Retour sur la journée CNIL “Protection des données de santé : Des soins à la recherche
Article
Retour sur la journée CNIL “Protection des données de santé : Des soins à la recherche
19 July 2022
Le 23 juin dernier, la Commission nationale de l’informatique et des libertés (ci-après ” CNIL “) a organisé une journée de conférence en partenariat avec l’Université de Bordeaux. Cet événement a été l’occasion pour les participants de recevoir un point de vue technique et opérationnel sur la mise en œuvre du RGPD dans le milieu de la santé.
Les certifications de sécurité du cloud offrent un certain degré de transparence et peuvent aider le contrôleur à avoir une plus grande confiance dans la sécurité des CSP. Cet article décrit brièvement le cloud computing, puis les différents systèmes de certification actuellement en vigueur. Nous fournissons des conseils aux contrôleurs sur la manière de remplir leurs obligations lorsqu’ils travaillent avec les CSP.
Le cadre juridique des données personnelles de santé
Conformément à l’article 4 du RGPD, les données personnelles relatives à la santé sont considérées comme des informations ” relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur son état de santé “. En se référant à cette définition et à l’interdiction de les traiter en raison de leur caractère sensible mentionnée à l’article 9, les juristes de la CNIL ont renforcé la pleine application du RGPD sur ce type de données. La CNIL a recommandé d’identifier les données par une analyse au cas par cas en fonction du contexte de leur collecte. Ce travail de qualification permet de mettre en évidence trois types de données personnelles de santé : les données de santé par nature, les données de santé conduisant à l’état de santé par corrélation avec d’autres informations, et les données de santé utilisées dans un but médical précis. Outre le RGPD, la protection des données personnelles de santé doit également inclure d’autres réglementations spécifiques applicables à l’environnement des soins de santé telles que :
- l’interdiction de collecter des données personnelles sur la santé (article 8 et chapitre 9 de la loi informatique et libertés) ;
- le secret médical et le respect de la vie privée (article L. 1110-4 du Code de la santé publique) ;
- hébergement de données personnelles de santé (articles L. 1111-8, R. 1111-8-8)
- pas d’utilisation commerciale des données personnelles de santé (articles L. 1111-8, L. 4113-7 du code de la santé publique).
Spécificités juridiques de la recherche médicale en France
Des juristes de la CNIL et de l’Université de Bordeaux ont présenté le cadre juridique français de la protection des données dans le contexte de la recherche médicale. Ce système est construit sur la distinction de 2 types de projets de recherche : les projets impliquant les sujets humains (RIPH) ou les projets n’impliquant pas les sujets humains (RNIPH).
Il existe 3 catégories de RIPH :
- celles qui impliquent un acte non justifié par sa prise en charge habituelle et qui n’est pas sans risque pour la personne (RIPH1), –
- celles qui impliquent une procédure présentant des risques et des contraintes minimes pour la personne (RIPH2),
- celles qui n’impliquent pas de procédure et ne comportent pas de risques (RIPH3).
Pour tous ces organismes (RIPH ou RNIPH), la protection des données est mise en œuvre par les étapes suivantes : - caractériser le projet de recherche
- déterminer la procédure applicable au projet de recherche
- procéder à une analyse d’impact sur la protection des données, si nécessaire
- vérifier et documenter la conformité du projet de recherche aux méthodes de référence d’une CNIL
- soumettre le projet de recherche aux autorités compétentes françaises et/ou aux comités d’éthique pour obtenir leur avis ou leur autorisation avant le début du projet si nécessaire ;
- en cas de non-conformité à une méthode de référence, demander à la CNIL une autorisation spécifique pour la recherche.
La CNIL a imposé des méthodes de référence en tant que processus d’autorisation simplifiés pour garantir la mise en œuvre des principes du RGPD et la confidentialité des données. Il existe actuellement six méthodes de référence qui couvrent six processus réglementaires spécifiques, chacune d’entre elles introduisant un ensemble de conditions à respecter pour un promoteur basé en France. Et ce, indépendamment de la localisation des participants à la recherche, de tout projet de recherche mené sur des participants français, ou de la localisation du promoteur. Si la CNIL doit délivrer une autorisation spécifique pour un projet de recherche en cas de non-respect d’une méthode de référence, la CNIL sera attentive à la préservation des intérêts des participants.
Mise en œuvre du RGPD dans les hôpitaux
Le DPO et le directeur informatique de l’hôpital de Bordeaux ont apporté un point de vue opérationnel sur l’application du RGPD au sein de la structure. Ensemble, ils ont souligné la difficulté de mettre en œuvre l’application du RGPD en raison du grand nombre d’activités de traitement impliquant des flux importants de données personnelles. Ces activités de traitement ne couvrent pas seulement les soins de santé au sein de l’hôpital, mais aussi les RH, les affaires financières et la gestion des fournisseurs à grande échelle. Comme dans d’autres structures, le DPD de l’hôpital de Bordeaux a souligné l’enjeu d’amener les personnes à considérer la mise en œuvre du RGPD comme une priorité qui implique leur implication. Au niveau national, la CNIL a indiqué que 30 000 DPD ont été nommés pour 80 000 organisations. Ce nombre a augmenté au cours des dernières années mais reste bien en deçà des besoins car de nombreuses organisations travaillent encore sans DPO alors que celui-ci est obligatoire.
