Quelles formalités pour les traitements de données de santé ?

22 mai 2024

De nombreux traitements peuvent contenir des données de santé. Leur mise en œuvre peut nécessiter l’accomplissement d’une formalité préalable. La CNIL vous guide pour savoir quand et quelle formalité effectuer ?

Le règlement général sur la protection des données (RGPD) a allégé les obligations en matière de formalités préalables, laissant place à une logique de responsabilisation des acteurs, qui doivent être en mesure de démontrer à tout moment leur conformité aux exigences du RGPD (principe d’accountability).

Toutefois, la loi Informatique et Libertés maintient des formalités préalables auprès de la CNIL concernant les traitements de données de santé, qui sont définies comme des données « sensibles »

Rappel

Par principe, le traitement des données de santé est interdit sauf dans des cas particuliers (article 9 du RGPD et article 6 de la loi Informatique et Libertés).

Elles peuvent toutefois être traitées dans certaines conditions (article 9.2 du RGPD et article 44 de la loi Informatique et Libertés).

Quelles sont les formalités auprès de la CNIL ?

La loi Informatique et Libertés prévoit des formalités préalables auprès de la CNIL concernant les traitements de données de santé.

Ce régime s’applique :

dans le cadre des activités d’un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ;
et/ou lorsque les personnes concernées résident en France, y compris lorsque le responsable de traitement n'est pas établi en France.

Si au moins un de ces critères est rempli, le traitement peut nécessiter l’accomplissement de formalités.

Vous devez donc d’abord vérifier si votre cas nécessite la réalisation d’une formalité ou non.

Les cas où une formalité ne doit pas être réalisée
Les cas où une formalité doit être réalisée

Tout d’abord, vous devez identifier si votre traitement relève d’une des hypothèses excluant l’accomplissement de formalités :

L’article 65 de la loi Informatique et Libertés prévoit des cas ou l’accomplissement de formalités n’est pas nécessaire. Cela concerne les traitements suivants :

la personne concernée a donné son consentement explicite au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
- L’accomplissement d’une formalité n’est pas nécessaire lorsque la personne a donné son consentement au traitement de ses données de santé (article du 9 RGPD) après avoir été correctement informée.
- Il convient de distinguer la base légale (article du 6 RGPD) sur laquelle est fondée le traitement, de la dérogation qui permet de traiter des données sensibles (article du 9 RGPD) qui sont complémentaires et qui doivent toutes deux être justifiées.
- Le consentement au traitement des données doit être distingué du consentement à l’acte de soins ou du consentement à la participation à une étude.
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité prévue par les textes ;
le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée ;
le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose – en raison de ses fonctions – l'obligation de secret professionnel ;
À savoir : il s’agit de l’exception mobilisée dans le cadre de la prise en charge des patients par les professionnels de santé.
les études internes, répondant à trois conditions cumulatives. Il doit s’agir d’une étude réalisée :
- à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés ;
- par les personnels assurant ce suivi ;
- et pour leur usage exclusif ;
les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale ;
les traitements mis en œuvre par les organismes chargés de la gestion d'un régime de base d'assurance maladie dans le cadre de leurs missions ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;
les traitements mis en œuvre par l’État ou les agences régionales de santé (ARS) ;
les traitements mis en œuvre par l’État pour la conception, le suivi ou l’évaluation des politiques publiques ou la collecte, l’exploitation et la diffusion de statistiques en santé.

Pour ces traitements, aucune formalité auprès de la CNIL n’est requise. Cependant, il est nécessaire de les inscrire dans votre registre des activités de traitement et de réaliser une analyse d’impact relative à la protection des données si nécessaire.

En revanche, si le traitement envisagé n’appartient à aucune de ces catégories et en dehors de cas spécifiques (par exemple, les traitements créés et encadrés par un acte réglementaire), le responsable de traitement devra effectuer des formalités préalables auprès de la CNIL.

Deux régimes de formalités à réaliser auprès de la CNIL demeurent pour les traitements de données de santé dans le domaine de la santé, pour des hypothèses très ciblées :

La déclaration de conformité ou la demande d’autorisation

Les traitements présentant une finalité d’intérêt public concernant :

les recherches, études et évaluations dans le domaine de la santé ;
certaines bases de données mises en œuvre dans le domaine de la santé (entrepôts, vigilances sanitaires, accès précoces et compassionnel, etc.) .

Afin de faciliter les démarches des organismes, la CNIL a publié des référentiels correspondant aux exigences et bonnes pratiques sectorielles, auxquels les responsables de traitement doivent se référer avant la mise en oeuvre de leurs traitements.

