Droit des données de santé / RGPD

 

Le traitement des données de santé est le nouvel enjeu né du RGPD 

Dans le domaine de la santé, et plus particulièrement des dispositifs médicaux, le traitement des données personnelles de santé est indissociable de la mise sur le marché des produits de santé.

Vous vous interrogez sur la gestion des données de santé dont vous disposez ? Il est vrai que la législation est en constante modification. Nous vivons :

  • l’arrivée du règlement général sur la protection des données dit RGPD (Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données)

  • la refonte de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) par l’ordonnance n°2018-1125 du 12 décembre 2018 qui a permis la réécriture de la loi Informatique et Libertés en conformité avec le RGPD

  • et la réforme de l’hébergement des données de santé (de l’hébergeur agréé à l’hébergeur certifié, réforme des articles L.1111-8 et suivants du code de la santé publique, modifiés par la loi n° 2016-41 du 26 janvier 2016)


L’enjeu de la qualification des données de santé

Si le RGPD avait pour objectif de limiter les formalités déclaratives liées aux traitements des données personnelles, les Etats membres ont pu profiter de marges de manœuvre permises par le RGPD pour maintenir des formalités déclaratives préalables lors du traitement de données de santé

Tel est le cas du domaine de la santé.

Il est ainsi fondamental de savoir si les données traitées sont des données de santé afin de déterminer leur régime juridique.


Le RGPD, un atout pour les responsables de traitement dans le secteur de la santé

Le règlement général sur la protection des données (RGPD) donne aux entreprises du secteur de la santé une opportunité unique de maîtriser les délais de mise en œuvre de leurs traitements. Les cas de demandes d’autorisation préalable à la CNIL se réduisent afin d’éviter l’attente, souvent longue, d’une autorisation. A cette fin, sont mis en place des référentiels et méthodologies de référence pour définir des règles de conduite applicables afin d’éviter les demandes systématiques d’autorisations.

Référentiel

La CNIL a d’ores et déjà adopté un référentiel « clé ». Il s’agit de la délibération n°2019-057 du 9 mai 2019 relative aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires. L’objectif est de faciliter les obligations déclaratives des industriels de la santé astreints à une obligation de vigilance

Méthodologies de référence

 

A ce jour, 6 méthodologies de référence ont été adoptées

  • MR-001 : recherches dans le domaine de la santé avec recueil du consentement (délibération n° 2018-153 du 3 mai 2018)

  • MR-002 : études non interventionnelles de performances concernant les dispositifs médicaux de diagnostic in vitro (délibération n° 2015-256 du 16 juillet 2015) portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro

  • MR-003 : recherches dans le domaine de la santé sans recueil du consentement (délibération n° 2018-154 du 3 mai 2018)

  • MR-004 : recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé (délibération n° 2018-155 du 3 mai 2018)

  • MR-005 : études nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières (délibération n° 2018-256 du 7 juin 2018)

  • MR-006 : études nécessitant l’accès aux données du PMSI par les industriels de santé (délibération n° 2018-257 du 7 juin 2018) portant homologation d'une méthodologie de référence relative aux traitements de données nécessitant l'accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l'article L.5311-1 du code de la santé publique aux données du PMSI centralisées et mises à disposition par l'ATIH par l'intermédiaire d'une solution sécurisée.


Notions clés en matière de droit des données personnelles

Données concernant la santé

Alors que les « données concernant la santé » n’avaient jusque-là pas été définies par les textes législatifs, le RGPD franchit le pas en les définissant comme celles « relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Allant encore plus loin, le préambule du Règlement donne une orientation sur cette définition large en précisant que seront notamment des données de  santé les informations « collectées lors de l’inscription [d’une] personne physique en vue de bénéficier de services de soins de santé », un « numéro […] attribué à une personne physique pour l’identifier de manière unique à des fins de santé », « des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques » ou encore « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro ».

Définies ainsi comme données sensibles, le traitement des données de santé sera en principe prohibé. Mais le RGPD reprend, en son article 9, des exceptions déjà présentes dans la Loi Informatique et Libertés du 6 janvier 1978 telles que le consentement explicite de la personne concernée, la sauvegarde des intérêts vitaux de la personne concernée ou encore les motifs d’intérêt public important.


