

-    diagnostic, suivi, traitement, atténuation ou compensation d'une blessure ou d'un handicap,

-    enquête, remplacement ou modification de l'anatomie ou d'un processus ou état physiologique ou pathologique,

-    fournir des informations au moyen d'un examen in vitro des échantillons prélevés du corps humain, y compris les dons d'organes, de sang et de tissus,

Et qui n'atteint pas son principal objectif d'action par des moyens pharmacologiques, immunologiques ou métaboliques, dans ou sur le corps humain, mais qui peut être assisté dans sa fonction par de tels moyens.

Les produits suivants sont également considérés comme des dispositifs médicaux:

-    dispositifs de contrôle ou de support de conception;

-    produits spécifiquement destinés au nettoyage, à la désinfection ou à la stérilisation des dispositifs visés à l'article 1, paragraphe 4, et à ceux visés au premier paragraphe de ce point. ».

Pour en revenir à « l’IoT » (« Internet of Things »), il faut noter que l’accès aux objets connectés de santé est à la portée de tous, puisqu’ils sont distribués dans des enseignes « standards », ce qui contribue à flouter la frontière déjà poreuse entre les dispositifs médicaux et les objets plus

« gadgets ».

L’utilisation de ces objets n’est pas sans présenter de danger pour les droits et libertés des personnes concernées. En effet, le développement rapide de ces nouveaux usages génèrent des risques qui portent notamment sur :

-    Le respect du droit des données à caractère personnel : l’obligation d’information, la confidentialité, le consentement, etc. ;

-    Le dysfonctionnement des objets connectés ;

-    Les failles de sécurité des produits et des applications.

D’autant plus que dès lors de ces informations sont associés à l’identité d’un patient, elles sont considérées comme une donnée de santé et donc soumises à la règlementation sur les données de santé à caractère personnel.

Or, les applications de santé se révèlent souvent peu transparentes sur le traitement des données collectées, alors que les données de santé sont des données sensibles. C’est ainsi que

de multiples études3 ont révélées que soit les applications ne fournissaient aucune information sur le

traitement des données réalisé, soit que cette information s’avérait difficilement accessible et/ou incomplète. Le constat est donc alarmant !

De plus, les applications et objets connectés n’échappent pas à une crainte répandue dans le domaine du numérique, celle de la sécurité. En effet, la vulnérabilité de certains systèmes d’information peut induire des failles de sécurité importantes, permettant de craindre une introduction non autorisée dans les systèmes d’information.

Les objets connectés s’avèrent être de véritables passoires en matière de sécurité !

A titre d’exemple, une étude a été menée par le grand constructeur américain HP Forfity, qui a démontré qu’il existait pas moins de 250 vulnérabilités au sein de 10 objets connectés populaires, ces failles se situant le plus souvent au niveau du traitement et de la transmission des données à caractère personnel. Ces failles de sécurité peuvent alors permettre aux hackers de récupérer les données sensibles sur les utilisateurs de ces objets et applications.

Ces failles de sécurité peuvent conduire à un vol, une copie des données récoltées etc., qui constitue une atteinte à la vie privée des personnes concernées. Dans un secteur aussi sensible que celui de la santé, il est donc impératif que des mesures de sécurité, adaptées à la nature des données et aux risques présentés par le traitement et/ou l’objet, soient prises dans les plus brefs délais, afin de préserver notamment le secret médical.

Les pratiques des « hackets » sont sanctionnées par la loi, notamment grâce à la loi Godfrain relative à la fraude informatique du 5 janvier 1988 qui a été la première loi française a réprimander les actes de criminalité et le piratage informatiques. Toutefois, en réalité, une fois que les données ont été volées, elles peuvent être dupliquées à l’infini et le dommage ne pourra jamais être réparé.

Il est donc urgent que les organismes concernés assurent un niveau de sécurité suffisant. Mais à première vue, il reste encore beaucoup de travail à faire en la matière, même si une prise de conscience semble se dessiner avec l’entrée en vigueur du Règlement le 25 mai 2018.

