Le RGPD et les données de santé : Ce qu’il faut retenir !

Le RGPD et les données de santé : Ce qu’il faut retenir !

Le règlement général sur la protection des données (RGPD santé ) impose une obligation de secret pour les données de santé, garantissant ainsi la confidentialité des informations personnelles des patients. En cas de violation de cette obligation, des conséquences juridiques sévères peuvent être encourues, telles que des amendes et des sanctions.

De plus, le RGPD accorde aux individus un droit en justice pour protéger leurs données de santé et pour obtenir réparation en cas de violation de celles-ci. Il est donc crucial pour les professionnels de la santé de respecter scrupuleusement les règles du RGPD afin de garantir la sécurité et la confidentialité des données de santé de leurs patients.

La conformité RGPD des acteurs traitant des données de santé à plusieurs spécificités. Découvrez ici les questions et réponses.

La gestion des services de santé requiert désormais une conformité stricte au règlement RGPD.

Cette réglementation vise à protéger les données sensibles des patients et à garantir leur confidentialité.

Il est essentiel pour les acteurs du secteur de la santé d’augmenter leur vigilance en matière de traitement des données personnelles. Ce sommaire vous fournit les informations clés à retenir pour assurer la conformité avec le RGPD dans le domaine de la santé.

Selon le RGPD, par principe les données de santé sont des données personnelles sensibles

Parmi les types de données personnelles, il existe des données dites sensibles. Il s’agit des données de religion, d’orientation sexuelle, mais aussi des données de santé. Le RGPD santé doit être considéré comme sensible. C’est une catégorie particulière de données.

Par données de santé, on entend des données relatives à la santé physique ou mentale. Il peut s’agir d’informations relatives à une personne physique collectées lors d’une inscription, numéro de sécurité sociale, d’informations obtenues lors d’un test ou un examen d’une partie du corps ou enfin d’informations concernant une maladie.

Ceci englobe certaines données de mesure à partir desquelles il est possible de déduire l’état de santé d’une personne. C’est très courant dans les modèles innovants actuels. Dans le cadre du traitement de données de santé, les droits des personnes sont spécifiques. Par exemple, la médecine du travail traite des données de santé.

Faites du RGPD
un atout business !Demander une démo

Deux exemples de sociétés traitant des données personnelles dans la santé

Doctolib

Plateforme de mise en relation et prise de rendez-vous entre médecin et patients. Doctolib va de plus en plus loin en permettant de transmettre et stocker des documents de type ordonnance ou résultats d’analyses. La plateforme assure la gestion des données personnelles des patients comme le nom, l’adresse email et des données de santé via les spécialités des médecins visités, les professionnels de santé, les ordonnances de médicaments à destination des professionnels de santé… La nature des données échangées est sensible.

Diabeloop

Permet de piloter la distribution d’insuline pour les patients diabétiques. C’est une véritable révolution pour les patients atteints de diabète. Le taux de sucre dans le sang est mesuré en permanence et l’application diabeloop définit la quantité d’insuline à délivrer. L’application s’appuie sur un modèle de prédiction qui est enrichi par une base de données patients de grande taille. Les données personnelles sont au cœur de l’activité de Diabeloop. Le secteur du diabète est particulièrement innovant. Cela a permis de transformer la prise en charge des patients ces dernières années.

Les sujets RGPD les plus fréquemment rencontrés par les acteurs de santé pour la protection des données

1 – Hébergement des données de santé en France et chez un hébergeur de données de santé (HDS)

Les données de santé doivent être stockées en France et sur un serveur HDS. C’est un principe qui est décrit au-delà du RGPD, dans la loi informatique et liberté. En effet, le RGPD permet quelques spécificités locales notamment dans la santé.

Il est donc clé de maîtriser ses outils stockant les données personnelles de santé pour s’assurer qu’ils sont bien sûr des serveurs d’hébergeur de données de santé (HDS).

Il est également clé de maîtriser ses prestataires. En effet, surtout sur vos sites web, outils digitaux, des prestataires techniques comme l’authentification, les formulaires… exercent un traitement sur des données personnelles de vos utilisateurs.

Il est important de réaliser la liste et de vérifier que les données personnelles sont bien stockées en France sur des serveurs HDS. C’est l’un des éléments clés réalisés lors d’une mise en conformité RGPD.

La plupart du temps, les entreprises n’ont pas vocation à se certifier HDS. C’est un processus complexe de certification. Il est préférable d’utiliser un prestataire mettant à disposition des serveurs HDS.

Attention, on parle souvent d’entrepôts de données de santé. Il s’agit bien d’un sujet différent du HDS qui n’est pas une simple formalité. En conséquence, nous y reviendrons prochainement sur le site de Dipeeo.

2-Un consentement préalable est nécessaire pour tout traitement de données de santé d’une personne

A l’exception des hôpitaux, établissements de santé ou des instituts à des fins de recherche, pour pouvoir traiter une donnée de santé d’une personne, il y a une obligation en matière de consentement des personnes qui doit être recueilli. Cela peut prendre la forme d’une case à cocher ou d’un document à signer par exemple.

