Dans quels cas et à quelles conditions des données de santé peuvent-elles être collectées sur les sportifs ?
Des données directement en lien avec la santé des sportifs, ou permettant d’en déduire des informations sur celle-ci, sont fréquemment collectées par les acteurs de l’écosystème (clubs, fédérations, ligues professionnelles, institutions, etc.). Ces données sont particulièrement protégées.
Qu’est-ce qu’une donnée concernant la santé ?
Les données concernant la santé sont des données sensibles, au même titre que les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, etc. (art. 9.1 du règlement général sur la protection des données ou RGPD).
Une donnée de santé est relative à la santé physique (ex. : conditions physiques, pathologies, antécédents médicaux, etc.) ou mentale (ex. : troubles psychiatriques, etc.) passée, présente ou future, d’une personne. Elle comprend toute information concernant une maladie, un handicap, ou un risque de maladie.
Par exemple, dans le secteur du sport, sont des données de santé :
- les résultats des analyses de biologie médicale réalisées dans le cadre de la lutte contre le dopage, les examens d’imagerie médicale réalisés sur un joueur de rugby après une commotion cérébrale survenue à l’occasion d’un match, etc. ;
- l’information diffusée par les médias sur les suites d’une blessure survenue à un sportif de haut niveau à l’occasion d’une compétition ;
- la donnée collectée par un acteur de l’écosystème qui permet d’identifier le type de handicap ou sa gravité, lorsqu’un sportif est en situation de handicap.
Schématiquement, il existe trois grandes catégories de données de santé.
Données de santé par nature
Ex. : examens médicaux réalisés sur les sportifs professionnels salariés préalablement à la conclusion de leur contrat ou sur les sportifs de haut niveau (résultats de l’examen clinique et physique réalisé par un médecin du sport, bilan diététique, bilan psychologique, électrocardiogramme de repos, le cas échéant, examens médicaux supplémentaires), blessures mentionnées sur une feuille de match
Données de santé du fait d'un croisement avec d'autres données
Ex. : mesure du poids associée à celle de la taille du sportif
Données de santé du fait de l'utilisation des données
Ex. : la photographie d’un sportif en situation de handicap diffusée à l’occasion d’une campagne de promotion du parasport
Pourquoi des données de santé peuvent-elles être collectées ?
En pratique, les occasions sont multiples :
- réalisation de statistiques dénombrant les sportifs en situation de handicap à l’occasion de la délivrance et / ou du renouvellement de la licence par les fédérations ou clubs affiliés ou de l’adhésion du sportif à un club ;
- adaptation des compétitions sportives à la nature de la situation de handicap du licencié à la suite d’un processus de classification adéquat ;
- surveillance médicale réglementaire (SMR – examens de prévention) et suivi médical (soins) des sportifs de haut niveau et des sportifs inclus dans les projets de performance fédéraux, respectivement par le médecin coordonnateur de la SMR et les médecins des équipes, notamment via l’utilisation d’un logiciel médical ;
- visite médicale programmée dans le cadre de l’embauche des sportifs professionnels salariés ;
- mesure de la performance physique individuelle ;
- analyse d’échantillons biologiques à des fins de lutte contre le dopage ;
- recensement des sportifs blessés sur une feuille de match ;
- collecte de données de santé à des fins de recherches menées par des laboratoires de recherches ou des équipes médicales dédiées, etc.
À quelles conditions les acteurs de l’écosystème du sport peuvent-ils collecter des données concernant la santé des sportifs ?
Outre la nécessité, comme pour le traitement de toute donnée de disposer d’une base légale autorisant le traitement utilisé, deux conditions doivent être réunies :
- Vous ne devez collecter des données sur la santé des sportifs que si elles sont strictement nécessaires (principe de minimisation) pour répondre à un usage précis.
L’application de ce principe impose :
- de ne poser aucune question qui aurait pour effet d’obtenir des informations entrant dans le champ des données de santé qui seraient sans rapport avec l’objet du fichier ;
- si la collecte de la donnée de santé est justifiée, ne recueillir celle-ci que dans une forme strictement nécessaire.
Par exemple, si aux fins d’optimiser la performance physique individuelle d’un sportif de haut niveau, il est possible de mesurer sa fréquence cardiaque au cours des périodes d’entraînement ou de compétitions, la mesure permanente de celle-ci via une montre connectée en dehors de ces périodes serait excessive et non conforme aux exigences du RGPD.
- Vous devez identifier un cas d’usage autorisant la collecte de la donnée de santé
Dans le domaine du sport, les cas d’usage sont :
- Le consentement explicite du sportif : pour être valable, le consentement du sportif doit être libre, spécifique, éclairé et univoque. Cela signifie que le consentement donné par le sportif à la collecte de la donnée de santé nécessaire requiert une action positive et spécifique (p. ex. : recueil d’un consentement écrit), être libre, non influencé ou contraint. Il ne doit entraîner de conséquences négatives pour le sportif en cas de refus. Même le consentement explicite du sportif ne saurait, à lui seul, justifier la collecte de telles données dès lors que ces dernières sont dépourvues de lien direct et nécessaire avec la finalité du traitement.
Exemple : inscription d’un sportif en situation de handicap à un club pour avoir une activité physique adaptée ou utilisation des données sur la situation de handicap à des fins statistiques.
- L’exécution d’obligations ou l’exercice des droits propres au responsable de traitement ou au sportif concerné en matière de droit du travail.