En effet, le Règlement prend notamment en compte la sécurité des données à caractère personnel, avec l’article 32 qui dispose que « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). ».

Section 2 : Le régime juridique applicable aux traitements des données de santé à caractère personnel

Les traitements de données à caractère personnel sont soumis à la Loi Informatique et Libertés et au Règlement. Toutefois, puisque les données de santé sont des données sensibles, elles obéissent à un régime spécifique et requièrent que les responsables de traitement respectent de strictes obligations au regard de la nouvelle règlementation européenne. 

§1 : Les grands principes du droit des données à caractère personnel : les « règles d’or » de la CNIL

Les « règles d’or de la CNIL » désignent les cinq principes les plus élémentaires à respecter en cas de traitement de données à caractère personnel.

Ces principes sont au nombre de cinq (5) :

-    Le principe de loyauté ;

-    Le principe de finalité ;

-    Le principe de proportionnalité/ de pertinence ;

-    Le principe d’exactitude ;

-    Le principe de durée de conservation.

Le respect de l’ensemble de ces principes vise à concourir à la qualité du traitement des données à caractère personnel et à diminuer les risques d’atteinte à la vie privée des individus concernés.

A/ Le principe de loyauté

Le principe de loyauté signifie qu’il ne faut pas obtenir les données à l’insu des personnes, sans les  avoir préalablement informé de la collecte et du traitement réalisés.

Cette notion doit donc être mise en corrélation avec le consentement. En effet, toute personne doit avoir consenti à ce que ses données soient collectées et traitées, de manière expresse. Toutefois, l’article 7 de la Loi Informatique et Libertés est relativement complexe, puisqu’il pose un principe et cinq (5) d’exceptions.

B/ Principe de finalité

L’obligation d’inscrire la finalité est doublement utile : elle permet d’informer la personne concernée du but du traitement et oblige ensuite le responsable de traitement à ne pas s’en détourner par la suite, afin d’éviter tout détournement de fichiers de données à caractère personnel.

C/ Principe de proportionnalité/de pertinence

Le principe de proportionnalité implique que les responsables de traitement demandent uniquement des données pertinentes, ce qui peut s’avérer particulièrement difficile dans le domaine de la santé. C’est est un principe transversal qui signifie qu’il faut adapter les objectifs et les moyens utilisés.

D/ Principe d’exactitude

Les données doivent être exactes, complètes et à jour. Si les données sont inexactes ou devenues inexactes, elles doivent être rectifiées et si un individu ne veut plus être dans un fichier, les données doivent pouvoir être effacées.

E/ Principe de durée de conservation

La Loi Informatique et Libertés a choisi de ne pas indiquer de durée fixe, afin d’apporter davantage de souplesse. Toutefois, cela ne doit pas être confondu avec un délai de conservation illimitée, car ce n’est pas le cas. La durée de conservation des données doit toujours être déterminée en fonction des finalités du traitement.

§2 : Le régime spécifique des données sensibles

Conformément à l’article 8 de la Loi Informatique et Libertés, la collecte et le traitement de données sensibles est en principe interdit, sauf exceptions listées à l’alinéa II de cet article.

Les données sensibles obéissent à un régime spécifique afin de leur assurer davantage de protection au regard de la particulière sensibilité des sujets qu’elles traitent puisqu’elles concernent « les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle » des personnes.

Article 8 de la Loi Informatique et Libertés :

« I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II.  - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;

6° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;

8° Les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé selon les modalités prévues au chapitre IX.

- Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions du chapitre IX ne sont pas applicables. ».

L’article 9 du Règlement « Traitement portant sur des catégories particulières de données » reprend la même philosophie des dispositions de l’article 8 de la Loi Informatique et Libertés.

Ces articles doivent être mis en parallèle avec l’article L.1110-4 I du Code de la santé publique, modifiée par la Loi du 26 janvier 2016.

