Jérôme FISMAN Juriste, Expert Juridique Santé
« Accountability », « principe de minimisation des données », « data protection officer », « opt in » : en raison de l’entrée en vigueur du règlement général sur la protection des données (RGPD), les nouvelles règles juridiques mises en place, tendent, dans une société où le numérique a pris une place prépondérante, à renforcer la protection des données personnelles des individus.
Face à la multiplication de la collecte et du traitement de données, notamment numériques, et en tant que responsable de traitement (RT), les établissements de santé, publics et privés, sont plus que concernés par le RGPD, car ils traitent des données personnelles concernant les patients (données de santé, situation sociale, lieu de résidence, etc.)
La mise en conformité au RGPD étant obligatoire, les enjeux sont nombreux et impliquent de lourdes transformations organisationnelles. Dès lors, la finalité est d’étudier l’impact du RGPD sous l’angle de l’information et du consentement du patient, droits renforcés par la récente réglementation européenne.
Les données concernées par le RGPD : les prémices d’une définition des données de santé
En premier lieu, le champ d’application du RGPD demeure important. À cet égard, ce dernier s’applique « au traitement de données à caractère personnel, automatisé ou tout en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier »3. Ainsi, les données personnelles peuvent être des données de santé et se rapportent à une personne physique identifié ou identifiable.
Pour la première fois, le RGPD donne une définition des données de santé : il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »4.
La spécificité de ces données tient à leur sensibilité : il s’agit de données sensibles5. Doit-on obtenir un consentement du patient pour la collecte et le traitement de ses données personnelles ? En amont, doit-il être informé de la collecte et du traitement de ces mêmes données ?
Un consentement présumé face à une obligation d’information de la personne concernée sur ses données personnelles
Même si les établissements n’ont plus de formalités à entreprendre auprès de la CNIL (principe « d’accountability »), ils doivent toutefois, être en mesure de prouver à tout moment, qu’ils respectent les règles relatives à la protection des données.
Par principe, le traitement de données à caractère personnel, tels les données de santé, est interdit6. Toutefois, il devient possible de traiter de telles données et sans le consentement de la personne, dès lors qu’une des deux conditions suivantes est remplie :
- la collecte et la conservation de ces données sont nécessaires « aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire et sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale »78 ;
- ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel9, ou une personne (non professionnel de santé) tenue à cette même obligation en raison de sa fonction10.
En sus d’un consentement présumé, chaque établissement de santé doit prendre les mesures nécessaires pour informer les personnes concernées du traitement dont ils font l’objet11. Cette information « concise, transparente, compréhensible et aisément accessible »12 peut être réalisée par divers moyens (notamment par la remise d’un document spécifique).
Quels sont les informations à fournir au patient dès lors que des données personnelles le concernant sont collectées et traitées ? Parmi les informations visées par le RGPD et adressées au patient, figurent notamment l’identité et les coordonnées de l’établissement, les coordonnées du délégué à la protection des données (DPD), la finalité du traitement, la base juridique du traitement, le droit de demander à l’établissement l’accès aux données à caractère personnel, leur rectification ou leur effacement, etc.
In fine, de lourdes sanctions (notamment des amendes) sont prévues par la nouvelle réglementation européenne. L’enjeu actuel repose désormais sur la mise en place rapide des nouvelles dispositions européenne et nationale, à la fois sur les droits du patient, mais également sur les droits applicables aux agents de ces établissements.
Jérôme FISMAN Juriste, Expert Juridique Santé
1 L’objet de cette étude est d’étudier seulement la réglementation applicable au patient. Ne fait donc l’objet d’aucun développement l’impact du RGPD sur les ressources humaines (concernant les agents), qui, à l’instar des patients, sont également concernés par le renforcement de leurs droits (information, consentement, portabilité, effacement, etc.)
2 Faisant déjà l’objet de développement dans d’autres articles de cette étude, l’analyse des droits créés par le RGPD ne fera également l’objet d’aucun développements (portabilité, effacement, etc.) Idem pour les nouveautés issues du RGPD : DPO, obligation de tenir un registre interne, réalisation d’analyses d’impact, etc.
3 RGPD, art.2
4 RGPD, art. 5, 15)
5 L’article 9.1 du RGPD met en avant une liste de données sensibles
6 RGPD, art. 9
7 RGPD, art. 9.2
8 L’article 8 de la loi du 20 juin 2018 vise également l’administration de soins ou de traitements et la gestion de service de santé à condition qu’ils soient tous mis en œuvre par un membre d’une profession de santé.
9 RGPD, art. 9.3
10 Loi du 20 juin 2018, art. 8
11 RGPD, art. 13
12 RGPD, art. 12