Exemple : concernant les ligues professionnelles, l’article A. 231-5 du code du sport prévoit, qu’au plus tard dans les deux mois suivant l’embauche des sportifs professionnels salariés, puis annuellement, ceux-ci se soumettent à des examens médicaux réalisés par un médecin du sport notamment examen clinique, bilan diététique et psychologique, électrocardiogramme. Attention, dans cette hypothèse, le traitement des données générées par le suivi médical des sportifs concernés doit être expressément autorisé par le droit de l’Union, par le droit français ou par une convention collective.
- La donnée de santé manifestement rendue publique par le sportif concerné
Exemple : révélations volontaires d’un sportif, dans un article de presse à destination du grand public, de la nature de son handicap, de sa vie quotidienne et des spécificités de son entraînement suite à sa participation à des épreuves de coupe du monde ou à des championnats de France parasport.
- L’utilisation de la donnée de santé pour des motifs d’intérêt public important, sur la base d’un texte juridique prévoyant cette utilisation, et intégrant notamment des garanties appropriées.
Exemples :- traitements de données constitués aux fins d’améliorer et d’optimiser la performance physique individuelle des sportifs.
- traitements créés par l’AFLD à des fins de lutte contre le dopage.
- l’utilisation de la donnée de santé à des fins de prise en charge médicale, à la médecine du travail, à l’appréciation de la capacité du travailleur ou à la protection sociale, sur la base d’un texte juridique
Exemple : dossiers médicaux des sportifs pris en charge par les centres de santé des Centres de ressources d'expertise et de performance sportive (CREPS).
- l’utilisation des données de santé du sportif à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Exemple : à des fins statistiques et sous réserve de respecter les dispositions particulières de la loi « informatique et libertés » en la matière, étude réalisée par l’un des services statistiques ministériels, pour le compte du ministère en charge du sport. L’étude a pour objet la prévention et la formation des éducateurs sportifs ; elle porte sur les catégories de blessure générées par la pratique d’une discipline sportive.
Pour mesurer si le traitement des données de santé par les acteurs de l’écosystème est conforme aux exigences du RGPD, vous pouvez appliquer la méthodologie suivante synthétisée dans le schéma ci-dessous.
À quelles conditions stocker et traiter les données de santé utilisées pour la prise en charge médicale du sportif ou la recherche médicale ?
Le cadre légal
Un professionnel de santé peut collecter des données de santé nécessaires à la prise en charge médicale du sportif (ex. : organisation des soins par un centre de santé dans un CREPS) ou mener des recherches médicales à partir de ces données.
Dans cette hypothèse, selon les cas, il doit également respecter le code de la santé publique.
À retenir
Le traitement des données concernant la santé du sportif à des fins de prise en charge médicale ou de recherche médicale est encadré par :
- le RGPD et la loi Informatique et Libertés.
- Dans certains cas, vous devrez réaliser des formalités auprès de la CNIL.
- Pour plus d’information : Recherche médicale : quel est le cadre légal ?
- le code de la santé publique.
Attention
Lorsqu’un fichier traite des données concernant la santé du sportif pour une finalité autre que pour sa prise en charge médicale ou la mise en œuvre d’une recherche médicale (ex. : traitement d’optimisation ou d’amélioration de la performance sportive), la réglementation sur la protection des données personnelles s’applique (RGPD et loi Informatique et Libertés).
Focus : quelles dispositions du code de la santé publique appliquer au traitement des données de santé du sportif pour la prise en charge ou recherche médicale ?
Selon la finalité et les caractéristiques des traitements concernés, il conviendra de veiller au respect des dispositions du code de la santé publique (CSP) applicables en matière :
- de secret professionnel (ou secret médical) de partage et d’échange d’informations entre les membres de l’équipe de soins et avec les professionnels de santé extérieurs à cette équipe - article L. 1110-4 du CSP ;
Par exemple, au sein de l’équipe de soins, des informations peuvent être communiquées entre les médecins et le kinésithérapeute du sportif. En revanche, les entraîneurs, préparateurs physiques et mentaux des sportifs n’ont pas accès aux dossiers médicaux des sportifs.
- d’hébergement de données de santé lorsque celui-ci est réalisé par un prestataire extérieur (ce dernier doit être certifié hébergeur de données de santé) – article L. 1111-8 du CSP ;
- de politique générale de sécurité des systèmes d’information de santé (PGSSI-S) pour les systèmes d’information de santé – articles L. 1470-5 et suivants du CSP.
Les bonnes questions à se poser pour évaluer sa conformité
- A-t-on appliqué les grands principes en matière de traitements de données personnelles :
- Existe-t-il une base légale pour le traitement des données du sportif ?
- Existe-t-il un cas d’usage autorisant la collecte de la donnée de santé concernant le sportif ?
- La collecte de la donnée de santé est-elle adéquate, pertinente et limitée à ce qui est nécessaire au regard de la finalité de ce traitement ?
- Les données sont-elles collectées à des fins de prise en charge médicale du sportif ? Dans l’affirmative, les dispositions du code de la santé publique ont-elles été respectées (secret professionnel, hébergement de données de santé, etc.) ? Les dispositions spécifiques de la loi Informatique et Libertés en matière de formalités ont-elles été également respectées ?
- Si un délégué à la protection des données (DPD/DPO) a été désigné, son avis a-t-il été sollicité sur le sujet ?
Pour approfondir
Textes de référence
- Articles 4.15 du règlement général sur la protection des données (RGPD) – Définition de la donnée de santé
- Article 9 du RGPD – Données sensibles
- Articles 6.1 de la loi Informatique et Libertés – Interdiction de traiter des données sensibles
- Articles 44.2 et 44.6 de la loi Informatique et Libertés - Exceptions à l’interdiction de traiter des données sensibles
- Pour les centres de santé gérés par les CREPS, référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux