Le blog Exodata

Collecte des données de santé : qu'impose la loi ?

Rédigé par Laurent Fontaine | Sep 28, 2020 8:00:00 PM

Temps de lecture estimé : 18 minutes

Les données de santé sont des informations sensibles, ce qui explique pourquoi la loi encadre précisément leur collecte afin de protéger les droits des patients concernés. Si des simplifications ont été concédées au niveau de la déclaration de cette récupération d'informations, elles sont accompagnées de mesures spécifiques pour assurer une complète traçabilité.

De plus, si vous souhaitez confier l'hébergement de ces informations à des tiers, vous devrez obligatoirement passer par des hébergeurs certifiés HDS.

01. Comment sont définies les données de santé ?
02. Les obligations vis-à-vis des patients
03. Les changements législatifs concernant la collecte des informations médicales
04. L'hébergement des informations médicales par des tiers

01. Comment sont définies les données de santé ?

Ces informations sont relatives à l'état de santé mentale ou physique d'une personne et peuvent concerner l'état actuel, futur ou passé du patient.

Elles sont classées en 3 catégories :

  • informations dites « par destination » : seules, elles n'ont pas de caractère médical mais elles sont associées aux informations médicales pour former un ensemble cohérent. Il s'agit notamment du statut marital, du genre, etc.
  • informations « par nature » : elles informent sur l'état de santé des personnes comme par exemple la nature des maladies, les résultats d'analyses et d'examens, les prestations de soins, etc.
  • croisements d'informations : deux informations ou plus sont combinées pour donner une indication sur la santé alors que, prises séparément, elles n'apportent pas d'informations médicales.

En plus d'être personnelles, ces informations médicales ont aussi un caractère sensible, ce qui explique pourquoi elles sont soumises à une législation spécifique.

02. Les obligations vis-à-vis des patients

Pour la récupération d'informations médicales et donc sensibles, les droits des personnes concernées doivent être respectés. Un certain nombre d'informations très précises et définies par la CNIL doivent être transmises aux patients.

Parmi elles figurent l'identité et les coordonnées du responsable du traitement, les finalités du traitement, les éventuels destinataires dans le cas d'une transmission des informations, la durée de conservation, les droits d'accès, de rectification et d'effacement, le droit d'opposition au traitement, etc.

Si les informations sont transmises ou partagées, des formalités additionnelles s'appliquent et notamment le recueil du consentement préalable du patient, sachant que celui-ci a le droit de changer d'avis à tout moment.

03. Les changements législatifs concernant la collecte des informations médicales

Les traitements exemptés de déclaration auprès de la CNIL

Les traitements d'informations médicales ne requièrent plus de formalités auprès de la CNIL lorsqu'une des conditions suivantes est remplie :

  • si les traitements concernés ont pour objectif de sauver des vies humaines ;
  • si le patient a donné son consentement exprès ;
  • si les informations à caractère personnel ont été rendues publiques par le patient ;
  • si le but du traitement des informations est d'effectuer des recherches au sein d'un service (« en interne ») ;
  • si les informations servent aux organismes gérant l'assurance maladie de base ou complémentaire ;
  • si les traitements sont le fait de l'État, de la personne publique ou des Agences Régionales de Santé
  • si les traitements sont initiés par un professionnel de santé avec pour objectif de la médecine préventive, des diagnostics médicaux, des soins, des traitements ou la gestion de services de santé ;
  • si les informations servent dans le cadre du Programme de Médicalisation des Systèmes d'Information ;
  • si les traitements sont réalisés par des organismes ou des services investis d'une mission de service public dans le cadre d'une alerte sanitaire.

Cependant, pour ces types de traitements, il est tout de même nécessaire de procéder à une inscription dans votre registre des activités de traitement. Selon les cas, il vous faudra également réaliser une analyse d'impact.

Le principe de traçabilité

Vu que de nombreux traitements d'informations d'ordre médical ne sont plus soumis à des formalités préalables, le législateur considère qu'il incombe tout de même au responsable du traitement de pouvoir prouver la conformité des opérations avec le RGPD.