La définition très large des catégories de professionnels susceptibles d’intervenir dans la prise en charge sanitaire d’une personne s’articule désormais avec la définition de la donnée de santé au sens du Règlement;

Afin d’éviter notamment des détournements de finalité, il est donc nécessaire de mettre en place des règles encore plus protectrices que pour les données « classiques », avec des mesures de protection accrues.

Le chapitre IX de la Loi Informatique et Libertés (article 53 à 61) - qui a fait l’objet d’une révision suite à l’adoption de la Loi du 26 janvier 2016 - traite spécialement des traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.

L’article 193 de la Loi du 26 janvier 2016 est un article essentiel en la matière puisqu’il « crée les conditions permettant un accès ouvert aux données de santé via5 :

-    Une mise en cohérence du régime d’autorisation de traitement de données à caractère personnel

dans le cadre des recherches, études et évaluations dans le domaine de la santé ;

-    La création du système national des données de santé (SNDS) qui rassemble différentes bases médico-administratives et dont les données sont sujettes à des conditions d’accès et de sécurité particulières ;

-    La création de l’Institut National des données de santé (INDS) qui veille à la qualité des données de

santé et en facilite l’accès et l’utilisation dans des conditions de sécurité adéquates. ».

Ainsi, en fonction des finalités du traitement, le régime juridique applicable au traitement de données pourra connaître des divergences.

Dans tous les cas, les organismes concernés doivent prendre des mesures afin d’assurer leur mise en conformité au regard de la Loi Informatique et Libertés mais aussi du Règlement qui prévoit d’autres obligations pour la collecte et le traitement de données de santé à caractère personnel, toujours dans cette l’optique d’assurer davantage la protection et la sécurité desdites données.

§3 : Le renforcement et la création de nouveaux droits par le Règlement

Le Règlement modifie de façon substantielle l’approche de la protection des données à caractère personnel. En effet, le Règlement induit la disparition de nombreuses formalités auprès de la CNIL en contrepartie du renforcement de la responsabilité des organismes. Ainsi, ces derniers devront assurer une protection optimale des données et être en mesure de la démontrer en documentant leur conformité.

A/ Les principes directeurs de « privacy by design » et « d’accountability »

Le Règlement instaure deux principes directeurs : le principe de « privacy by design » et le principe « d’accountability ».

Le principe de « privacy by design » désigne l’obligation de protéger la vie privée dès la conception du produit ou du service, afin d’anticiper tous les risques liés au traitement de données à caractère personnel, via l’adoption de mesures productives destinées à rendre l’individu maître de ses données. Pour respecter ce principe, le responsable de traitement devra notamment minimiser l’utilisation des données en, par exemple, se limitant aux données strictement nécessaires à l’utilisation de la technologie, en limitant le volume des données traitées ou encore en privilégiant l’anonymisation ou la pseudonymisation des données, etc.

Le principe « d’accountability » quant à lui constitue un véritable système de gouvernance afin de prévenir et limiter les atteintes au droit des données à caractère personnel. Ce principe consiste à établir un ensemble de normes adaptées au secteur d’activité, qui va définir les règles à respecter d’une manière transversale, à tous les niveaux de l’entreprise.

Le secteur de la santé n’échappe pas à ces principes directeurs du nouveau droit des données à caractère personnel, mais les spécificités propres à chaque pays continueront de relever pour partie du droit national de chaque Etat membre (considérant 53 du Règlement).

Considérant 53 du Règlement :

« Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données. ».

B/ La sécurité des traitements de données à caractère personnel

Le secteur de la santé n’est pas exempt d’un autre principe essentiel dans le domaine du droit des données à caractère personnel qui est la sécurité des traitements de données réalisés. Ainsi, le responsable de traitement de données de santé doit mettre en oeuvre des mesures techniques et organisationnelles de sécurité qui tiennent compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

En cas violation de données, conformément aux articles 33 et 34 du Règlement, le responsable de traitement devra notifier la faille de sécurité auprès de l’autorité de contrôle compétente, soit en France la Commission Nationale de l’Informatique et des Libertés (la « CNIL »), dans les meilleurs délais, et si possible 72 heures après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, ce qui est difficilement envisageable dans le secteur de la santé.