Données génétiques

Le RGPD considère les données génétiques comme celles « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ». Peuvent notamment résulter d’une analyse d’un échantillon biologique portant sur les chromosomes ─ l’ADN ou l’ARN, et étant donc pour la première fois également considérées comme des données sensibles ─ la collecte, le traitement ou la conservation de ces données seront en principe prohibés, sauf exceptions de l’article 9 du Règlement.

L’exploitation de ces données qui était initialement circonscrite à la sphère médicale et à l’identification judiciaire tend à s’étendre à des domaines de plus en plus variés tels que l’assurance, le marketing ou encore la généalogie. La prohibition de principe que le RGPD effectue est donc un moyen de lutter contre les risques de discrimination ou de marchandisation de telles données.


Données biométriques

Les données biométriques sont celles à « caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques».

Nouvellement attachées à la catégorie des données dites « sensibles », le règlement européen consacre donc la prohibition de celles-ci, sauf exceptions.


Registre des traitements

Le RGPD impose à depuis le 25 mai 2018 aux organismes ayant plus de 250 employés ou effectuant des traitements susceptibles de comporter un risque pour les droits et libertés des personnes, qui ne sont pas occasionnels ou qui portent notamment sur des données sensibles, telles que les données de santé, de tenir un registre recensant ces activités des traitements de données personnelles. La tenue de ce registre permettra ainsi de démontrer la conformité de l’organisme à la réglementation.

Cette documentation interne complète permet de responsabiliser les organismes responsables de traitement déterminant les moyens et la finalité de celui-ci. Dans le cadre de la tenue d’un tel registre, le responsable de traitement devra déterminer de manière précise les différents traitements de données personnelles, les catégories de données personnelles traitées avec les personnes concernées, les objectifs poursuivis lors de ces traitements, les acteurs intervenants dans ces traitements ainsi que l’origine et la destination du flux de données afin d’identifier d’éventuels transferts de données hors de l’Union européenne où le RGPD s’applique. Toujours allant dans le sens de la responsabilisation des responsables de traitement, ce registre devra indiquer les délais prévus pour l’effacement des différentes catégories de données ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

La CNIL a mis à disposition un modèle simplifié de registre de traitement sur son site internet.


Analyse d’impact

L’analyse d’impact relative à la protection des données (AIPD) est nécessaire lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment lorsqu’il s’agit d’un traitement à grande échelle. Il s’agit d’un autre outil de responsabilisation des responsables de traitement permettant de rendre compte de la conformité au RGPD par une étude de la nécessité et la proportionnalité du traitement au regard des droits fondamentaux mais également des risques sur la sécurité des données de santé des personnes concernées.

L’analyse sera effectuée par le responsable de traitement sous le conseil du délégué à la protection des données et devra, après avoir présenté de manière systématique les opérations de traitements de données de santé envisagées, indiquer les mesures envisagées par le responsable de traitement pour faire face aux risques.

Des outils d’aide à la détermination de la nécessité de mettre en place une AIPD existent cependant.

Au niveau européen, le G29 (prédécesseur du Comité Européen de la Protection des Données ─ CEPD) avait établi dès 2017 des lignes directrices (référence wp248) concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé». Même si ce document est antérieur à l’entrée en vigueur du RGPD, il est toujours d’actualité et a d’ailleurs été repris à son compte par le CEPD.

Au niveau français, la CNIL a mis à disposition plusieurs outils

  • une liste de traitement nécessitant une étude d’impact : délibération n° 2018-327 du 11 octobre 2018

    En matière de données de santé, la liste dresse plusieurs situations qui doivent donner lieu à l’établissement d’une étude d’impact :

    • les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes

    • les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre

    • les traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables », dont les patients

  • une liste de traitement ne nécessitant pas d’étude d’impact : délibération n° 2019-118 du 12 septembre 2019

En matière de données de santé, cette liste indique que le professionnel de santé exerçant à titre individuel au sein d'un cabinet médical, d'une officine de pharmacie ou d'un laboratoire de biologie médicale n’a pas à effectuer d’étude d’impact pour les traitements nécessaires à la prise en charge d'un patient. Cette information est d’ailleurs une confirmation de la position du G29 dans les lignes directrices précitées.

