Les données de santé sont des données à caractère personnel considérées comme sensibles. Elles font de ce fait l’objet d’une protection réglementaire particulière. À l'heure du RGPD, de la collecte massive de données à caractère personnel, et de la survalorisation de la donnée à des fins de traitement automatisé, qu'en est-il donc de ces données de santé, particulièrement sensibles ? Que dit la loi pour la définir et surtout quelles sont les obligations des professionnels qui les collectent, échangent ou les stockent chaque jour dans les dossier médicaux ?
Qu'appelle-t-on une "donnée de santé" ?
Durant plus de deux décennies, les industriels, les juristes et les autorités se sont disputés la définition de la donnée de santé, certains voulant réduire son champ d'application pour limiter les effets contraignants de la collecte et du traitement des données sensibles.
Le RGPD pose enfin une définition et des exemples de traitement des données de santé. La CNIL a rebondit sur cette définition des données de santé pour en préciser les contours.
Depuis plusieurs mois, c'est l’article 4 du RGPD qui pose une définition des données de santé et indique qu'il s'agit des « données concernant la santé, les données (…) relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Le texte précise également que les données relatives à la santé peuvent concerner « l’état de santé physique ou mentale passé, présent ou futur de la personne concernée », et ce « indépendamment de [leur] source ».
La CNIL a aussi précisé les critères qui peuvent permettre de définir la données de santé :
- La nature de la donnée : notamment les antécédents médicaux, pathologies (maladies, handicaps), traitements et examens médicaux, prestations de soins réalisées...
- Des informations obtenues par le croisement de données : par exemple l'IMC est obtenu en croisant des données personnelles qui ne sont pas des données de santé.
- La finalité d'utilisation de la donnée : par exemple l'origine ethnique qui impose parfois des examens particuliers ou une adaptation des traitements médicaux.
Hébergement données de santé
Les données de santé étant des données sensibles, leur hébergement doit être hautement sécurisé. Tout hébergeur de données de santé doit donc obligatoirement être agréé ou certifié.
La certification remplace en fait l’agrément délivré jusqu'alors par le ministère de la Santé. La certification HDS a pour vocation de renforcer la protection des données de Santé à caractère personnel et de construire un environnement de confiance autour de la e-santé.
Les conditions de certification sont celles définies par l'article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016 et la procédure de certification est stricte : certification des hébergeurs de données de santé.
Voici la liste des hébergeurs de données de santé agréés.
Les obligations des professionnels de santé
Les médecins et plus généralement tous les personnels soignants amenés à traiter des données de santé doivent être vigilants. S'ils sont déjà à l'aise avec le secret médical et donc sensibles au fait que ces données doivent être particulièrement sécurisée, ils ne maitrisent pas toujours les contraintes réglementaires qui les lient. Il faut être particulière vigilant sur ces quatre points :
- L'obligation d'information et d'accès aux données : Les patients doivent être informés par leur médecin de la collecte des données personnelles et avoir accès à celles-ci;
- La protection de la donnée : les données personnelles (non anonymisées) doivent être stockées sur des espaces sécurisés et l'accès doit y être limité;
- Le respect des durées de conservation légales : il faut détruire les données au bout d'une certaine durée;
- L'interdiction de traitement hors du cadre de collecte et d'information du patient : il n'est pas possible pour le médecin d'effectuer des analyse des données personnelles en dehors du cadre de l'activité de soin pour laquelle il a collecté les données, sauf s'il en a informé le patient et recueilli son consentement pour un autre usage.
Il est à noter que la CNIL dispose de pouvoirs accrus en matière de contrôle et de contrainte, et que certains professionnels de santé ont déjà été sanctionnés pour des manquements à leurs obligations. Soyez vigilants !