Le RGPD et les réglementations pour les données de santé

Temps de lecture estimé : 17 minutes

Si le RGPD représente le cadre législatif européen qui gère toutes les questions relatives aux données personnelles, les informations de santé font l'objet de réglementations additionnelles du fait de leur caractère hautement critique. La CNIL et le Conseil de l'Ordre des Médecins ont collaboré pour clarifier ces règles auprès des professionnels de santé en créant pour eux des check-lists les aidant à vérifier la conformité de leurs activités. De plus, dans le cas où ces professionnels souhaitent externaliser la conservation de leurs informations médicales, une certification a été mise en place. Elle est obligatoire pour tout hébergeur souhaitant garder des données de santé.

01. Le RGPD et ses applications dans le domaine médical
02. Les obligations spécifiques relatives aux DSCP
03. La législation spécifique aux hébergeurs de DSCP

01. Le RGPD et ses applications dans le domaine médical

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur au niveau européen en mars 2018. Ce cadre réglementaire remplace la Loi Informatique et Libertés appliquée jusqu'alors en France. Il a été mis en place afin de répondre aux nouveaux enjeux créés par le développement du commerce en ligne et l'accroissement de l'usage du numérique. Le RGPD instaure un cadre juridique harmonisé au niveau européen qui renforce le contrôle sur l'utilisation des données personnelles.

Comment sont définies les données personnelles ?

Ce sont des informations qui se rapportent à une personne physique identifiée ou identifiable, de manière directe ou indirecte. Le traitement de ces données personnelles correspond à une ou plusieurs opérations les concernant : collecte, conservation, enregistrement, modification, utilisation, adaptation, rapprochement, transmission, diffusion, mise à disposition, enregistrement, organisation, extraction, consultation. Tout traitement de ces informations doit pouvoir être justifié par un objectif devant être légal et légitime.

Le RGPD et les professionnels de santé

Lors de l'exercice de leur métier, ces professionnels reçoivent et émettent des informations qui concernent leurs patients ainsi que leurs fournisseurs, leurs collaborateurs, etc. L'ensemble de ces informations sont classifiées comme des données personnelles. Ce qui implique qu'elles sont concernées par le RGPD. Cependant, les données de santé à caractère personnel (DSCP) sont considérées comme étant encore plus critiques que les autres et font donc l'objet de mesures de protection additionnelles.

Que sont les DSCP ?

Ces données concernent la santé mentale ou physique, actuelle, passée ou future d'une personne physique et comprennent également les prestations de services de soin. Elles révèlent des informations sur l'état de santé d'une personne.

La protection renforcée des DSCP

Selon le RGPD, le traitement et la commercialisation des DSCP est interdit par principe mais avec des exceptions. L'exploitation de ces informations critiques est autorisée si :

• la personne concernée a donné son consentement explicite et elle est informée du cadre d'utilisation de ces informations ;

• l'utilisation de ces informations est nécessaire pour administrer des soins ou des traitements médicaux, établir des diagnostics médicaux, réaliser des opérations de médecine préventive ou gérer des services de santé à condition qu'elle soit faite par un professionnel de santé ou une personne soumise au secret professionnel.

02. Les obligations spécifiques relatives aux DSCP

Les règles à suivre pour la constitution de dossiers patients

Le Conseil National de l'Ordre des Médecins a créé, en collaboration avec la CNIL (Commission nationale de l'informatique et des libertés), des check-lists concernant les bonnes pratiques à respecter pour chacune de vos activités professionnelles afin d'être en accord avec les réglementations applicables aux DSCP.

Lorsque vous constituez des fichiers de patients, vous devez suivre certaines règles :

