Durant la crise sanitaire actuelle, liée au virus du COVID-19, que nous vivons, il apparait plus qu’important de s’intéresser à la collecte des données de santé et leur gestion par les différents organismes.
En effet, lorsqu’on se fait vacciner, lorsqu’on fait une prise de sang ou encore simplement lorsqu’on fait un test PCR (« Polymerase Chain Reaction ») des données de santé sont collectées afin de pouvoir mener à bien ses services.
Le RGPD responsabilise les organismes publics et privés qui traitent les données à caractère personnel. Vous êtes un organisme collectant des données personnelles ? Il est alors nécessaire d’adopter les bons réflexes et d’être en conformité avec ce règlement.
Ainsi, il est essentiel de pouvoir collecter des données en respectant les modalités du RGPD afin d’éviter au maximum les sanctions provoquées par le non-respect du règlement.
- Quel est le rôle du responsable de traitement dans la collecte des données de santé ?
Le RGPD entend favoriser la confiance entre les personnes concernées et le responsable de traitement des données. A ce titre, il crée une obligation d’information et de transparence à la charge du responsable de traitement.
Ce dernier détient l’obligation d’informer les personnes, dont les données sont collectées, des raisons de la collecte et de la manière dont ces données seront traitées.
Il est fortement conseillé de minimiser les données demandées, notamment concernant des données sensibles comme le numéro de sécurité sociale, NIR ou encore l’état psychique.
Par ailleurs, le responsable de traitement se doit également d’informer la personne dont les données sont collectées lorsque le traitement connait une modification substantielle ou dans le cas d’un évènement particulier attaché au traitement.
Particulièrement dans le domaine de la santé, le notion de préservation de la vie privée devient essentielle et primordiale, il convient alors d’informer au mieux les personnes concernées.
- Comment mettre en pratique l’obligation d’information et de transparence à la charge du responsable de traitement ?
L’information doit être spécifique et accessible à tous, c’est-à-dire que dès lors qu’une donnée est collectée il convient d’indiquer les modalités du traitement de cette donnée à la personne concernée.
Au sein du domaine de la santé, l’information du patient est une priorité dont l’architecture est composée de plusieurs niveaux. Il est essentiel de rédiger une politique de protection des données personnelles dès qu’une information, telle que l’adresse postale ou le nom du patient, est collectée.
Le professionnel de santé peut, par exemple, émettre un lien à travers lequel le patient aura un accès direct à la politique de protection des données personnelles.
Remarque : lorsque des données sont collectées dans le cadre d’essais cliniques, il est important de rédiger des Chartes et lettres d’informations destinées au patient. Elle doivent être compréhensibles, transparentes et informer au mieux les patients sur la destination et le traitement de ses données.
- Quelles sont les différentes phases du cycle de vie d’une donnée de santé ? Comment évaluer la durée de conservation d’une donnée ?
Le cycle de vie d’une donnée peut se décomposer en trois phases successives :
- L’utilisation courante (« base active ») : la donnée est utilisée activement par les services chargés de la mise en œuvre du traitement. Concrètement, ce sont les dossiers utilisés quotidiennement dont les données sont accessibles dans l’environnement de travail immédiat ;
- L’archivage intermédiaire : la donnée n’est plus utilisée pour atteindre l’objectif fixé mais présente encore un intérêt administratif pour l’organisme ou bien est conservée pour un intérêt légale ;
- L’archivage définitif : la donnée est archivée sans limitation de durée. Cette dernière phase concerne les traitements mis en œuvre à des fins archivistiques dans l’intérêt public.
Pour chacune des phases susvisées, un tri doit être opéré parmi les données personnelles concernées.
Exemple : en vue d’une radio, les données personnelles du patient entre dans une base active, puis dans un archivage intermédiaire et la phase d’archivage définitif n’est pas systématique (notamment dans le domaine de la recherche ou les données sont longtemps conservées en archivage intermédiaire).
Pour les cabinets médicaux et paramédicaux, la durée de conservation en archivage intermédiaire est en moyenne de 15 ans.
Lors de la dernière étape d’archivage définitif, il convient de détruire les données ou alors de les anonymiser pour qu’il soit impossible de retracer l’identité de la personne concernée.
Il est possible, pour mener à bien la phase d’archivage, de faire appel à un prestataire technique et donc passer par un support distinct, toutefois il convient alors de s’assurer de la sécurité des données archivées.
En effet, le sous-traitant ne doit pas avoir la possibilité de visualiser les données qui lui sont transférées, si bien qu’il est nécessaire de crypter les données. Par ailleurs, le responsable de traitement doit communiquer à son sous-traitant la ou les durées de conservations à appliquer.
Conformément à l’article 5 du RGPD, le responsable de traitement doit déterminer une durée de conservation des données personnelles cohérente et justifiée au regard de l’objet du traitement.
Un organisme n’a pas la possibilité de conserver des données de manière illimitée, sauf dans des cas spécifiques et limités à ce qui est strictement nécessaire.
La Commission National de l’Informatique et des Libertés (ci-après la « CNIL ») est extrêmement vigilante sur la durée de conservation des données et récemment plusieurs contrôles ont été menés à ce niveau engendrant des condamnations très importantes.
- Quel est l’impact de la gestion des données de santé dans le contexte actuel de lutte contre l’épidémie liée au virus COVID-19 ?