Si la faille de sécurité est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement pourra être amené à communiquer ladite faille à la personne concernée dans les meilleurs délais.

Le but de cette obligation est d’apporter davantage de sécurité, de transparence et de traçabilité dans les traitements de données à caractère personnel. Ainsi, les organismes concernés doivent 

anticiper la survenance de failles de sécurité, ce qui, par un cercle vertueux, permet de les éviter (du moins au maximum). Il est donc essentiel de mettre en place une politique de sécurité des systèmes d’information adaptée et sérieuse pour renforcer la cybersécurité des organismes concernés.

La sécurité est un point fondamental pour les organismes exerçant dans le domaine de la santé. En effet, d’après l’article « « 4P » pour faire décoller l’e-santé » de Jean-François Poletti, « une plus grande clarté sur l’usage qui sera fait de leurs données apparaît nécessaire aux Français, qui sont même 62 % à juger « indispensable » la création d’un label sur les applications d’e-santé pour garantir leur sécurité et leur conformité à la réglementation. La transparence est de mise : montrer en quoi le service rendu justifie le partage de données, et comment ces dernières sont protégées. ».

Par ce biais, le Règlement a donc vocation à lutter efficacement et durablement contre la cybercriminalité, en essayant de responsabiliser au maximum les entreprises et les organismes privés et publics.

C/ Les études d’impact

Conformément au droit applicable, le responsable de traitement donc prendre toutes les précautions pour préserver la sécurité des données à caractère personnel. Celui-ci doit donc identifier les risques engendrés par le traitement, avant de déterminer les moyens adéquats pour les réduire. Pour se faire, le responsable de traitement peut donc réaliser une étude d’impact.

En effet, l’étude d’impact sur la protection des données à caractère personnel permet :

-    De créer un traitement de données ou un produit qui respecte la vie privée des individus ;

-    D’apprécier les impacts de ce dernier sur la vie privée des personnes concernées ;

-    De démontrer que le droit des données à caractère personnel est respecté.

Ainsi, au regard de l’article 35 du Règlement, il est opportun de mener des études d’impact dans le secteur de la santé puisque les traitements de données notamment sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques.

Il conviendra alors d’établir une étude d’impact, qui devra contenir :

-    Une description du traitement et de ses finalités ;

-    Une évaluation de la nécessité et de la proportionnalité du traitement ;

-    Une appréciation des risques sur les droits et libertés des personnes concernées ;

Les mesures envisagées pour traiter ces risques et se conformer au Règlement.

D/ Le « Data Protection Officer »

Le Data Protection Officer (dénommé ci-après le « DPO ») est le personnage central du Règlement : d’ailleurs, trois articles lui sont consacrés, les articles 37, 38 et 39.

Le DPO est une personne interne ou externe à l’organisme (privé ou public), chargée de mettre en oeuvre des mesures permettant de satisfaire à la conformité du droit des données à caractère personnel concernant les traitements de données réalisés au sein de l’organisme.

Selon les cas, sa désignation peut s’avérer obligatoire ou facultative.

En dehors des cas énoncé dans l’article 37 du Règlement, la désignation d’un DPO reste tout de même conseillée par le G29, car elle permet de confier à une personne de confiance, la conformité des traitements effectués au regard du droit des données à caractère personnel.

Dans le domaine de la santé, la désignation d’un DPO est donc obligatoire.

L’article 39 énonce ensuite, d’une manière non exhaustive, les missions du DPO.

Vous pouvez consulter la partie 2 de ce dossier ici !

Un dossier rédigé par Sophie Girard.