Quelles formalités pour les traitements de données de santé à caractère personnel ?

08 janvier 2018

De nombreux traitements peuvent contenir des données de santé à caractère personnel : quelle est la formalité adéquate à effectuer auprès de la CNIL ?

(À jour au RGPD et de la loi Informatique et Libertés modifiée)

Entrée en application de la nouvelle réglementation sur la protection des données personnelles : qu’est-ce qui change ?

Le RGPD prévoit un allègement des obligations en matière de formalités préalables. La logique de formalités préalables laisse la place à celle de responsabilisation des acteurs.

En contrepartie de la suppression de certaines formalités, le responsable de traitement doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises (principe d’accountability).

Il faudra notamment :

  • mettre en place un registre des traitements (outil recensant l’ensemble des traitements mis en œuvre dans votre structure). Pour vous aider, vous pouvez consulter le modèle de registre et la fiche pratique sur le registre des traitements ;
  • mener des analyses d’impact pour les traitements considérés comme présentant « un risque élevé » pour les personnes. Pour vous aider, vous pouvez consulter la rubrique « Analyses d’impact » (FAQ, logiciel d’aide à la réalisation d’une étude d’impact, guides) ;
  • veiller à encadrer l’information des personnes concernées (patients, fournisseurs, étudiants, usagers, etc.) et s’assurer de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.). Pour vous aider, vous pouvez consulter la fiche pratique Traitements de données de santé, comment informer les personnes concernées ? ».
  • formaliser les rôles et responsabilités du responsable de traitement. Pour vous aider, vous pouvez consulter le guide sous-traitant ;
  • lorsque cela est obligatoire, désigner un délégué à la protection des données (DPO). Sur ce point, vous pouvez consulter la fiche « Désigner un délégué à la protection des données » ;
  • renseigner les actions menées pour garantir la sécurité des données ;
  • Etc.

Quels impacts pour le secteur de la santé ?

Pour les traitements suivants comportant des données de santé, les formalités à accomplir auprès de la CNIL disparaissent à certaines conditions :

  • les traitements pour lesquels la personne concernée a donné son consentement exprès ;
  • les traitements nécessaires à la sauvegarde de la vie humaine ;
  • les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
  • les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel (ex : dossier médical ou logiciel de gestion médico-administratif, télémédecine, PACS utilisé dans le domaine de l’imagerie médicale, etc.) ;
  • les traitements permettant d’effectuer des recherches à partir des données réalisées par le personnel assurant ce suivi, et destinées à leur usage exclusif (recherche « interne ») ;
  • les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaire ;
  • les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans le cadre du PMSI local ;
  • les traitements effectués par les agences régionales de santé, par l’Etat et par la personne publique qu’il désigne en application du premier alinéa de l’article L. 6113-8 du code de la santé publique et dans le cadre défini au même article ;
  • les traitements de données dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la CNIL, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites.

Important : pour ces traitements, aucune formalité auprès de la CNIL n’est requise. Cependant, il est nécessaire de les inscrire dans votre registre des activités de traitement. Le cas échéant, le traitement devra faire l’objet d’une analyse d’impact.

Seuls deux régimes de formalités à réaliser auprès de la CNIL demeurent, pour des hypothèses très ciblées :

  1. Le régime de l’autorisation pour :
  • Les traitements présentant une finalité d’intérêt public.

Ex : la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public.

La CNIL exigera la production d’une analyse d’impact pour instruire les demandes d’autorisation présentant une finalité d’intérêt public.

  • Les traitements automatisés dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention.

A noter : la CNIL dispose d’un pouvoir de simplification, afin d’alléger ces démarches :

  • la CNIL peut, par décision unique, délivrer à un même responsable de traitement une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques ;
  • la CNIL (en concertation avec l’Institut national des données de santé et des organismes publics et privés représentatifs des acteurs concernés) élabore des référentiels et, pour la recherche, des méthodologies de référence. Dès lors que l’un de ces traitements (intérêt public ou recherche) est conforme, en tous points, à un référentiel ou à une MR  élaboré par la CNIL, il peut être mis en œuvre, sans avoir besoin d’obtenir une autorisation, à la condition que le responsable de traitement adresse préalablement une déclaration attestant de cette conformité.
  1. Le régime de la demande d’avis sur un projet d’acte réglementaire autorisant un traitement de données de santé.              

Les traitements de données de santé comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) doivent être prévus par un décret cadre, pris après avis motivé et publié de la CNIL, à l’exception de ceux d’entre eux qui entrent dans le champ de l’autorisation (traitement fondé sur l’intérêt public ou concernant une recherche). Ce décret détermine les catégories de responsables de traitement et les finalités de ces traitements.

A noter :

  • La mise en œuvre des traitements comportant le NIR devront en principe (sauf dispositions particulières) faire l’objet d’une analyse d’impact (sur ce point, cf infra).
  • La mise en œuvre des traitements comportant le NIR autorisés avant le 25 mai 2018 ne sont pas soumis à l’obligation d’être mentionnés dans le décret, sauf modification de ces traitements et au plus tard jusqu’au 25 mai 2020.
  • Des dispositions spécifiques s’appliquent pour la recherche en ce qui concerne le NIR (demande d’autorisation).

Quels traitements de données de santé sont concernés par l’obligation de mener une analyse d’impact ?

Lorsqu’un traitement de données de santé est susceptible d’engendrer un « risque élevé » pour les droits et libertés des personnes, le responsable de traitement doit effectuer, avant sa mise en œuvre, une analyse d’impact.

Pour apprécier si le traitement présente un risque élevé, il convient d’examiner les critères suivants :

  • Le traitement comporte-t-il une évaluation relative à la personne concernée (ex : évaluation de l’état de santé) ?
  • Y-a-t-il une décision automatique avec effet juridique ou affectant la personne de manière significative ?
  • Une surveillance systématique est-elle mise en place (ex : dispositif de géolocalisation utilisé pour surveiller des personnes âgées ou des nourrissons) ?
  • Le traitement comporte-t-il des données sensibles (ex : données de santé) ?
  • Est-ce un traitement à grande échelle ?
  • Y-a-t-il un croisement de données ?
  • Le traitement concerne-t-il des personnes vulnérables (ex : patients, personnes âgées, etc.) ?
  • S’agit-il d’un usage innovant ?
  • Le traitement peut-il entraver l’exercice d’un droit ou l’exécution d’un contrat  (ex : droit aux prestations   sociales) ?

La Commission considère, de manière générale, qu’un traitement qui rencontre au moins deux des critères ci-dessus doit faire l’objet d’une analyse d’impact. Il sera cependant possible de s’écarter de cette recommandation dans certains cas de figure. Un responsable de traitement, bien que rencontrant deux des critères mentionnés ci-dessus, peut considérer qu’il ne présente pas de « risque élevé » ; il devra expliquer et documenter sa décision de ne pas procéder à une analyse d’impact en incluant, s’il a été désigné, l’avis du délégué à la protection des données (DPO). A l’inverse, un responsable estimant que son traitement présente un risque élevé, bien qu’il ne satifasse qu’à un seul des critères ci-dessus, réalisera une analyse d’impact.

Il existe des traitements non soumis à l’obligation de réaliser une analyse d’impact.

  • Sauf disposition légale contraire, ne sont pas non plus soumis à analyse d’impact les traitements répondant au respect d’une obligation légale à laquelle le responsable de traitement est soumis, ou nécessaires à l’exercice d’une mission de service public confié au responsable de traitement, lorsque ces traitements ont une base juridique dans le droit national ou de l’Union européenne, que ce droit les réglemente, et qu’une analyse d’impact a déjà été menée lors de l’adoption de cette base juridique.
  • Une analyse d’impact n’est pas non plus requise lorsque la nature, la portée, le contexte et les finalités des traitements envisagés sont très similaires à un traitement pour lequel une analyse d’impact a déjà été menée par le responsable de traitement ou par un tiers (autorités ou organismes publics, regroupements de responsables de traitement, etc.). Dans ce cas, les résultats de l’analyse d’impact déjà menée peuvent être réutilisés. Toutefois, dans le cas d’un analyse d’impact effectuée par un tiers, le responsable de traitement doit transposer, pour tout ou partie, les résultats de l’analyse d’impact à sa situation particulière.

ATTENTION : les traitements, non soumis à l’analyse d’impacts, doivent respecter les principes de protection des données prévus à l’article 5 du RGPD (traitement loyal, licite et transparent des données, collecte des données pour des finalités déterminées, explicites et légitimes, minimisation des données, etc.) et les droits des personnes concernées.

  • Les traitements régulièrement mis en œuvre avant l’entrée en application du RGPD le 25 mai 2018 - c’est-à-dire ayant fait l’objet d’une formalité auprès de la CNIL (en ayant été dispensés, ayant été autorisés par un acte réglementaire ou encore ayant été inscrits dans le registre d’un correspondant « informatique et libertés ») - n’ont pas à faire l’objet d’une analyse d’impact dans un délai de trois ans à compter du 25 mai 2018, à moins que ceux-ci n’aient fait l’objet d’une modification substantielle depuis leur mise en œuvre.

Pour tout savoir sur le PIA, voir « Nouveautés sur le PIA » : guides, outils, PIAF, étude de cas ».

En synthèse : les questions à se poser pour chaque nouveau traitement de données de santé

Identifier la formalité à réaliser :  4 étapes clés

Identifier la formalité à réaliser :  4 étapes clés                                                                                                 

Questions / réponses


Références

  • Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
  • Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (chapitre IX)