Traitement de données de santé à caractère personnel
Identifiez les formalités requises pour les traitements de données de santé à caractère personnel.
Pour bien commencer
Il convient de se référer au règlement général sur la protection des données (RGPD) qui définit les données à caractère personnel de santé comme l'ensemble des données se rapportant à l'état de santé d'une personne, qui révèlent des informations sur son état de santé physique ou mentale passé, présent ou futur.
En cas de traitement (collecte, stockage, etc.) de ces données, et ce quel que soit le procédé utilisé, il est essentiel de respecter la règlementation applicable.
Pour certains traitements de données de santé, un régime de formalités préalables à la mise en œuvre du traitement est prévu par la loi.
En pratique
Consultez la fiche de la CNIL sur les formalités pour les traitements de données de santé à caractère personnel.
Quand ?
Dès la conception de votre service numérique
Conformité
Règlement général sur la protection des données
Consultez le RGPD
Loi "Informatique et Libertés"
Règlementations sectorielles (code de la santé publique, code de la sécurité sociale…)
Questions fréquentes
Documentation
Nos experts sur le sujet
- Hélène GUIMIOT-BREAUD – Cheffe du service de la santé
- En cas de questions, vous pouvez contacter la permanence téléphonique du service de la santé de la CNIL le lundi matin de 9h30 à 12h) ou effectuer une demande de conseil par écrit sur le site internet de la CNIL.
S'orienter dans la doctrine technique
La doctrine technique présente les actions de la feuille de route ministérielle du virage numérique.
Le traitement des données de santé à caractère personnel :
Les données de santé sont des données à caractère personnel considérées comme précieuses et sensibles. Celles-ci font l’objet de réglementations à prendre en compte dès la conception de votre service numérique ou dans le cadre de vos travaux de recherche en cas de collecte, stockage ou autre forme de traitement de ces données.
En matière de législation, vous pouvez vous référer en particulier : au Règlement Général sur la Protection des Données (RGPD) à l’échelle européenne, et à la loi Informatique et Libertés ainsi qu’au code de la santé publique et au code de la sécurité sociale à l’échelle française.
Entré en vigueur en mai 2018, le RGPD est une réglementation européenne qui vise à renforcer et à harmoniser la protection des données personnelles des individus au sein de l'Union européenne. Il s'applique à tous les organismes qui effectuent des traitements sur des données à caractère personnel situés sur le territoire de l’UE ou ciblant des personnes présentes sur le territoire de l’UE.
Pour protéger les droits des usagers et la confidentialité de la relation patient-soignant, le cadre réglementaire lié au numérique en santé est spécifique : Il existe un RGPD Données sensibles, qui correspond au Règlement Général sur la Protection des Données appliqué au secteur de la santé.
Les données concernant la santé sont des données relatives à l’état de santé d’une personne, c’est pourquoi leurs traitements sont rigoureusement encadrés.
La notion de données de santé comprend trois catégories de données :
- celles qui sont des données de santé par nature comme des faits antérieurs concernant la santé du patient ou d’une personne de sa famille tels que les maladies ou encore les traitements entrepris, etc.
- celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé car elles induisent une conclusion plausible sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
- celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
Le RGPD vise à renforcer les droits des personnes et à responsabiliser les acteurs. En cas de traitements de données, les responsables de traitement des organismes doivent donc constamment être en mesure de démontrer sa conformité aux exigences du RGPD en justifiant l’ensemble des démarches effectuées ou en cours.
La protection des données de santé repose sur un principe d’interdiction de traitement accompagné d’exceptions. L’article 9 du Règlement sur la Protection des Données indique que le traitement des données de santé est interdit sauf exception particulière l’autorisant. Une liste des exceptions permettant le traitement des données sensibles est érigée à l’article 9 § 2 du RGPD.
Le Comité européen de la protection des données (CEPD) a pour objectif de veiller à l’application du RGPD au sein des organismes des pays membres de l’Union européenne. Il publie des avis et des lignes directrices afin de faire suite au travail d’élaboration de la doctrine commune des autorités de protection des données. Les organismes doivent constamment être en mesure de démontrer leur conformité aux exigences du RGPD pour assurer la protection des droits des personnes. Ainsi, la loi Informatique et Libertés le décline au droit français en appliquant la marge de manœuvre nationale.
Le code de la santé publique et le code de la sécurité sociale traitent des questions propres à ces secteurs. L’article L. 1110-4 du code de la santé publique fait notamment état des catégories de professionnels pouvant intervenir dans le traitement des données de santé à caractère personnel.
Comment G_NIUS peut m’aider à comprendre les exigences réglementaires liées aux traitements des données de santé ?
G_NIUS vous fait gagner du temps, d’une part en vous orientant vers les acteurs et les textes de loi et réglementations applicables et, d’autre part, en vous proposant des outils pour vous aider à identifier les formalités requises pour les traitements de données de santé.
La CNIL (Commission Nationale de l'Informatique et des Libertés) est ici un acteur incontournable étant donné sa mission de défense des données personnelles, d’accompagnement de l’innovation. La CNIL joue un rôle crucial dans la préservation de la liberté individuelle.
G_NIUS vous propose de consulter la fiche de la CNIL pour comprendre quelles formalités appliquer si vous traitez des données de santé à caractère personnel.
La partie sur la CNIL peut notamment vous renseigner sur la nécessité de mettre en place un registre des traitements, de mener des analyses d’impact, de veiller à encadrer l’information des patients et usagers, de formaliser les rôles et responsabilités du responsable de traitement, de renseigner les actions menées pour garantir la sécurité des données, etc.
G_NIUS vous invite également à consulter les textes à appliquer pour être en conformité lorsque vous traitez des données : le RGPD, la Loi Informatique et Libertés, le Décret Informatique et Libertés ainsi que diverses réglementations sectorielles.
Enfin, G_NIUS met à votre disposition 3 outils pour vous faire gagner du temps : le diagnostic réglementaire pour identifier la réglementation à laquelle est soumise votre solution, la fiche RGPD Données sensibles pour décrypter la réglementation spécifique à ces données et des épisodes de son podcast 100 jours pour réussir en lien avec les questions de traitement des données de santé et de conformité avec la CNIL.
L’outil diagnostic réglementaire proposé par G_NIUS se matérialise via la possibilité d’effectuer deux types de diagnostic : un diagnostic « finalité de mon service » qui permet d’identifier si votre service est soumis à la réglementation des dispositifs médicaux (DM) et un diagnostic « données et traitement », qui permet d’identifier si votre service est soumis aux sujets réglementaires notamment liés au traitement des données de santé.
Pour compléter ces diagnostics, il est important de consulter les réglementations spécifiques relatives à votre projet comme par exemple le Code de déontologie du Conseil National de l’Ordre des Médecins (CNOM) et le Code de la Santé Publique (CSP).
Par ailleurs, G_NIUS vous pointe de la documentation en lien avec vos enjeux de traitement des données de santé à caractère personnel comme, par exemple, le MOOC de la CNIL sur le Règlement Général sur la Protection des Données.
Au-delà des aspects de traitement des données de santé, vous pouvez retrouver sur G_NIUS la boussole de la doctrine qui fait état des actions de la feuille de route ministérielle du virage numérique « Mettre le numérique au service de la santé » sur la période 2023-2027.