Il existe deux types de référentiels :

Les référentiels dits « de droit souple » sont des cadres de référence non contraignants. Le fait de les suivre et de les respecter doit vous permettre de mettre vos traitements en conformité avec le RGPD.
Toutefois, vous pouvez décider de vous écarter de certaines de leurs préconisations, par exemple si des éléments tenant à votre situation particulière le justifient.
Les « référentiels santé », comprenant des « « méthodologies de référence », prévus afin de faciliter la démarche des organismes concernant l’accomplissement de formalités préalables obligatoires :
- Le principe consiste en une déclaration de conformité au référentiel ou à la méthodologie de référence adapté, si le traitement y est conforme en tous points. Il appartient au responsable de traitement d’apprécier si son traitement est conforme en tout point au référentiel et attester de cette conformité dans sa documentation interne. Il doit pouvoir le démontrer en cas de contrôle de la CNIL.
- L’exception consiste en une demande d’autorisation auprès de la CNIL lorsqu’il existe des points de non-conformité entre le traitement et le référentiel adapté. Pour plus d’information sur les informations à fournir et les critères d’octroi lors de demandes d’autorisation en santé, des fiches dédiées ont été publiées.
  À savoir : dans une même décision, la CNIL peut délivrer à un responsable de traitement une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques (appelées « décision unique », qui sont publiées sur Légifrance).
  Par exemple, un organisme souhaite mener plusieurs recherches afin d’étudier, au moyen d’une méthodologie standardisée, les trajectoires de soins de patients atteints d’une certaine pathologie à partir de dossiers médicaux . Pour faciliter sa démarche, elle peut effectuer une demande auprès de la CNIL afin de se voir délivrer une décision unique plutôt que d’effectuer une demande d’autorisation pour chaque recherche.

► Afin de mieux appréhender les différents référentiels et méthodologies de références applicables, vous pouvez consulter la fiche dédiée.

La demande d’avis sur un projet d’acte réglementaire autorisant un traitement de données de santé.

Par ailleurs, certains traitements doivent être autorisés via un acte règlementaire, précédé d’un avis consultatif de la CNIL.

Cliquez pour ouvrir l'infographie au format PDF

Questions / réponses

Depuis l’entrée en vigueur du RGPD, les organismes doivent-ils toujours déclarer l’ensemble de leurs traitements dans le domaine de la santé auprès de la CNIL ?

Non, les organismes n’ont plus a déclarer systématiquement leurs fichiers auprès de la CNIL.

Le régime de formalités préalables « santé » (déclaration de conformité ou demande d’autorisation) demeure uniquement pour certains traitements dans le domaine de la santé.

Si une formalité doit être réalisée, qui y procède et comment ?

Les démarches relatives aux engagements de conformité et demandes d’autorisation sont à réaliser par le responsable du traitement ou par la personne ayant qualité pour le représenter, au moyen du service en ligne de la CNIL ou celui de la Plateforme des données de santé (recherches n’impliquant pas la personne humaine).

Dans le cadre d’une thèse ou d’un mémoire :

Vous ne pouvez pas, en tant que doctorant ou étudiant, réaliser une formalité auprès de la CNIL en votre nom propre (déclaration de conformité à une MR ou demande d’autorisation « recherche »). C’est l’établissement de soin ou l’établissement scolaire et universitaire auquel vous êtes rattaché qui devra effectuer cette démarche, en sa qualité de responsable de traitement.

Pour plus d’information sur comment procéder pour une thèse ou un mémoire, vous pouvez consulter la fiche dédiée.

Que faire si le traitement ne correspond pas exactement au cadre de référence décrit dans le référentiel ou la méthodologie de référence ?

Les cadres de référence sont d’interprétation stricte.

Si votre traitement ne correspond pas en tout point au cadre décrit dans le référentiel ou la méthodologie de référence, il conviendra d’effectuer une demande d’autorisation sur notre site internet (en mettant en avant et justifiant chacun de ces points de non-conformité).

Les informations à fournir et critères d’octroi pour une demande d’autorisation sont prévues dans deux fiches dédiées.

Dois-je faire une déclaration conformité à un référentiel pour chaque traitement ?

Non. L’engagement de conformité à un référentiel n’est pas à réaliser pour chaque traitement. Une déclaration de conformtié permet de mettre en œuvre l’ensemble des traitements conformes du responsable de traitement.

Mon projet constitue-t-il une recherche dans le domaine de la santé ?

Les recherches nécessitant le traitement de données de santé ne nécessitent pas toutes d’être conforme à un référentiel ou une autorisation de la CNIL. Seules les recherches dans le domaine de la santé sont concernées.

Les recherches hors du domaine de la santé (sociologie, économie, enquêtes sociales etc.) nécessitant le traitement de données de santé (ou d’autres données sensibles) sont soumises à un régime particulier. À ce titre, des fiches dédiées ont été prévues concernant les recherches scientifiques.

Faut-il faire une analyse d’impact pour les traitements de données de santé créés antérieurement à l’entrée en application du RGPD ?

Un délai de trois ans avait été laissé aux organismes pour ces traitements.

Ce délai étant désormais écoulé, une analyse d’impact doit avoir été effectué pour tous les traitement concernés, antérieurs ou postérieurs au RGPD.

Afin de guider les organismes sur ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD), vous pouvez consulter la fiche dédiée.

Dois-je désigner un délégué à la protection des données (DPD) ?

Afin de savoir s’il est nécessaire de désigner un DPD, vous pouvez consulter la fiche dédiée.

Texte reference

Textes de référence

Ceci peut également vous intéresser ...

Recherches dans le cadre de la santé : quelles sont les formalités ?

Les traitements de données de santé mis en œuvre à des fins de recherches, études ou ...

22 mai 2024

Santé

Le suivi à domicile lors de recherches dans le domaine de la santé

Dans le cadre de recherches, études ou évaluations dans le domaine de la santé, un suivi des ...

16 mai 2024

Essais cliniques

Essais cliniques : les bonnes pratiques pour le contrôle qualité à distance

Depuis la crise sanitaire liée à la COVID-19, le recours au contrôle qualité à distance des ...