Pour cela, il est demandé de démontrer :

  • qu'un registre des traitements a été mis en place ;
  • qu'une étude d'impact a été réalisée si besoin ;
  • que les patients et les autres possibles intervenants ont été informés de leurs droits respectifs ;
  • que le rôle et les attributions du responsable du traitement ont été clairement définis ;
  • que des actions sont prises pour assurer la sécurité des informations ;
  • qu'un Délégué à la Protection des Données (DPO) a été désigné si nécessaire c'est-à-dire si l'activité de votre structure consiste à traiter à grande échelle des informations sensibles.

Quand faut-il réaliser une analyse d'impact ?

L'analyse d'impact est requise si le traitement peut éventuellement créer un « risque élevé » pour les libertés et les droits des personnes. Certains critères permettent d'évaluer le potentiel risque généré par un traitement :

  • Certaines informations sont-elles croisées ?
  • Des personnes vulnérables sont-elles concernées ?
  • S'agit-il d'un traitement à grande échelle ?
  • Y a-t-il une évaluation de l'état de santé des personnes ?
  • Des surveillances par géolocalisation sont-elles utilisées ?
  • Les informations sont-elles à caractère sensible ?
  • Le traitement peut-il amener à une décision automatique impactant significativement la personne ou une décision à effet juridique ?
  • L'utilisation est-elle novatrice ?
  • L'exécution du traitement peut-elle entraîner des conflits avec un contrat ou des droits des personnes concernées ?

La règle veut que si deux au moins des précédents critères sont remplis, une analyse d'impact soit nécessaire. Cependant, le responsable du traitement peut décider de mener l'étude d'impact même si son traitement répond à moins de deux critères. Inversement, il peut juger que l'étude d'impact n'est pas nécessaire même en répondant à deux critères voire plus mais il doit alors justifier sa décision.

Les situations exemptées d'obligation d'analyse d'impact

Même non soumis à l'obligation d'analyse d'impact, ces traitements doivent bien sûr être conformes aux conditions définies par le RGPD. Deux cas d'exemption existent. Tout d'abord, quand un traitement est similaire à un autre pour lequel une étude d'impact a déjà été réalisée. Ensuite, si un traitement a pour objectif de répondre à une obligation légale et qu'une étude d'impact a déjà été réalisée lors de l'adoption de la loi concernée.

04. L'hébergement des informations médicales par des tiers

Qui peut héberger ces fichiers dits sensibles ?

Si vous souhaitez que les informations médicales collectées par vos soins soient hébergées par un sous-traitant, la loi vous impose de choisir un prestataire possédant la certification ou l'agrément HDS. Ces entreprises ne peuvent conserver ces informations que sur demande des patients ou pour le compte des personnes à l'origine de leur production ou de leur collecte. Ces informations médicales doivent avoir été collectées par le biais de suivi médico-social ou social, de prestations de soin, de diagnostic ou de prévention.

En quoi consiste la certification HDS ?

Cette certification remplace l'ancien agrément HDS. Elle est obtenue après que l'hébergeur a passé avec succès un audit diligenté par un organisme certificateur comme la COFRAC. L'audit comprend une phase documentaire et une autre sur site.

Si des non-conformités sont trouvées, l'hébergeur a 3 mois pour les corriger. Lorsque la correction est jugée satisfaisante ou en l'absence de non-conformités, le certificat est délivré pour une période de 36 mois. Un audit de suivi est également réalisé chaque année pendant la durée de validité du certificat. Sur le site de l'ANS, vous trouverez une liste des hébergeurs dont la certification HDS est en cours de validité.

Du fait de leur caractère sensible, les données de santé sont protégées par des réglementations précises, notamment lorsqu'elles sont collectées et hébergées par des tiers. Dans ce cas, le recours à un prestataire certifié HDS est obligatoire afin de garantir la sécurité des informations et le respect du droit des patients.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.
Voir l'article complet