Le blog Exodata

L'impact du RGPD sur le traitement des données de santé

Rédigé par Laurent Fontaine | Oct 5, 2020 8:00:00 PM

Temps de lecture estimé : 16 minutes

Pour les professionnels de santé, le recueil des données personnelles des patients fait partie intégrante de leur activité. Vu le caractère sensible de ces informations, plusieurs législations s'appliquent.

Si le RGPD fixe un cadre au niveau européen pour les informations personnelles, l'Agence du Numérique en Santé (ANS) définit les règles spécifiques aux données de santé en France. Il est ainsi par exemple obligatoire de passer par un sous-traitant certifié lorsque l'hébergement des informations personnelles de santé est externalisé.

01. Le RGPD et son impact sur les informations de santé
02. Les conséquences du RGPD pour les professionnels de santé
03. Le cas particulier de l'hébergement des DSCP

 

01. Le RGPD et son impact sur les informations de santé

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des données) est la réglementation qui s'applique au niveau des États membres de l'Union Européenne par rapport au traitement des données personnelles. Il a été mis en place afin de répondre aux nouveaux besoins de protection des informations personnelles qui sont apparus à cause du développement et de l'évolution des technologies numériques telles que le commerce en ligne, l'intelligence des objets, etc. Avant l'implémentation du RGPD en 2018, la France se basait sur la Loi Informatique et Libertés, datant de 1978. Un des avantages du RGPD, outre le renforcement du contrôle sur les données personnelles, est le fait qu'il permet une harmonisation des règles au niveau européen.

Comment est définie une donnée personnelle ?

Une donnée personnelle est définie comme une information relative à une personne physique qui peut être identifiable par ce biais. Il est donc important que les personnes concernées puissent savoir comment maîtriser ces informations. Certaines informations personnelles permettent :

  • une identification directe : la combinaison nom et prénom ;
  • une identification indirecte : un numéro de sécurité sociale, de téléphone, de plaque d'immatriculation, une adresse postale ou électronique, etc.

Ces identifications sont réalisées soit à partir d'une seule donnée (nom) ou avec une combinaison de plusieurs informations (date de naissance, genre et adresse, etc.).

Qu'est-ce qu'une donnée de santé à caractère personnel (DSCP) ?

Il s'agit d'une information relative à la santé, qu'elle soit mentale ou physique, passée, présente ou future, d'une personne physique. 3 catégories sont définies :

  • informations de santé par nature : maladies, résultats d'analyses, d'examens, etc.
  • informations de santé par destination : c'est l'utilisation qui en est faite sur le plan médical qui en fait des données de santé ;
  • informations de santé par croisement : ces données, combinées à d'autres, permettent d'avoir des informations sur la santé d'une personne.

Qui est concerné par l'application du RGPD ?

Le RGPD s'applique à tous les organismes et toutes les sociétés, qu'ils soient privés ou publics, traitant des informations personnelles, pour leur compte ou celui d'un donneur d'ordre à condition qu'ils remplissent une des conditions suivantes :

  • être situé dans l'Union Européenne
  • ou traiter des données personnelles concernant des résidents européens.

Le RGPD concerne tous les types de traitement des informations personnelles, qu'ils soient sous forme informatique ou papier.

 

02. Les conséquences du RGPD pour les professionnels de santé

La fin d'obligation de déclaration à la CNIL

Suite à la mise en place du RGPD, les professionnels de santé ne doivent plus accomplir de formalités spécifiques auprès de la CNIL concernant le traitement des DSCP qui sont nécessaires à leur activité. Par contre, ils sont dans l'obligation de pouvoir à tout moment prouver la traçabilité de leurs actions. Ils doivent créer un registre recensant les fichiers, justifier de l'information des patients, démontrer les actions entreprises pour assurer la sécurité des informations personnelles, etc. Le registre des activités de traitement ne doit pas être transmis à la CNIL mais sa consultation peut être demandée lors d'un éventuel contrôle par la CNIL.