Depuis le début de la crise sanitaire en mars 2020, de nombreux traitements ont été développés, tels que les :
- Traitements liés à la recherche médicale et vaccinale ;
- Traitement liés à la surveillance de la population (caméras thermiques, drones) ;
- Traitements liés à l’identification des chaînes de contamination ;
- Traitements opérés par les collectivités territoriales.
Le développement des traitements susvisés a entrainé une collecte significative des données de santé.
Par ailleurs, l’application gouvernementale « TOUS ANTI-COVID » permettant d’identifier les chaines de contaminations a soulevé de nombreux débats notamment sur le sujet de la discrimination des personnes contaminées.
La CNIL opère régulièrement des contrôles sur la collecte des données via cette application, et le dernier bilan effectué en janvier 2021 indique que la majorité des traitements respectent le RGPD.
Il est essentiel de souligner que la conservation des données de santé des salariés, collectées dans le cadre de la lutte contre la crise sanitaire, n’est pas autorisé par les employeurs.
Par exemple, ces derniers ont la possibilité de prendre la température de leurs salariés au moment de l’entrée au sein des locaux de l’entreprise, en revanche, les données collectées doivent être détruites et ne peuvent être conservées par l’employeur.
Les données collectées au sein des campagnes de vaccination actuelles sont le NIR, les antécédents médicaux de la personne concernée et les critères d’éligibilité à la vaccination. L’ensemble de ces données sont collectées pour un objectif : la mise en place du vaccin.
La durée de conservation de ces données est estimée à 10 ans, toutefois, il est obligatoire de verrouiller au maximum l’accès aux données de santé collectées, compte tenu de leur caractère sensible.
- Comment s’assurer de la sécurisation des données collectées ?
Même les plus grandes entreprises, disposant des meilleurs systèmes de sécurité, ne sont pas à l’abri d’une faille.
La faille de sécurité représente une vulnérabilité ou une faiblesse dans le système informatique permettant alors à un attaquant de porter atteinte au fonctionnement du système, à la confidentialité ou à l’intégrité des données qu’il contient.
Le premier rempart permettant de sécuriser les données collectées sont les hébergeurs des données santé, ils doivent être certifiés.
Depuis le 1er juillet 2018, une nouvelle procédure de certification a été mise en place : l’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC, Comité Français d’Accréditation (ou équivalent au niveau européen). L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur.
Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.
En revanche, si vous hébergez vos données, pour votre propre compte, il n’est pas nécessaire d’obtenir cette certification.
Par ailleurs, il est fortement conseillé au responsable de traitement de vérifier la localisation des serveurs des sous-traitants avec lesquels il travaille notamment avant de procéder à la signature d’un contrat de sous-traitance.
L’ANSSI, Agence Nationale de la Sécurité des Systèmes d’information a mis en place un abonnement CERTFR afin de prévenir et alerter lorsque vos données sont piratées.
La sécurisation des données est effectuée à travers plusieurs remparts au sein de l’entreprise, à savoir :
- Sensibilisation des utilisateurs (sécurisation des postes de travail) et rappel de bonne conduite ;
- Gestion des habilitations : tout le monde ne peut pas accéder aux données collectées ;
- Chiffrement des données avec des algorithmes de chiffrement (ex : AES 256) ;
- Plan de continuation de l’activité dans l’hypothèse où le système informatique serait hors service, ou lors d’une attaque ou d’un piratage du système ;
- Protection des locaux : le réseau wifi est une des premières failles de sécurité informatique.
La CNIL a condamné deux médecins libéraux pour insuffisance de sécurité des données : les données de leurs patients étaient en accès libre sur Internet.
Par conséquent, il est primordial, en qualité de chef d’entreprise, de sensibiliser les collaborateurs ou salariés sur la sécurité des données collectées. (cf newsletter sur le site www.cybersecurite.gouv.fr )
- Comment mettre en pratique la sécurisation des données sur le plan contractuel ?
Lors de la signature des contrats avec vos sous-traitants, il convient d’inclure certaines clauses obligatoires permettant de garantir la protection des données personnelles :
- Finalités et instructions ;
- Obligations du responsable de traitement ;
- Devoir d’assistance de conseil et d’alerte ;
- Obligations du soustraitant ;
- Confidentialité ;
- Mesures de sécurité ;
- Notification des violations et droits des personnes ;
- Soustraitance ultérieure.
Une faille de sécurité doit être notifiée à la CNIL dans les 72h de la prise de connaissance, il convient alors d’obtenir la plus grande réactivité possible de la part de vos sous-traitants.
Etant donné le caractère sensible des données de santé, il est important d’inclure une clause d’audit pour garantir la sécurité car le responsable de traitement est le premier responsable d’une faille de sécurité avant même que la responsabilité du sous-traitant soit engagée.
- Est-il nécessaire de nommer un DPO lorsqu’on traite des données sensibles comme les données de santé ?
Dès lors que vous traitez des données sensibles, en l’occurrence des données de santé, il est fortement conseillé de désigner un Délégué à la Protection des Données (ci-après « DPO »).
Ce dernier peut être caractérisé de chef d’orchestre entre les différents acteurs du traitement des données. Il est un élément indispensable dans la mise en conformité d’une société et particulièrement sur le suivi de la conformité d’une entreprise au regard du RGPD.
Toutefois, il convient d’être vigilent lors de la nomination d’un DPO en vérifiant que ce dernier dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.
Le Cabinet PLR AVOCATS est un cabinet qui vous accompagne dans votre mise en conformité au regard du RGPD :