  • et surtout, un arbre de décision. La CNIL a énoncé des critères de « criticité » des traitements puis indique que le fait que deux critères de criticité soient présents (ou un seul critère si le traitement présente un risque « élevé ») doit conduire à mener une étude d’impact.

Parmi ces critères, on trouve le traitement des données de santé et aussi le traitement de données concernant les patients. Autant dire que dans le secteur de la santé, les opérateurs seront vites confrontés à l’obligation de mener une étude d’impact.


Délégué à la protection des données

Le RGPD oblige certaines entreprises à désigner un délégué à la protection des données (DPD ou DPO pour data protection officer) notamment lorsque l’entreprise a des « activités de base » consistant en des traitements « à grande échelle » de catégories de données sensibles, les données de santé en faisant donc partie.

Tant la notion d’« activité de base » que celle de « traitement à grande échelle » sont encore interprétables à l’aune de l’entrée en vigueur du RGPD.

Le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel », son rôle étant « d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur [leurs] obligations » et de « contrôler le respect » du RGPD et de tous les autres textes liés à la protection des données.


La Cabinet Barbey, société d’Avocat conseille ses clients dans le domaine des données de santé.

 
 

Il aborde régulièrement avec ses clients les questions suivantes :

  • les données traitées sont-elles des données de santé ?

  • faut-il mettre en place un registre des traitements ?

  • faut-il désigner un délégué à la protection des données ?

  • faut-il effectuer une AIPD (analyse d’impact relative à la protection des données) ?

  • faut-il appliquer les dispositions sur l’hébergement des données de santé (art. L.1111-8 et R.1111-8-8 et s. du Code de la santé publique) ?

Répondre à ces questions permettra la mise en conformité de l’entreprise au regard du droit des données de santé.

Une fois ces questions liminaires traitées, et selon les cas, le Cabinent Barbey, société d’Avocat accompagne ses clients pour :

  • l’accompagnement des entreprises de santé pour la réalisation des obligations déclaratives auprès de la CNIL

  • la mise en place du registre des traitements ;

  • la rédaction de l’étude d’impact

  • la mission de délégué externalisé à la protection des données

  • la relecture des contrats avec les hébergeurs de données de santé

  • la mise en place des contrats avec les sous-traitants des données personnelles.

Maître Astrid Barbey, avocat au barreau de Paris

 
Foussat-A02 (2).jpg
 

Maître Astrid Barbey
Fondatrice du Cabinet

 

Forte à la fois d’une expérience en Angleterre, puis en France, au sein de grands cabinets d’avocats, FTPA et Baker & McKenzie, mais également en tant que juriste en entreprise pour le laboratoire pharmaceutique AstraZeneca, c’est ce double regard sur son métier, à la fois d’avocat et de décisionnaire en entreprise, qu’Astrid BARBEY met désormais en pratique auprès des clients du Cabinet.

Astrid BARBEY jouit d’une expérience significative auprès de clients des secteurs de la santé et des sciences de la vie (produits de santé dont les dispositifs médicaux, industrie pharmaceutique, dispositifs médicaux, biotechnologies), notamment dans un environnement international.

Astrid BARBEY est diplômée du Magistère de Juriste d’Affaires Européen de la Faculté de Nancy et de la Faculté de droit de Lancaster (Royaume-Uni).

Back.png
 
logo (2).png
 

Référence le Cabinet Barbey pour une pratique réputée en :

1.

Santé, Pharma & Biotechnologies
Droit réglementaire

2.

Santé, Pharma & Biotechnologies
Santé électronique

3.

Concurrence  &  Distribution
Santé & Industrie Pharma

Contactez nos avocats d’affaires

tél : + 33 1 83 62 36 99


26 avenue de la Grande Armée - 75017 Paris
Accès : Argentine / Ch. De Gaulle-Etoile

 
Back.png