La donné de santé définie par la loi

Le texte précise que les données de santé doivent comprendre « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique, ou l’état physiologique ou biomédical de la personne concernée, indépendamment de la source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ».

En France, l’ASIP Santé définit les données de santé comme les « données susceptibles de révéler l’état pathologique d’une personne ».

Trois principaux textes régissent aujourd’hui en France la protection des données de santé :

• la loi informatique et liberté (LIL) du 6 janvier 1978 modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
• le règlement européen du 27 avril 2016 sur la protection des données personnelles (RGPD/applicable depuis le 25 mai 2018) ;
• le code de la santé publique intégrant notamment les dernières évolutions apportées par la loi de modernisation de notre système de santé du 26 janvier 2016 et la loi sur la République numérique du 7 octobre 2016.

Il ressort de l’ensemble de ces dispositions un cadre spécifique entourant le traitement des données de santé entendu comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. » (2)

Ainsi, « il est interdit de traiter des données à caractère personnel, qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. » (3)

Toutefois, cette interdiction générale connaît des exceptions (4), notamment :

• si la personne concernée a donné son consentement éclairé et explicite au traitement de ces données à caractère personnel ;
• si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
• si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
• si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ;
• si le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
• si le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

N’entrent pas davantage dans le champ de l’interdiction de traitement, les données de santé appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation reconnu conforme aux exigences de la loi par la CNIL (5).

Les principes généraux applicables aux traitements de données

La responsabilisation des acteurs

Avec le RGPD, la notion de « formalités préalables » (déclarations, autorisations) prévue jusqu’alors par la loi informatique et libertés a disparu au profit d’une logique de « conformité », dont les acteurs sont responsables sous le contrôle et avec l’accompagnement du régulateur national, la CNIL.

Les responsables de traitement doivent, à ce titre, être en mesure de démontrer, à tout moment, leur conformité aux exigences du RGPD et de la LIL en traçant toutes les démarches entreprises.

S’agissant particulièrement des traitements de données de santé qui relèvent des exceptions prévues à l’article 8 de la LIL (art. 9 du RGPD), aucune formalité auprès de la CNIL n’est désormais requise. Il convient toutefois d’inscrire ces traitements dans un registre spécifique et, le cas échéant, de réaliser une étude d’impact (en cas de traitement à grande échelle de données sensibles par exemple, cf. infra).

Seuls deux régimes de formalités demeurent, pour des hypothèses très spécifiques :

1. d’une part, le régime d’autorisation pour les traitements présentant une finalité d’intérêt public ou les traitements automatisés dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention,
2. d’autre part, le régime de demande d’avis sur un projet d’acte réglementaire autorisant un traitement de données de santé (ex. : certains traitements utilisant le NIR (6)).

Merci de votre intérêt pour le travail des experts Sham.

Pour aller plus loin, n'hésitez pas consulter notre article sur la télémédecine et la protection des données des patients.

Les Experts Sham viennent de délivrer le premier Livre Blanc sur le risque Cyber et ses enjeux pour et dans les établissements de santé. N'hésitez pas télécharger notre ouvrage et en apprendre plus sur les enjeux de la cybersécurité, la numérisation, la gouvernance et les bonnes pratiques, notamment en temps de crise Covid-19.