La RGPD et les établissements de santé

« Traitement des données de santé : une logique de responsabilisation accrue et de contrôle des acteurs »1

Le 14 avril 2016, après quatre années de négociation entre les 28 États Membres de l’Union Européenne, le Règlement Général sur la Protection des Données (RGPD) a été adopté.

Il entre en vigueur et devient directement applicable à partir du 25 mai 2018. Il vient donc remplacer la directive sur la protection des données personnelles adoptée en 1995. Il permettra de constituer un cadre juridique harmonisé au sein de l’Union Européenne. Son adoption va faire disparaitre le morcèlement des lois nationales propres à chacun des pays membres concernant la protection des données.

C’est donc un texte qui va impacter toutes les entreprises qui utilisent de la donnée2 , que ce soit des données liées à l’activité de l’organisme mais également au personnel de cette même entreprise.

1. Les nouvelles obligations

Le consentement explicite

L’une des principales exigences de la nouvelle réglementation concerne le consentement des individus au recueil et au traitement de leurs données. Cela signifie que les organisations devront désormais avoir le « consentement explicite » de la part des individus concernés pour pouvoir traiter leurs données à caractère personnel.

Dans la perspective de l’entrée en application de ce texte, la CNIL a décidé d’appliquer ces principes au traitement des données de santé[…].Cette évolution s’inscrit dans la philosophie générale portée par le règlement européen sur la protection des données qui confère au consentement des personnes concernées une place particulière dans la maîtrise de leurs données, favorise une responsabilisation accrue des acteurs et renforce le contrôle en aval par la CNIL.

Outre les obligations concernant le recueil des données, d’autres obligations vont voir le jour :

  • La nomination d’un délégué à la protection des données : Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
  • Droit à la portabilité : Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles.
  • Droit à l’oubli : Le droit au déréférencement permet de demander à un moteur de recherche de supprimer certains résultats de recherche associés à des données personnelles.
  • La protection dès la conception et par défaut : Tout système d’information, base de données ou autre méthode de collecte de données doit prendre en compte la notion du respect de la vie privée dès sa conception.

2. La mise en œuvre et le contrôle

La CNIL se montrera égalementparticulièrement vigilante sur les conditions de mise en œuvre des traitements de données de santé, notamment afin que le recueil du consentement s’effectue dans le cadre de la délivrance d’une information de qualité.  Elle renforcera également son contrôle en aval, afin de s’assurer du respect effectif de ses préconisations.

Si les organismes, dont les établissements de santé, se doivent d’appliquer ces nouvelles obligations, ils doivent être en mesure de prouver leurs mises en œuvre.

Par exemple, les organismes se doivent de conserver une preuve informatique de la conformité du recueil de la donnée, via une date de création, le support utilisé, etc.

Afin d’évaluer les dispositifs à instaurer, les établissements sont invités à réaliser une « étude d’impact » :

  1. Description du traitement
  2. Evaluation de son utilité
  3. Evaluation de son niveau de conformité avec la réglementation
  4. Evaluation des risques associés au traitement de la donnée
  5. Recommandations sur les mesures à mettre en place
  6. Rédaction de la documentation
  7. Suivi de la mise en conformité

L’étude d’impact sera obligatoire uniquement pour les traitements mis en œuvre après l’entrée en application du RGPD. Pour les traitements précédents, cette étude est « conseillée ».

3. Ce qui est prévu pour les GHT qui ne sont pas des personnalités morales3

Dans le cadre des GHT, l’établissement support est susceptible de centraliser et de rendre commun le système d’informations hospitalier, et donc des données de santé qui seront partagées, et unifiées grâce au dossier patient informatisé.

L’établissement support du GHT doit s’assurer de la sécurité, dans le cadre de la gestion du système d’information. Il doit adopter les mesures techniques de nature à assurer le respect des obligations découlant de la loi Informatique et Libertés.

L’établissement support doit donc assumer la sécurité des données, notamment concernant les aspects de gestion des droits d’accès et de modification de l’ensemble du système d’informations hospitalier.

S’il héberge les données, il devra se plier à l’article L. 1111-8 du code de la santé publique4 :

  • La prestation d’hébergement, quel qu’en soit le support, fait l’objet d’un contrat.
  • L’agrément de l’hébergeur est soumis à des modèles de contrat contenant les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne mises en place.
  • Seules peuvent accéder aux données ayant fait l’objet d’un hébergement les personnes physiques ou morales à l’origine de la production de soins ou de leur recueil et qui sont désignées par les personnes concernées.
  • Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d’eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d’autres fins. Ils ne peuvent les transmettre à d’autres personnes que celles qui les leur ont confiées.
  • Lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie.
  • Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.
  • Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d’hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l’Inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.

La responsabilité

Dans tous les cas, même si l’établissement support est responsable du système d’information du GHT, l’ensemble des établissements « parties » est soumis aux formalités relatives au traitement des données de santé pour son propre organisme.

Dans le cadre d’un GHT, chaque établissement « partie » devra désigner un Délégué à la Protection des Données pour son propre organisme. En revanche, au niveau de l’entité GHT, le DPO pourra être mutualisé, et choisi par les établissements « parties ».

La création d’un département de l’information médicale de territoire conduit l’établissement support du GHT à désigner un médecin DIM de territoireCe dernier a accès aux données de tous les établissements parties.

Enfin, concernant le traitement des données du PMSI, aucune nouvelle démarche n’est à accomplir si l’analyse est effectuée par établissement de façon indépendante. Si au contraire l’analyse est réalisée pour l’ensemble du GHT, il faut que celle-ci fasse l’objet d’une nouvelle déclaration normale auprès de la CNIL.

 

1Source : CNIL https://www.cnil.fr/fr/traitement-des-donnees-de-sante-une-logique-de-simplification-et-de-responsabilisation-accrue-des

2Source : CNIL https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1

3Source : CNIL https://www.cnil.fr/fr/groupement-hospitalier-de-territoire-et-protection-des-donnees-de-sante-quelles-questions-se-posent

4Source : Legifrance https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000021941353&cidTexte=LEGITEXT000006072665

 

Article rédigé conjointement avec MEDIANE

Laisser un commentaire