Mise en œuvre du RGPD : une spécificité des données de santé

Consciente de l’enjeu que représente la protection des données à caractère personnel, l’Union Européenne a promulgué en avril 2016 le règlement 2016/679, dont l’entrée en application à compter du 25 mai 2018 marquera l’avènement d’une réglementation plus stricte, adaptée aux nouveaux usages du numérique et d’un cadre juridique unifié. 

Les structures auxquelles s’appliquent les dispositions du RGPD devront intégrer trois évolutions majeures par rapport aux exigences des législations actuellement en vigueur :

• Du fait de la proclamation de nouveaux droits individuels (droit à la portabilité des données, droit à l’oubli, droit à la limitation du traitement, droit d’opposition au profilage) et du renforcement de la notion de consentement, elles auront de nouvelles obligations vis-à-vis de leurs clients et de leurs salariés ;
• Le principe de coresponsabilité entre entreprise et sous-traitant concernant le traitement des données à caractère personnel, ainsi que l’obligation de désigner un Délégué à la Protection des Données (DPD), induiront un renforcement de la gouvernance sur ce domaine ;
• L’inversion de la charge de la preuve, transférée de l’autorité régulatrice à l’entreprise, implique une formalisation du dispositif de protection des données et une documentation spécifique (tenue d’un registre des traitements notamment).

Le champ d’application du règlement est large : il concerne toutes les organisations traitant ou sous-traitant des données à caractère personnel dans le cadre d’activités exercées sur le territoire de l’UE ou concernant ses ressortissants[1]. Par données à caractère personnel, il est entendu « toute information se rapportant à une personne physique identifiée ou identifiable »[2].

Les données à caractère personnel concernant la santé comprennent l’ensemble des données révélant des informations sur l’état de santé physique ou mentale passé, présent ou futur d’une personne, quelle que soit la source dont proviennent ces données.

Les données de santé constituent une catégorie particulière de données à caractère personnel, dans le sens où elles correspondent à des données sensibles du point de vue des libertés et des droits fondamentaux. Elles méritent de fait une protection spécifique, même si des dérogations sont prévues « lorsque l’intérêt public le commande ».

Ainsi, le traitement des données concernant la santé est a priori interdit[3], à moins qu’il ne poursuive les fins suivantes :

• Une appréciation médicale : médecine préventive, médecine du travail, diagnostic, prise en charge…
• La gestion des systèmes et des services de soins de santé ou de protection sociale ;
• La préservation de l’'intérêt public dans le domaine de la santé publique : prévention d’épidémies par exemple.

Le traitement des données de santé est donc permis sur un périmètre beaucoup plus restreint que celui de la plupart des données à caractère personnel. Ces données ne sauraient par exemple être exploitées à des fins commerciales.

En revanche, le traitement des données de santé, lorsqu’il est autorisé, bénéficie de certaines exemptions, dont ne bénéficie pas le traitement des autres types de données à caractère personnel.

• Le traitement des données de santé peut être opéré sans le consentement de la personne concernée, s’il l’est pour des motifs d’intérêt public. Il en va de même pour le transfert des données de santé, notamment au niveau international. Ces dérogations visent par exemple à prévenir des épidémies ou à lutter contre le dopage dans le sport ;
• Suivant la même logique, le règlement prévoit une limitation pour les individus à faire valoir certains droits pour certaines catégories de données particulières. Le droit à l’effacement (ou « droit à l’oubli ») ne peut donc s’appliquer dans le cas du traitement des données de santé, si ce traitement relève d’un motif d’intérêt public dans le domaine de la santé publique ;
• L’étude d’impact sur la vie privée, imposée aux organisations soumises au Règlement lorsqu’elles exécutent des traitements à grande échelle, n’est pas obligatoire si « le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel ». Les hôpitaux n’y sont donc pas contraints.

Les dérogations citées plus haut n’épargneront cependant pas les acteurs de la santé de faire évoluer leurs processus organisationnels. Le RGPD impose en effet des contraintes en matière de formalisme et de gouvernance.

Concernant le formalisme, une documentation technique et juridique devra être produite par les organisations. L’inversion de la charge de la preuve, combinée aux exigences relatives à la protection des données dès la conception et par défaut, implique la production d’une documentation technique adéquate. Le mécanisme de certification approuvé par le règlement[4] exige la mise en place de formats de reporting permettant son obtention. Si l’analyse d’impact prévue à l’article 35 du RGPD ne représente pas une obligation dans le cas précis des données de santé, les Etats membres peuvent tout de même demander à ce qu’une organisation obtienne, préalablement au traitement, une autorisation de l’autorité de contrôle désignée (dans le cas français, la CNIL).

Par ailleurs, le principe affirmé de coresponsabilité entre l’organisation et un sous-traitant dans le cadre d’une activité de traitement des données à caractère personnel peut entraîner une modification de la documentation juridique. Les clauses contractuelles liant l’organisation et son prestataire devront évoluer.

Concernant la gouvernance, la désignation d’un délégué à la protection (DPD) des données est obligatoire dans le cadre de tout traitement effectué par une autorité publique ou un organisme public[5]. Son périmètre est plus large que celui du CIL (Correspondant Informatique et Libertés) : ce délégué représente non seulement le point de contact entre l’organisation et l’autorité de contrôle, mais il doit en plus interagir avec tous les responsables de traitement et a pour mission d’informer, de conseiller et d’encadrer les collaborateurs dans le cadre de leurs activités impactées par le RGPD.

Le règlement précise que « lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ». Ainsi, la désignation du DPD doit s’inscrire dans la réflexion sur la constitution des Groupements Hospitaliers de Territoires (GHT). En effet, la désignation d’un DPD unique pour l’ensemble des établissements du GHT, qui disposerait donc d’une vision complète des problématiques et des pratiques en matière de traitement de données, peut amener à une résolution de ces enjeux et à une harmonisation de ces pratiques.

La mise en œuvre du RGPD ne se limitera pas toutefois à la désignation d’un nouveau référent, elle correspond également une extension du périmètre d’activité des fonctions de contrôle et induit donc un changement culturel au sein de l’organisation : les rôles de la direction juridique, de la DSI, de la DRH pour ce qui concerne les données des salariés, sont également amenés à évoluer. Ce changement est à répercuter par le management – médical, soignant et administratif pour les acteurs hospitaliers.

En synthèse, si les données de santé relèvent d’une catégorie particulière des données à caractère personnel, leur traitement par les acteurs de santé – autorisé en vertu de l’article 9 du RGPD – est soumis à de nouvelles contraintes réglementaires. Ces contraintes se traduisent essentiellement en termes de procédures, de pratiques et de gouvernance, la nomination d’un délégué à la protection des données représentant un enjeu particulier dans le cadre de la constitution d’un GHT.

Une réflexion reste donc à mener sur la mise en œuvre de la RGPD, dont l’échéance fixée à mai 2018 impose d’ores et déjà aux organisations – acteurs de santé inclus – un diagnostic de maturité quant aux dispositifs existants de protection des données personnelles. Dans la mesure où des amendes administratives conséquentes sont prévues en cas de violation – elles peuvent s’élever à vingt millions d’euros ! – l’évaluation de la hauteur de marche à franchir pour se mettre en conformité avec le règlement apparaît d’autant plus cruciale.

[1] Article 3 du règlement

[2] Article 4 du règlement

[3] Article 9 du règlement

[4] Article 42

[5] Article 37