Aller au contenu principal

menu
Menu

Nos experts partagent leur connaissance de l’environnement et vous accompagnent dans la compréhension des sujets d’actualités.

Retrouvez l'ensemble des publications de Sham.

Sham

3 min | le 20/05/20

Sécurité des données de santé

Parmi les impératifs applicables au responsable de traitement des données de santé, celui de veiller à la sécurité des données collectées. Nous rappelons ici les grands concepts et les réglementations qui structurent la notion de protection des données de santé en établissement de santé.

Les données de santé doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. Le responsable de traitement est en effet tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 LIL).

Obligation de sécurité des traitements de données

L’article 32 du RGPD met à la charge des responsables de traitement et de leur sous-traitant la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.


Au plan national, l’article L. 1110-4 du CSP renvoie les établissements et professionnels de santé vers des référentiels d’interopérabilité et de sécurité des systèmes d’information permettant de garantir la qualité, la confidentialité et la protection des données à caractère personnel utilisées.

N'hésitez pas à consulter le travail du Conseil Médical Sham si vous voulez connaître la nature et la définition précise de la donnée de santé.

Ces référentiels élaborés et diffusés par l’ASIP doivent être approuvés par arrêté du ministre chargé de la santé, pris après avis de la CNIL.

Il s’agit notamment de la politique générale des systèmes d’information en santé (PGSSI-S), corpus documentaire définissant et organisant les exigences incontournables en matière de sécurité s’appliquant à tout SIS, dans le respect des droits du patient (1).


Sa mise en application doit trouver sa traduction, au niveau local, dans le document de politique de sécurité des systèmes d’information à usage interne prévu par la structure de soins concernée.

Notification des violations des données à caractère personnel

Lorsqu’il constate une violation des données à caractère personnel, le responsable de traitement doit notifier la violation à la CNIL, dans les 72 heures (2). Il doit en outre informer les personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de ces personnes (3).

Etudes d'impact sur la vie privée

Il s’agit ici d’étudier les risques que le traitement mis en œuvre fait courir aux personnes concernées par les données (patients, agents/salariés).

télésanté et sécurité des données de santé

Ainsi, le responsable de traitement doit réaliser une étude d’impact pour tous les traitements à risques (4). Celle-ci doit faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées.


Cette exigence concerne les traitements de données sensibles (dont les données de santé, les données biométriques ou génétiques) ; ainsi que le profilage (traitement reposant sur l’évaluation systématique et approfondie d’aspects personnels des personnes physiques).

En cas de risque élevé, le responsable de traitement doit consulter la CNIL avant la mise en oeuvre du traitement. L’autorité de contrôle peut alors s’opposer au traitement au regard de ses caractéristiques et conséquences.


Enfin, le développeur de la solution de e-santé doit également être attentif aux conditions d’hébergement des données de santé collectées dans le cadre de l’activité mise en place.

focus la protection de données de santé

Références
 

(1) La loi de modernisation de notre système de santé du 26 janvier 2016 a énoncé le principe du caractère opposable des référentiels de la PGSSI-S. L’opposabilité des référentiels sera effective en 2018.

(2) Art. 33 du RGPD

(3) Art. 34 du RGPD

(4) Art. 35 et suivants du RGPD

Désignation d'un délégué à la protection des données personnelles

Depuis 2018, tout établissement de santé a l’obligation de désigner un délégué à la protection des données personnelles (5).

Le DPO est :

  • référent sur les questions de protection des données personnelles ;
  • consultant sur les nouvelles manières d’exploiter les données personnelles ;
  • interlocuteur de confiance pour les personnes extérieures à l’établissement et le personnel interne sur la collecte et le traitement des données.

Droits des personnes concernées par le traitement

Le RGPD et la LIL garantissent un certain nombre de droits à la personne concernée par le traitement.
 
Il s’agit en premier lieu du droit à l’information (6) portant notamment sur :

  • l’identité et les coordonnées du responsable du traitement et du délégué
  • à la protection des données ;
  • les finalités du traitement ainsi que la base juridique du traitement ;
  • les destinataires ou les catégories de destinataires des données à caractère personnel ;
  • la durée de conservation des données ;
  • le droit d’accès aux données ;
  • le droit de rectification ou d’effacement de celles-ci ;
  • le droit de s’opposer au traitement ;
  • le droit à la portabilité des données (7).


Dans le cadre d’un traitement de données de santé ayant nécessité le recueil du consentement éclairé et explicite de la personne concernée, celle-ci doit être par ailleurs informée de son droit de retirer ce consentement à tout moment, et ceci également afin de permettre la traçabilité de la donnée.

Le droit à l’accès aux données collectées est également garanti à la personne concernée, ainsi que le droit de rectification (8), d’effacement ou de limitation du traitement (9). éclaire

Références

(5) Art. 37 et suivants du RGPD,
(6) Art.13 et 14 du RGPD et art. 32 de la LIL,
(7) Le droit à la portabilité des données est défini à l’article 20 du RGPD ; il s’agit pour les personnes concernées, du droit de recevoir les données les concernant et de les transmettre à un autre responsable de traitement,
(8) Art. 16 RGPD : la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire,
(9) Art. 18 RGPD limitation du traitement : marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur.

Merci de votre intérêt pour le travail des experts Sham. N'hésitez pas à consulter le travail des experts Sham sur la télémédécine et la protection des données.