Quelles formalités pour les traitements de données de santé ?
De nombreux traitements peuvent contenir des données de santé. Leur mise en œuvre peut nécessiter l’accomplissement d’une formalité préalable. La CNIL vous guide pour savoir quand et quelle formalité effectuer ?
Le règlement général sur la protection des données (RGPD) a allégé les obligations en matière de formalités préalables, laissant place à une logique de responsabilisation des acteurs, qui doivent être en mesure de démontrer à tout moment leur conformité aux exigences du RGPD (principe d’accountability).
Toutefois, la loi Informatique et Libertés maintient des formalités préalables auprès de la CNIL concernant les traitements de données de santé, qui sont définies comme des données « sensibles »
Rappel
Par principe, le traitement des données de santé est interdit sauf dans des cas particuliers (article 9 du RGPD et article 6 de la loi Informatique et Libertés).
Elles peuvent toutefois être traitées dans certaines conditions (article 9.2 du RGPD et article 44 de la loi Informatique et Libertés).
Quelles sont les formalités auprès de la CNIL ?
La loi Informatique et Libertés prévoit des formalités préalables auprès de la CNIL concernant les traitements de données de santé.
Ce régime s’applique :
- dans le cadre des activités d’un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ;
- et/ou lorsque les personnes concernées résident en France, y compris lorsque le responsable de traitement n'est pas établi en France.
Si au moins un de ces critères est rempli, le traitement peut nécessiter l’accomplissement de formalités.
Vous devez donc d’abord vérifier si votre cas nécessite la réalisation d’une formalité ou non.
Tout d’abord, vous devez identifier si votre traitement relève d’une des hypothèses excluant l’accomplissement de formalités :
L’article 65 de la loi Informatique et Libertés prévoit des cas ou l’accomplissement de formalités n’est pas nécessaire. Cela concerne les traitements suivants :
- la personne concernée a donné son consentement explicite au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
- L’accomplissement d’une formalité n’est pas nécessaire lorsque la personne a donné son consentement au traitement de ses données de santé (article du 9 RGPD) après avoir été correctement informée.
- Il convient de distinguer la base légale (article du 6 RGPD) sur laquelle est fondée le traitement, de la dérogation qui permet de traiter des données sensibles (article du 9 RGPD) qui sont complémentaires et qui doivent toutes deux être justifiées.
- Le consentement au traitement des données doit être distingué du consentement à l’acte de soins ou du consentement à la participation à une étude.
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité prévue par les textes ;
- le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée ;
- le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
- le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose – en raison de ses fonctions – l'obligation de secret professionnel ;
À savoir : il s’agit de l’exception mobilisée dans le cadre de la prise en charge des patients par les professionnels de santé.
- les études internes, répondant à trois conditions cumulatives. Il doit s’agir d’une étude réalisée :
- à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés ;
- par les personnels assurant ce suivi ;
- et pour leur usage exclusif ;
- les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale ;
- les traitements mis en œuvre par les organismes chargés de la gestion d'un régime de base d'assurance maladie dans le cadre de leurs missions ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;
- les traitements mis en œuvre par l’État ou les agences régionales de santé (ARS) ;
- les traitements mis en œuvre par l’État pour la conception, le suivi ou l’évaluation des politiques publiques ou la collecte, l’exploitation et la diffusion de statistiques en santé.
En revanche, si le traitement envisagé n’appartient à aucune de ces catégories et en dehors de cas spécifiques (par exemple, les traitements créés et encadrés par un acte réglementaire), le responsable de traitement devra effectuer des formalités préalables auprès de la CNIL.
Deux régimes de formalités à réaliser auprès de la CNIL demeurent pour les traitements de données de santé dans le domaine de la santé, pour des hypothèses très ciblées :
La déclaration de conformité ou la demande d’autorisation
Les traitements présentant une finalité d’intérêt public concernant :
- les recherches, études et évaluations dans le domaine de la santé ;
- certaines bases de données mises en œuvre dans le domaine de la santé (entrepôts, vigilances sanitaires, accès précoces et compassionnel, etc.) .
Afin de faciliter les démarches des organismes, la CNIL a publié des référentiels correspondant aux exigences et bonnes pratiques sectorielles, auxquels les responsables de traitement doivent se référer avant la mise en oeuvre de leurs traitements.
Il existe deux types de référentiels :
- Les référentiels dits « de droit souple » sont des cadres de référence non contraignants. Le fait de les suivre et de les respecter doit vous permettre de mettre vos traitements en conformité avec le RGPD.
Toutefois, vous pouvez décider de vous écarter de certaines de leurs préconisations, par exemple si des éléments tenant à votre situation particulière le justifient.
- Les « référentiels santé », comprenant des « méthodologies de référence », prévus afin de faciliter la démarche des organismes concernant l’accomplissement de formalités préalables obligatoires :
- Le principe consiste en une déclaration de conformité au référentiel ou à la méthodologie de référence adapté, si le traitement y est conforme en tous points. Il appartient au responsable de traitement d’apprécier si son traitement est conforme en tout point au référentiel et attester de cette conformité dans sa documentation interne. Il doit pouvoir le démontrer en cas de contrôle de la CNIL.
- L’exception consiste en une demande d’autorisation auprès de la CNIL lorsqu’il existe des points de non-conformité entre le traitement et le référentiel adapté. Pour plus d’information sur les informations à fournir et les critères d’octroi lors de demandes d’autorisation en santé, des fiches dédiées ont été publiées.
À savoir : dans une même décision, la CNIL peut délivrer à un responsable de traitement une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques (appelées « décision unique », qui sont publiées sur Légifrance).
Par exemple, un organisme souhaite mener plusieurs recherches afin d’étudier, au moyen d’une méthodologie standardisée, les trajectoires de soins de patients atteints d’une certaine pathologie à partir de dossiers médicaux . Pour faciliter sa démarche, elle peut effectuer une demande auprès de la CNIL afin de se voir délivrer une décision unique plutôt que d’effectuer une demande d’autorisation pour chaque recherche.
► Afin de mieux appréhender les différents référentiels et méthodologies de références applicables, vous pouvez consulter la fiche dédiée.
La demande d’avis sur un projet d’acte réglementaire autorisant un traitement de données de santé.
Par ailleurs, certains traitements doivent être autorisés via un acte règlementaire, précédé d’un avis consultatif de la CNIL.