Quelles formalités pour les traitements de données de santé à caractère personnel ?


De nombreux traitements peuvent contenir des données de santé à caractère personnel : quelle est la formalité adéquate à effectuer auprès de la CNIL ?

Quels sont les différents régimes de formalités ?

Il existe trois régimes de formalités :

A noter : le règlement européen sur la protection des données prévoit un allègement des obligations en matière de formalités préalables. Les Etats membres de l’Union Européenne peuvent fixer des conditions ou restrictions supplémentaires au niveau national. Ces conditions ou restrictions seront mentionnées dans la loi Informatique et Libertés II.

Pour chacun de ces régimes, il existe, pour les traitements de données de santé à caractère personnel les plus usuels, des cadres de référence permettant un allègement des procédures.

  • Les déclarations simplifiées dites « normes simplifiées » (NS), pour les traitements de données de santé à caractère personnel entrant dans le champ de la déclaration normale.
  • Les autorisations uniques (AU) et les méthodologies de référence (MR), pour les traitements de données de santé à caractère personnel entrant dans le champ de la demande d’autorisation.
  • Les actes réglementaires uniques (ARU), pour les traitements de données de santé à caractère personnel entrant dans le champ de la demande d’avis.

Attention : pour les traitements de données de santé entrant dans le champ de la déclaration normale et simplifiée, et à la condition qu’un Correspondant Informatique et Libertés (CIL) ait été désigné, le responsable de traitement est dispensé de procéder auxdites déclarations. Pour autant, le traitement doit être inscrit au registre du CIL.

Comment déterminer la formalité adéquate à réaliser auprès de la CNIL ?

Pour déterminer la formalité adéquate, il convient d’appliquer le cheminement suivant 

santé

Focus sur les cadres de référence applicables au domaine de la santé

tableau
 

Focus sur les cadres de référence applicables au domaine de la santé

t2
 

Qui procède aux formalités et comment ?

  • Les démarches relatives aux déclarations, demandes d’avis et demandes d’autorisation sont effectuées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l’autorité publique dont il relève doit être mentionnée.
  • Les déclarations et demandes sont adressées à la CNIL, essentiellement par voie électronique avec accusé de réception qui peut être adressé par la même voie.

Questions / réponses

Le traitement ne correspond pas exactement au cadre décrit dans la NS, l’AU, la MR ou par le RU : que dois-je faire ?

Les cadres de référence sont d’interprétation stricte. Si le traitement n’est pas conforme en tous points, le responsable ne pourra pas procéder à un engagement de conformité. Il existe alors deux possibilités :

  • Soit l’organisme modifie le traitement pour être conforme au cadre de référence ;
  • Soit cela n’est pas possible. La formalité normalement applicable (déclaration normale, demande d’autorisation, demande d’avis) doit alors être réalisée.

Comment procéder à un engagement de conformité à un cadre de référence (NS, AU, MR ou RU) ?

Les cadres de référence sont d’interprétation stricte. Si le traitement n’est pas conforme en tous points, le responsable ne pourra pas procéder à un engagement de conformité.

L’engagement de conformité s’effectue directement en ligne auprès de la CNIL : « Effectuer une démarche », « Déclarer mon fichier », puis « Engagement de conformité à un texte de référence de la CNIL ». Dans la rubrique « Finalité » du formulaire, il convient de sélectionner le cadre de référence qui vous concerne et au respect duquel vous souhaitez vous engager.

Si votre organisme a désigné un CIL, l’engagement de conformité à une norme simplifiée s’effectue par inscription dans son registre. S’agissant des AU, MR, ou RU, l’engagement de conformité se fait auprès de la CNIL, y compris si l’organisme a désigné un CIL.

Dans le cadre d’une recherche, est-il nécessaire de procéder à un engagement de conformité à une MR pour chacun des traitements concernés mis en oeuvre ?

Non, la formalité d’engagement de conformité à une MR n’est pas à réaliser pour chaque recherche ; elle est globale pour l’ensemble des traitements d’un même responsable de traitement entrant dans son champ. Le responsable de traitement doit cependant examiner la conformité de chaque nouvelle recherche à la MR. Il veille au respect de l’ensemble des conditions prévues par la MR pour chacun des traitements concernés. Le responsable de traitement tient à jour la liste des traitements entrant dans le cadre d’un engagement de conformité à une MR.

A noter : que, plus largement, la formalité d’engagement de conformité à un cadre de référence concerne l’ensemble des traitements d’un même responsable de traitement entrant dans le champ du cadre de référence concerné.

En cas de modification apportée à un traitement de données de santé à caractère personnel, faut-il automatiquement procéder à de nouvelles formalités ?

Tout dépend si le traitement est modifié de manière substantielle par rapport à la formalité précédemment accomplie auprès de la CNIL (nouvelles catégories de données enregistrées, nouveaux destinataires, nouvelle durée de conservation, etc.). Si la modification est substantielle, elle doit être notifiée s’il s’agit de la même procédure. Attention, certaines modifications substantielles peuvent entraîner une requalification de la formalité initiale.

Comment notifier à la CNIL une modification ou une suppression du traitement ?

Sur ce point, consulter la fiche pratique : Comment modifier ou supprimer une déclaration ?

Comment procéder à un transfert de données hors Union Européenne ?

Sur ce point, consulter la fiche pratique : Transferts hors UE : quelles formalités ?

Quel est l’avenir des formalités à l’aune du RGPD ?

Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. La future loi Informatique et Libertés continuera à soumettre à autorisation des traitements particulièrement sensibles.

Références

Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (art. 8, 22 et s.)

Les mots clés associés à cet article