RGPD : Tout savoir sur le traitement des données de santé

Données personnelles relatives à la santé : les précisions du Conseil de l’Europe et la CEPD.

Les données de santé sont diverses et posent des enjeux majeurs, qui ne cessent de prendre de l’importance. D’une part en raison du développement des technologies qui permettent des traitements de plus en plus importants, et des problématiques de vie privée que le traitement de ces données pose (à qui sont-elles destinées, existence d’une finalité ultérieure, gestion du recueil du consentement, etc.). D’autre part, car leur traitement est d’autant plus d’actualité en raison du développement, par le Gouvernement, de nouveaux outils de lutte contre la propagation de la Covid-19.

L’idée est de faire un état des lieux de la législation entourant les données de santé, en revenant notamment sur les lignes directrices du Conseil de l’Europe du 27 Mars 2019 encadrant le traitement des données de santé. Ces lignes directrices viennent étendre les principes énoncés dans l’avis rendu le 23 janvier 2019 par le Comité Européen de la Protection des Données (CEPD) sur l’interaction entre le CTR et le RGPD.

Qu’est-ce qu’une donnée de santé ?

Le RGPD donne une définition large des données de santé, qualifiées de données relatives à la santé physique ou mentale (passée, actuelle ou future) d’une personne physique, révélant des informations sur l’état de santé de cette même personne.

Sont considérées comme données personnelles relative à la santé :

• Les données de santé par nature : les antécédents médicaux, une éventuelle maladie, la réalisation d’une prestation de soin, etc.
• Les données qui deviennent des données de santé à la suite d’un croisement avec d’autres données : par exemple : croisement d’une mesure de poids avec d’autres données telles que le nombre de pas ou la mesure des apports caloriques
• Les données qui deviennent des données de santé en raison de leur destination, c’est-à-dire de leur utilisation sur le plan médical

La protection des données de santé

Un principe d’interdiction de traitement…

Les données de santé sont protégées par la loi Informatique et Liberté, le RGPD et le code de la santé publique.

La loi Informatique et Libertés dispose que les données de santé sont particulières et leur traitement interdit sauf exception particulière l’autorisant. Construit sur le même format, l’article 9 du RGPD impose également une interdiction complétée par des exceptions.

Assortis d’exceptions :

L’article 9 § 2 du RGPD établit une liste d’exceptions permettant le traitement des données sensibles, dont les données de santé.

De la même façon, l’article 9 §3 du Règlement dispose que « les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ».

A ce titre, l’article L. 1110-4 du code de la santé publique précise quant à lui quelles catégories de professionnels sont susceptibles d’avoir un rôle à jouer dans le traitement des données. Il est ainsi indispensable de lire le RGPD à la lumière des articles du Code de la Santé Publique.

Le secteur de la santé étant ainsi particulièrement impacté par le RGPD, le traitement des données de santé a été précisé par le Conseil de l’Europe et par le CEPD.

Interactions RGPD – Règlement relatif aux essais cliniques ( CTR)

L’encadrement éthique et réglementaire des essais cliniques en Europe repose sur la directive 2001/20/CE du 4 Avril 2001.Cependant, afin de simplifier et d’harmoniser les réglementations relatives aux essais cliniques,  le règlement (536/2014) relatifs à ces derniers (CTR) a été mis en place.

Un avis explicatif a par la suite été publié par le CEPD afin de clarifier les champs d’application respectifs et les différentes interactions entre le RGPD et le CTR. La nature des traitements de données relatifs aux essais cliniques y est ainsi précisée et l’utilisation des données de santé y est expliquée.

Ces deux textes n’ont pas vocation à être opposés, mais à être lus en parallèle.

Le CEPD différencie ainsi :

• l’utilisation première des données de leur utilisation secondaire ;
• parmi les utilisations premières, les actions relatives à la recherche des traitements liés à la protection de la santé (en s’assurant par exemple du bon respect des normes sanitaires)

Les méthodologies de référence dans le domaine de la recherche

A l’heure actuelle, deux régimes de formalités à réaliser auprès de la CNIL subsistent en matière de données de santé. Notamment un régime d’autorisation pour les traitements automatisés, dont la finalité devient la recherche ou les études dans le domaine de la santé.

Toutefois, la CNIL élabore des référentiels, et des méthodologies de référence pour guider les responsables de traitement. Dès lors que l’un de ces traitements est conforme en tout point à une méthodologie de référence (MR) élaborée par la CNIL, il peut être mis en œuvre sans autorisation de la CNIL, à condition que le Responsable de Traitement adresse au préalable une déclaration d’attestation de la conformité du traitement.

