RGPD : données concernant la santé

Avec l’évolution grandissante que connaît le monde du numérique depuis quelques années, de nombreuses données de santé sont recueillies par les professionnels via les sites internet, applications et objets connectés. Or, au sens du Règlement Européen sur la Protection des Données (RGPD), ces données relatives à la santé sont considérées comme des « données sensibles ». A cet effet, et au regard de leur importance, le Règlement prévoit un cadre strict et rigoureux, en vue d’assurer leur protection.

Les notions de données personnelles et de données de santé

La notion de données personnelles peut avoir un sens réduit ou large selon le contexte. Mais de façon générale, une donnée personnelle est toute information relative à une personne physique identifiée ou identifiable. L’identification ici peut être directe, c’est-à-dire via le nom et le prénom de la personne. Elle peut en outre être indirecte et établie sur la base d’un identifiant, d’un numéro client, ou d’autres éléments liés à l’identité physique, génétique, physiologique ou économique de la personne concernée.

Qu’est ce qu’un donnée de santé? Le G29 la définit comme étant « une donnée en relation étroite avec l’état de santé de la personne ». Ainsi, une information sur la consommation d’alcool, de drogue, ou de médicaments doit être considérée comme une donnée de santé. Un autre projet de loi relatif à la protection de cette donnée va plus loin, en la considérant comme « toute information relative à la santé physique ou mentale d’une personne ».

En conséquence, la fréquence cardiaque, le groupe sanguin, les données génétiques, les informations sur les handicaps, l’IMC et autres, sont considérés comme des données de santé et sont de ce fait protégés par le Règlement Européen. Les données utilisées à des fins médicales sont aussi classées sous cette appellation. Il s’agit en fait de données sensibles au sens du Règlement Européen, parce que couvertes par le secret médical et utilisées pour les établissements financiers, de sorte qu’elles sont soumises à un régime spécifique et bénéficient d’une protection des pouvoirs publics.

Les modalités de traitement d’une donnée de santé

Est considérée comme un traitement de données de santé, toute opération portant sur l’analyse, la lecture, le croisement de données relatives à la santé d’une personne, dans le but de parvenir à un résultat. Au regard de la sensibilité des informations traitées, le Règlement interdit scrupuleusement le traitement de ces données, sans le consentement exprès des personnes concernées. Il interdit également que ce traitement se fasse en dehors des cas légalement prévus.

A travers la limitation de l’utilisation de ces données sensibles, le Règlement sur la Protection des Données a pour objectif de renforcer le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données personnelles de santé. Il vise aussi l’harmonisation en Europe des règles relatives au traitement des données, en établissant un cadre juridique unique pour tous les professionnels de santé, tout en étant au diapason des avancées en matière de numérique.

Le consentement de la personne

Le RGPD fait du consentement de la personne concernée un préalable nécessaire au traitement des données liées à sa santé. C’est dire qu’à partir du moment où ce consentement est donné par la personne, de manière libre, expresse et univoque, sans pression, il est considéré comme légal. Toutefois, il précise que la personne consentante doit obligatoirement être informée des buts et objectifs du traitement.

Néanmoins, les Etats membres de l’Union Européenne ont le loisir de disposer de règles plus strictes en ce sens, pour peu qu’elles soient conformes aux exigences du RGPD et ne lui soient pas contraires. C’est par exemple le cas en France, dans le cadre de la loi Informatique et Libertés modifiée en juin 2018.

Les exceptions prévues par le RGPD

En l’absence de consentement de la personne concernée, le traitement des données santé peut être conforme à la loi lorsqu’il est réalisé en vue de l’atteinte de certains objectifs précis, ou lorsque la loi l’exige. Des cas exceptionnels illustrent cette position. Il s’agit par exemple des cas de :

• Prévention de la santé publique (limitation des risques de contagion ou de propagation d’une maladie).
• Gestion des systèmes et services de santé ou de la protection sociale.
• Préservation des intérêts vitaux de la personne concernée si elle se trouve dans l’incapacité de donner son consentement.
• Renseignements en matière de médecine du travail ou de pourcentage légal d’emploi de personnes handicapées.
• Appréciation médicale (médecine préventive, diagnostics, soins, traitements, etc.).

Outre ces cas, l’utilisation d’une donnée santé est strictement interdite. Logiquement, ces dernières ne peuvent pas non plus être commercialisées.

Les obligations des professionnels et entreprises traitant des données de santé

Le Règlement Européen sur la Protection des Données impose aux entreprises et professionnels, effectuant le traitement de quelque donnée santé que ce soit, des obligations plutôt strictes. Ces entreprises ont à cet effet l’obligation de :

• désigner un délégué à la protection des données (DPO) ;
• tenir un registre des traitements ;
• faire une analyse des risques.

Désignation et rôles du DPO

La nomination d’un DPO est un impératif fixé par le RGPD à toute entreprise opérant des traitements de données liées à la santé. Celui-ci a pour rôle de veiller à la conformité des pratiques en matière de traitement de données de santé, vis-à-vis des dispositions du Règlement Européen. Il conseille les dirigeants sur tous les sujets ayant trait à la protection des données. Le DPO peut être un salarié de l’entreprise ou un externe.

La tenue du registre des traitements

Elle consiste en la mise en place d’un registre où se trouveront :

• les objectifs du traitement ;
• les informations relatives aux sujets concernés ;
• les informations liées au DPO et au responsable du traitement ;
• les délais de conservation des données ;
• la description de mesures de protection des données.

L’analyse des risques

Le traitement des données de santé peut influer sur la vie privée, ainsi que sur les droits et libertés des personnes auxquelles elles appartiennent. C’est fort de cela que le RGPD exige aux responsables du traitement de réaliser une étude d’impact de ces traitements. Cette dernière doit renseigner sur :

• les mesures employées pour assurer la protection des données (chiffrage, anonymisation par exemple) ;
• les détails des opérations de traitement et l’objectif visé par le responsable ;
• le rapport bénéfice/risque pour les personnes concernées, c’est-à-dire quel est le véritable intérêt de ce traitement pour elles.