Traiter une donnée personnelle n’est pas uniquement le fait de stocker une donnée. Un simple transfert d’information par vos outils, sans stockage, est reconnu comme un traitement de données personnelles.

3 – La recherche médicale nécessite une déclaration ou une demande d’autorisation auprès de la CNIL

Dans le cadre de la recherche médicale, il existe un cadre légal qui peut varier en fonction de plusieurs critères. Notamment s’il s’agit de recherche “interne” ou “multi-centrique”. Cette dernière nécessite davantage de démarches puisque les données personnelles des patients vont être exposées à davantage d’acteurs. Il faudra, dans ce cas, réaliser une demande d’autorisation “recherche” ( www.entreprendre.service-public.fr/vosdroits/R18457 ) ou réaliser un engagement de conformité à la MR-001, MR-002 ou MR-003 en fonction des cas.

La CNIL a réalisé un guide sur le sujet ayant pour objectif d’aider les acteurs dans la démarche et ainsi sécuriser les données des patients : Recherche médicale : quel est le cadre légal ? | CNIL

4 – Des clauses RGPD doivent être intégrées dans les protocoles de recherche

Un protocole de recherche doit être établi pour faire de la recherche médicale. Ce document comporte spécifiquement les accords entre les différentes parties. Ces accords définissent les responsabilités de chacun. Des clauses RGPD doivent être rédigées et sont nécessaires aux fins de définir ce qu’il advient de chacune des données personnelles traitées lors de l’étude. Cela définit également les responsabilités de chaque acteur quant à ces données et potentiellement les niveaux de sécurité à mettre en place pour les sécuriser. Il s’agit vraiment d’assurer la sauvegarde des intérêts de chaque partie prenante. Il s’agit de démarches des organismes de type CRO (Contract Research Organization) accompagné par un DPO pour les clauses RGPD.

5 – Les sanctions dans la santé adressées par la CNIL sont très lourdes

La santé est le domaine où les contrôles sont les plus fréquents. Les sanctions y sont les plus sévères et coûteuses après évaluation par la CNIL et constatation d’un non-respect du RGPD. La CNIL a en effet une mission de service public et doit faire respecter le RGPD. C’est en effet un domaine où les déviances peuvent engendrer des discriminations importantes. Elles ont un impact négatif très fort en cas de fuite de données ou d’exploitation détournée des données. Il est nécessaire de suivre les bonnes pratiques dans le domaine de la santé. Les sanctions peuvent être évitées à condition de respecter les règles.

Par exemple, DEDALUS BIOLOGIE a été condamnée à 1,5 m€ d’amende suite à une fuite de données.

Lire la vidéo sur RGPD et données de santé – Dipeeo 

6 – Les partenariats avec les hôpitaux nécessitent d’être conformes au RGPD pour assurer leur sécurité

 La conformité RGPD est à présent un élément essentiel du fonctionnement des hôpitaux. Lors de l’étude d’un partenaire potentiel, les hôpitaux vont devoir s’assurer que celui-ci est conforme au RGPD. C’est une obligation de l’hôpital pour qu’il soit lui-même en conformité RGPD. Surtout si vous êtes amené à traiter des données patients ou des données des employés ou une autre personne de l’hôpital. Un hôpital ou une clinique refusera systématiquement une association avec un acteur non conforme.

7 – Des obligations particulières si vous traitez des données personnelles pour le compte d’un autre acteur.

 Si vous êtes amené à traiter des données personnelles pour le compte d’un hôpital ou un autre organisme alors vous êtes “sous-traitant” au sens du RGPD. L’hôpital sera quant à lui responsable de traitement.

Cela implique quelques responsabilités:

• Vous devrez ajouter une clause dans vos CGV indiquant que vous traitez des données personnelles et que vous prenez la responsabilité en cas de fuite de données.
• Vous devrez assurer la mise en place d’un registre des activités de traitement en tant que sous-traitant. Celui-ci devra notamment préciser la finalité de chaque activité de traitement.
• Vous devrez également vous assurer de la conformité de vos prestataires techniques , eux-mêmes « sous-traitants » mais de votre structure.

8 – Vous avez une plateforme digitale. Vous devez réaliser un “privacy by design”

 Votre produit digital traite des données personnelles dans le cadre de l’exercice de votre service (exemple : livraison de médicament, transport de patients, prises de rdv…). Vous devez vérifier dès le design du produit ou à minima lors de votre mise en conformité RGPD, la conformité du produit digital. Il faut s’assurer que la gestion des systèmes traitant des données personnelles est conforme.

C’est-à-dire, 

• Est-ce que les durées de conservation sont respectées ? 
• Les consentements nécessaires sont-ils en place ? 
• L’information des utilisateurs sur les traitements réalisés est-elle suffisante ? 
• La sécurité technique des données est-elle suffisante au regard de la sensibilité des données ?
• Les prestataires techniques du produit digital sont-ils conformes ?
• Les droits d’accès sont-ils proposés aux utilisateurs ? Ou sont-ils en incapacité d’y accéder ?