Il existe aujourd’hui, en matière de recherche notamment 5 méthodologies de référence qui doivent être appliquées par les promoteurs de recherche traitant des données dans le cadre d’une recherche dans le domaine de la santé.

Etat des lieux des MR 

• Les MR-001 et MR-003 concernant les recherches impliquant la personne humaine
• La MR-004 concernant les recherches n’impliquant pas la personne humaine
• Les MR-005 et MR-006 permettant l’accès aux données du PMSI (Programme de médicalisation des systèmes d’information) par les établissements de santé, les fédérations industrielles du secteur de la santé aux fins de réaliser des études dans des conditions strictes de sécurité et confidentialité.

Quelles sont les principales nouveautés des MR ?

• L’obligation, pour le responsable de traitement, de désigner un DPO
• Délivrer une information conforme aux articles 13 et 14 du RGPD ;
• La possibilité de traitement de données identifiantes par des sous-traitants du responsable de traitement sous certaines conditions et pour des missions précises.

Les référentiels non contraignants

En Juillet 2020, la CNIL a adopté trois nouveaux référentiels dans le but d’aider les responsables de traitement concernés dans la gestion de données de santé, plus précisément les cabinets médicaux et paramédicaux.

Un référentiel pour encadrer la gestion des traitements courants des cabinets médicaux et paramédicaux, afin d’aider les professionnels de santé libéraux dans leur démarche de mise en conformité : sont concernés par ce référentiel les professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou bien les maisons de santé.

Ce référentiel n’est cependant pas contraignant. Le responsable de traitement peut tout à fait s’en écarter, à condition de justifier son choix.

De plus, la CNIL a élaboré deux autres référentiels pour guider les responsables de traitement dans l’établissement de la durée de conservation des données.

• Un référentiel visant le traitement de données dans le domaine de la santé, hors recherche
• Un référentiel visant le traitement de données mis en œuvre à des fins de recherche, d’étude et d’évaluation dans le domaine de la santé

Ces deux derniers référentiels publiés par la CNIL constituent une aide à la prise de décision, et orientent le responsable de traitement dans la fixation de la durée de conservation des données.

COVID-19 : Le traitement de données de santé dans le cadre de la lutte contre l’épidémie

A l’heure de la lutte contre l’épidémie de Covid-19, la problématique de traitement des données de santé est plus que jamais d’actualité. D’une part parce que des pratiques jusqu’à présent rares, comme les téléconsultations, ont connu à l’occasion des périodes de confinement, une indubitable intensification et sont devenues tout à fait courantes. D’autre part, car pour enrayer l’épidémie, le Gouvernement a mis en place de nombreux outils et fichiers, traitant des données de santé des français, à savoir :

• Le fichier SI-DEP qui centralise les résultats des tests effectués en laboratoires privés et publics
• Le fichier « Contact Covid » tenu par la CNAM
• L’application TousAntiCovid

Afin d’effectuer un traitement de données en conformité avec la Réglementation européenne, l’exécutif a choisi de soumettre au Parlement tous les trimestres, un rapport détaillé de l’utilisation de ces mesures.

Un premier avis de la CNIL avait été rendu le 14 septembre 2020, dans lequel ont notamment été relevées des irrégularités de traitement de données dans le cadre de l’application StopCovid (l’ancienne application déployée par le gouvernement).

Très récemment, la CNIL a édité un nouvel avis, dans lequel elle relève concernant le fichier « Contact Covid » que des mauvaises pratiques persistent dans certaines Agences Régionales de Santé, et dénonce un manque d’homogénéité entre les ARS dans le traitement des données.

Une ARS a notamment été mise en demeure de se mettre en conformité dans un délai d’un mois, concernant notamment la durée de conservation des données et leur sécurité.

Enfin, s’agissant de l’application TousAntiCovid, la CNIL relève qu’il n’existe pas d’irrégularité à ce jour, et que le traitement de données effectué via l’application est fait en conformité avec la règlementation. En effet, il a été constaté qu’aucune donnée traitée dans le cadre de l’application TousAntiCovid ne fait l’objet d’un traitement sur un serveur central, ce qui s’inscrit dans le respect du principe de minimisation des données et de protection des données dès la conception et par défaut (privacy by design and by default).

Cependant, cette application ayant vocation à être mise à jour, d’autres avis sont donc à paraître, la CNIL restant particulièrement attentive aux suites de ce projet ainsi qu’aux conditions de mise en œuvre effectives du dispositif.