1- Qu'appelle-t-on données de santé ?
Nous entendons très souvent parler de nos données de santé. Aujourd'hui en effet, elles sont un enjeu majeur pour beaucoup de sociétés qui développent des services autour du soin comme par exemple le suivi des constantes patient, la gestion des rendez-vous médicaux en ligne, les dispositifs médicaux connectés, etc.
Mais que regroupent-elles, comment sont-elles traitées et comment sont-elles protégées ?
A - Définition
Selon le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, on appelle données santé :
Les données personnelles relatives à la santé physique ou mentale d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.
B - En pratique
Sont concernées, par la définition ci-énoncée, les données collectées lors de l'inscription à un acte ou un examen de santé, lors de la réalisation de cet acte ou examen, ou encore celles qui sont relatives à un état de santé ou un handicap. Ce sont également les données à partir desquelles il est possible de faire une déduction concernant l’état de santé d’une personne. Les données génétiques et biométriques font en font partie.
Toutes ces données sont relatives à la santé passée, présente ou future d’une personne physique.
Aujourd’hui, l’appellation de données de santé recouvre non seulement les informations recueillies et produites lors d’un parcours de soins mais aussi celles traitées par les sociétés qui développent des applications informatiques relatives à la santé.
Pour en garantir le traitement, ces données, à caractère particulièrement sensible, sont encadrées par 3 textes de loi :
Le RGPD
La Loi Informatique et Libertés : LIL
Le Code de la Santé Publique
2- Les obligations du collecteur
Si le RGPD interdit le traitement des données de santé, il est bien évident qu’elles se révèlent nécessaires pour le corps médical qui doit pouvoir les exploiter dans un cadre thérapeutique. C’est précisément ici que votre accord est nécessaire et pour le donner, vous devrez avoir reçu toutes les informations obligatoires.
A - Obligation d'information
Afin d'obtenir votre consentement, le collecteur de données se doit de vous communiquer de nombreuses informations dont vous devrez prendre connaissance.
B - Recueil du consentement
Le RGPD impose un consentement « clair, positif, libre et spécifique », c’est à dire qu'il doit être donné de façon directe et volontaire, en laissant la possibilité d’accepter ou non cet accord de traitement.
Le collecteur de données doit vous communiquer une information simple, précise et ne pouvant pas être sujette à une quelconque fausse interprétation (obligation de transparence). Les pictogrammes, la vidéo, à la mise en exergue de certains points seront autant d’éléments qui pourront permettre au plus grand nombre une appropriation simple du contenu qui fera l’objet de l’accord demandé.
3- Exceptions, accountability et droits des personnes
Le traitement de nos données santé à caractère privé est le sujet de nombreux questionnements et inquiétudes. Pour les protéger, les exploitants ont des obligations fondamentales et les propriétaires des droits qu'ils doivent connaître et peuvent faire valoir.
A - Exceptions au consentement
Bien encadrée, l'obligation de consentement en vue de recueil des données santé peut, dans quelques cas, faire l'objet d'exceptions :
la santé publique : lorsqu'il est impératif de préserver la santé de la population. L'exemple d'actualité est celui de la crise du Covid, lors de laquelle nos données ont dû être traitées, afin d'éviter la propagation du virus.
Le risque vital : lorsque la personne susceptible de donner son consentement ne peut le faire alors même que sa vie est mise en danger.
Le traitement médical au sens large : établissement d'un diagnostic, soins prodigués, prévention.
B - Principe d'accountability
Il s'agit ici, pour le collecteur, de pouvoir à tout moment rendre des comptes quant au respect de ses obligations. Il doit être en mesure d'en justifier, sur demande de la CNIL (Commission Nationale de l’Informatique et des Libertés), qui peut les inspecter librement.
C - Droits et recours des propriétaires de données santé
Les personnes ayant fait l’objet d’une collecte de données santé peuvent faire valoir leurs droits auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).
Le premier de ces droits est de pouvoir être informées du traitement de leurs données. Elles peuvent également en demander l’accès, la rectification, la récupération ou encore le gel. La CNIL a le pouvoir de sanctionner, d'amender et de demander le versement de dommages et intérêts au profit de l’usager plaignant.
Comentários