07 69 33 80 05 contact@avocat-koc.com

E-Santé

Avocat protection des données de santé

RGPD et données de santé

D’une manière générale, l’établissement est responsable de multiples traitements de données personnelles, impliquant ou non des données de santé.

L’établissement traite des données personnelles qui ne sont pas des données de santé (les données de ressources humaines par exemple) pour lesquelles le RGPD s’applique.

L’établissement de santé collecte, génère et traite également des données de santé. De façon identique au régime actuel, le RGPD fixe un principe d’interdiction de collecte de ces données en raison de leur sensibilité.

Toutefois, ce principe est assorti de plusieurs exceptions, comme dans la loi Informatique et Libertés.

A titre d’exemple, il est possible de créer un traitement de données de santé à caractère personnel lorsque la personne concernée donne son consentement exprès. Autre fondement possible utilisé dans le cadre de l’activité quotidienne des établissements de santé, les traitements créés pour une finalité relative :

  • aux diagnostics médicaux, à la prise en charge sanitaire ou sociale, ou à la gestion des systèmes et des services de soins de santé ;
  • à l’intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail.

L’établissement de santé doit respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité et respect des droits des personnes).

L’établissement doit également adapter ses procédures à l’entrée en vigueur du RGPD, et notamment :

  • tenir une documentation interne, décrivant les traitements mis en œuvre et les mesures de mise en conformité de ces traitements. Dans certains cas (notamment les traitements de recherche), il doit solliciter l’autorisation de la CNIL avant de mettre en œuvre son traitement de données personnelles ;
  • désigner un délégué à la protection des données (DPD ou DPO) dans une majorité de cas : les établissements publics de santé sont tous concernés par cette obligation, tandis que les établissements privés de santé sont potentiellement concernés, selon qu’ils mettent ou non en œuvre un traitement de données sensibles « à grande échelle ». La mutualisation d’un DPD entre plusieurs établissements est possible ;
  • assurer le respect des droits des personnes : le RGPD renforce les droits traditionnels des personnes concernées par un traitement (droit à l’information sur le traitement, droit d’accès, de rectification, de suppression, ou encore droit d’opposition pour motif légitime) qui sont spécifiquement adaptés au secteur de la santé par le code de santé publique. De nouveaux droits sont prévus, notamment le droit à la portabilité des données et le droit à l’oubli, qui nécessitent parfois des fonctionnalités spécifiques à prévoir dans les systèmes d’information de l’établissement ;
  • réaliser une analyse de l’impact du traitement de données portant tant sur les risques sécurité et technique que sur les risques juridiques pour les personnes, avant de mettre en œuvre certains traitements, notamment ceux portant sur des données de santé à grande échelle ;
  • porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de service :
    > dès que l’établissement de santé a recours à un prestataire de service dont la prestation implique le traitement des données de santé, il doit signer avec le prestataire un contrat (ou, le cas échéant, passer un marché public) décrivant précisément le contenu des prestations (obligations de sécurité et respect des clauses obligatoires prévues par l’article 28 du règlement) ;
    > dans le cas où l’établissement de santé n’est pas maître des moyens de travail mis à sa disposition (solutions de type progiciel ou Saas, fournies « telles quelles » par le prestataire), il doit autant que possible inclure dans le contrat avec son prestataire des clauses garantissant que celui-ci respecte les principes de la loi Informatique et Libertés.
  • mettre en place des procédures permettant de garantir la sécurité et la confidentialité des données, dans le respect de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), et de respecter les obligations liées à la conservation des données (fixer une durée de conservation, organiser les modalités d’archivage, assurer la capacité de restitution des données de santé) ;
  • signaler auprès de la CNIL des incidents de sécurité impliquant des données personnelles (obligation qui s’ajoute à l’obligation actuelle de signalement des incidents de sécurité des systèmes d’information de santé prévue à l’article L.1111-8-2 du code de la santé publique).
{

Statement

Si la data est le nouveau pétrole, la confiance est la nouvelle monnaie.

– Lara Smith | Project Manager

A propos

Expert en droit des données, le cabinet de Me. KOC vous accompagne dans vos problématiques touchant à la data protection, à la compliance, à l’e-santé, à l’algorithme, à la blockchain, aux crypto-monnaies… Le cabinet possède aussi une grande expertise en droit du dommage corporel.

Contact

91, rue du Fbg. Saint-Honoré 75008 PARIS

contact@avocat-koc.com

07 69 33 80 05