• vous devez pouvoir justifier de la finalité de la collecte des informations relatives à vos patients ;
• vous avez comme obligation de collecter uniquement les données nécessaires à la prise en charge de vos patients dans le cadre d'activités de soins, de diagnostic ou de prévention ;
• vous devez définir la durée maximale de conservation de ces informations sachant qu'elle ne doit pas excéder le temps nécessaire pour l'utilisation prévue ;
• vous êtes tenus d'informer vos patients de l'existence d'un dossier les concernant ainsi que des droits qu'ils peuvent exercer sur ces informations (accès, rectification, modification, limitation, effacement sous conditions, dépôt de réclamation auprès de la CNIL) ;
• vous êtes tenus de prendre l'ensemble des mesures requises afin que les informations médicales soient protégées et sécurisées ;
• vous devez vous assurer que seules les personnes autorisées peuvent avoir accès aux DSCP de vos patients : il existe ainsi des règles spécifiques concernant l'échange et le partage de données avec d'autres professionnels de santé. Le personnel administratif devrait avoir un accès partiel uniquement aux dossiers des patients. Les intervenants techniques assurant des missions de dépannage ou de maintenance ne doivent pas accéder aux informations des patients qui devraient d'ailleurs être cryptées. Enfin, si vous souhaitez confier l'hébergement de vos DSCP à un prestataire, il doit obligatoirement être détenteur de la certification HDS (Hébergeur de Données de Santé).

L'abandon de la déclaration à la CNIL

Depuis mai 2018, les cabinets médicaux ne sont plus obligés de réaliser un engagement de conformité à la norme simplifiée 50 auprès de la CNIL. En contrepartie de cette simplification administrative, ils sont toutefois dans l'obligation de tenir un registre des activités de traitement. Ce registre recense notamment les activités liées aux dossiers des patients, à la télémédecine, à l'emploi d'une messagerie électronique sécurisée, etc.

La nomination d'un délégué à la protection des données (DPO)

Le choix d'un DPO (Délégué à la Protection des Données) n'est pas obligatoire lorsque vous exercez à titre individuel. C'est par contre nécessaire si vous avez à traiter des informations personnelles à grande échelle. Dans ce cas, le DPO peut être choisi en interne ou en externe, dans un cabinet d'avocats, une société de consultants, etc.

03. La législation spécifique aux hébergeurs de DSCP

L'agrément HADS

Dès 2006, la France a mis en place un agrément pour les sociétés conservant des DSCP. L'agrément HADS (Hébergeur Agréé de Données de Santé) a été mis en place par l'Agence des systèmes d'information partagés en santé (ASIP). Son objectif était de définir des méthodes et des règles afin que les clients de ces hébergeurs puissent constamment accéder à leurs informations, avoir une parfaite traçabilité des modifications apportées, être certain de la sécurité et de la confidentialité apportées à leurs données.

La transition de l'agrément HADS vers la certification HDS

Depuis mars 2018, aucune procédure d'agrément n'a été instruite car une nouvelle certification a été instaurée : le certificat HDS (Hébergeur de Données de Santé). Cependant, comme l'agrément est valable pendant 3 ans, les entreprises HADS peuvent continuer à exercer leurs activités jusqu'à expiration de leur agrément. Toutefois, sachant que la certification HDS est bien plus restrictive que l'agrément HADS, il est conseillé de choisir un hébergeur HDS si vous souhaitez confier la conservation de vos DSCP à un prestataire. Cela vous évitera également d'avoir éventuellement à changer d'hébergeur dans le cas où son agrément aurait expiré mais qu'il n'aurait pas obtenu sa certification HDS.

La certification HDS

Les hébergeurs souhaitant conserver des DSCP sont donc maintenant obligés d'obtenir le certificat HDS. Cette norme internationale se base sur les standards ISO 27001, ISO 27018 et ISO 20000 ainsi que sur des exigences spécifiques à la santé. La certification HDS est attribuée par un organisme certificateur indépendant, habilité par l'État, pour une durée de 3 ans. Elle est délivrée après deux audits, un documentaire et un sur site. Sur le site de l'Agence du numérique en santé, vous trouvez facilement la liste de toutes les entreprises certifiées HDS ainsi que le périmètre de leur certification (hébergeur infogéreur ou hébergeur d'infrastructures).

Depuis la mise en place du RGPD en 2018, des réglementations additionnelles ont été instaurées spécifiquement pour les DSCP. La protection de ces informations critiques est prioritaire, aussi bien pour les organismes publics que pour la CNIL et l'Ordre des Médecins. Ainsi, le recueil des données est strictement encadré tout comme sa conservation par des prestataires. Ceux-ci sont dans l'obligation d'obtenir la certification HDS pour exercer leurs activités.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.