Les analyses d'impact

Si vous exercez votre activité à titre individuel, le traitement des informations personnelles n'a pas besoin de faire l'objet d'une analyse d'impact. L'AIPD (Analyse d'Impact relative à la Protection des données) n'est requise que lorsque les traitements concernent des informations à grande échelle.

C'est notamment le cas si vous exercez au sein d'un réseau de professionnels, dans une maison de santé ou un centre de soins.

La désignation d'un DPO

Désigner un Délégué à la Protection des données (DPO) n'est pas nécessaire quand vous exercez à titre individuel à moins que vous ne traitiez un très grand nombre d'informations personnelles. Dans ce cas, il est possible de nommer un DPO en interne ou d'en choisir un en externe dans un cabinet de consultants ou d'avocats.

 

03. Le cas particulier de l'hébergement des DSCP

La définition de l'HDS

Vu le caractère hautement sensible des DSCP, l'ANS, en collaboration avec la CNIL, a défini des règles spécifiques dans le cas de l'hébergement de ces informations afin que leur sécurité soit préservée. L'Hébergement des données de Santé (HDS) est défini comme le fait, pour une personne physique ou morale, d'héberger des données de santé pour le compte des patients concernés ou à la demande d'autres personnes physiques ou morales. Ces informations de santé peuvent avoir été recueillies pendant des activités de :

  • soin ;
  • prévention ;
  • diagnostic ;
  • suivi social ;
  • suivi médico-social.

Les entreprises certifiées HDS

Afin d'assurer aux professionnels de santé une sécurité optimale pour la conservation des informations personnelles par des prestataires, une certification HDS a été créée, en remplacement de l'ancien agrément HDS.

Ainsi, si vous souhaitez confier l'hébergement de DSCP, vous êtes dans l'obligation de choisir un sous-traitant certifié HDS. Afin de trouver la liste de ces prestataires, vous pouvez consulter le site de l'ANS. Pour chacune des sociétés certifiées, vous saurez quelles sont précisément les activités couvertes par le certificat parmi les prestations suivantes :

  • mise à disposition et/ou gestion de sites hébergeant l'infrastructure informatique traitant les informations de santé ;
  • mise à disposition et gestion de la plateforme hébergeant le système informatique ou de l'infrastructure virtuelle servant à traiter les données de santé ;
  • administration et gestion du système informatique servant à traiter les informations de santé ;
  • sauvegarde des données de santé.

La certification HDS

Pour obtenir cette certification HDS, les entreprises doivent être auditées par un organisme certificateur, lui-même accrédité par l'État afin de pouvoir délivrer des certificats. L'audit se déroule en deux phases : la première documentaire et la seconde sur site. Durant ces deux phases, l'objectif est de vérifier la conformité des documents et des procédures avec les référentiels définis pour la certification HDS.

Si tout est conforme, le certificat peut être délivré. Par contre, si des différences sont relevées, elles doivent être corrigées. Pour cela, les hébergeurs disposent de 3 mois. Une fois ce temps écoulé, un audit de vérification a lieu pour vérifier que les non-conformités ont effectivement été corrigées. Lorsque c'est bien le cas, l'émission du certificat a lieu.

La certification HDS est valide pendant 3 ans. Durant ces 36 mois, les organismes certificateurs effectuent des audits annuels pour s'assurer que l'hébergeur continue à tenir ses engagements.

L'information des patients

LA CNIL définit précisément quelles informations doivent être fournies aux patients concernant le recueil de leurs DSCP. Il s'agit notamment de préciser qui est le responsable du traitement, quelle est l'utilité du traitement des informations, pendant combien de temps les DSCP sont conservées, etc.

Dans le cas d'un partage des informations de santé, il est nécessaire de recueillir le consentement préalable des personnes concernées. Une fois donné, ce consentement peut être révoqué à tout moment.

Si vous envisagez de confier à un sous-traitant l'hébergement de DSCP recueillies lors de vos activités professionnelles, vous comprenez maintenant que vous êtes tenus de confier cette tâche à une entreprise certifiée HDS. Cette condition n'est pas une contrainte administrative mais un moyen efficace de s'assurer que ces informations sensibles font l'objet de mesures de sécurité informatique adéquates.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.