Quelles formalités pour les traitements de données de santé ?

Tout d’abord, vous devez identifier si votre traitement relève d’une des hypothèses excluant l’accomplissement de formalités :

L’article 65 de la loi Informatique et Libertés prévoit des cas ou l’accomplissement de formalités n’est pas nécessaire. Cela concerne les traitements suivants :

• la personne concernée a donné son consentement explicite au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
  • L’accomplissement d’une formalité n’est pas nécessaire lorsque la personne a donné son consentement au traitement de ses données de santé (article du 9 RGPD) après avoir été correctement informée.
  • Il convient de distinguer la base légale (article du 6 RGPD) sur laquelle est fondée le traitement, de la dérogation qui permet de traiter des données sensibles (article du 9 RGPD) qui sont complémentaires et qui doivent toutes deux être justifiées.
  • Le consentement au traitement des données doit être distingué du consentement à l’acte de soins ou du consentement à la participation à une étude. 
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
   
• le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité prévue par les textes ;
   
• le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée ;
   
• le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
   
• le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose – en raison de ses fonctions – l'obligation de secret professionnel ;
  À savoir : il s’agit de l’exception mobilisée dans le cadre de la prise en charge des patients par les professionnels de santé.
   
• les études internes, répondant à trois conditions cumulatives. Il doit s’agir d’une étude réalisée :
  • à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés ;
  • par les personnels assurant ce suivi ;
  • et pour leur usage exclusif ;
• les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale ;
   
• les traitements mis en œuvre par les organismes chargés de la gestion d'un régime de base d'assurance maladie dans le cadre de leurs missions ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;
   
• les traitements mis en œuvre par l’État ou les agences régionales de santé (ARS) ;
   
• les traitements mis en œuvre par l’État pour la conception, le suivi ou l’évaluation des politiques publiques ou la collecte, l’exploitation et la diffusion de statistiques en santé.