Le règlement général européen relatif à la protection des données personnelles (RGPD), qui est entré en vigueur le 25 mai 2018, prévoit plusieurs nouvelles obligations qui s'appliquent à tous les acteurs traitant des données personnelles à grande échelle, dont les données de santé.
Le RGPD s'applique dans l'ensemble des Etats membres de l'Union européenne (UE).
Afin d'adapter le droit français à ces nouvelles dispositions, le Parlement a adopté un projet de loi qui réécrit une partie de la loi informatique et libertés du 6 janvier 1978, rappelle-t-on. Le texte fait actuellement l'objet d'une saisine du Conseil constitutionnel.
Tous les acteurs de santé (établissements sanitaires et médico-sociaux, institutionnels, industriels pharmaceutiques et du dispositif médical, start-up en santé) sont concernés par le RGPD en tant que responsables de traitement de données personnelles.
Le règlement européen porte sur l'ensemble des données personnelles issues des activités d'une structure de santé, et pas uniquement sur les données de santé générées pour la prise en charge des patients ou la recherche. Cela s'applique notamment aux données sur les ressources humaines.
L'objectif du RGPD est de "responsabiliser" les opérateurs de traitements en leur imposant de nouvelles obligations et en privilégiant des contrôles sur site a posteriori plutôt qu'en amont de la mise en place des traitements de données.
• Une définition unique des données de santé à l'échelle européenne
Le RGPD instaure pour la première fois une définition unique des données de santé à l'échelle européenne. Il s'agit des "données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne".
Elle comprennent "toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro".
Les données génétiques et biométriques sont également incluses dans le périmètre des données sensibles.
• Nomination obligatoire d'un DPO
Tout établissement public et toute structure traitant à grande échelle des données sensibles, dont font partie les données de santé, doivent désigner un "délégué à la protection des données" (DPO), qui prend le relais des correspondants informatique et libertés (CIL) dont la nomination était jusqu'ici facultative.
Ces DPO seront chargés de veiller à l'application du RGPD dans les organismes et seront les interlocuteurs de la Commission nationale de l'informatique et des libertés (Cnil).
• Nouveaux processus internes
Le RGPD oblige les opérateurs de traitement de données personnelles à tenir un registre de ces traitements et à documenter leur conformité au règlement afin de pouvoir se justifier auprès de la Cnil en cas de contrôle.
L'obligation de disposer d'une autorisation délivrée par la Cnil avant la mise en place du traitement reste obligatoire dans certains cas, notamment pour la recherche.
Avant de réaliser un traitement, les structures doivent mener une analyse d'impact du traitement de données portant sur les risques techniques de sécurité et les risques juridiques pour la vie privée des personnes concernées par les données.
Le texte instaure l'obligation de signaler auprès de la Cnil des incidents de sécurité impliquant des données personnelles. Pour les établissements de santé, cette obligation s'ajoute à celle du signalement des incidents informatiques graves aux agences régionales de santé (ARS).
Le RGPD définit une nouvelle notion de privacy by design, c'est-à-dire de protection des données dès la conception du traitement.
Le règlement prévoit également des obligations spécifiques pour les sous-traitants des opérateurs, lorsque qu'ils traitent des données de santé externalisées par une entreprise ou un établissement de santé.
• Nouveaux droits
Le règlement général européen renforce la protection des personnes en instaurant le droit à l'oubli (article 17), le droit à la portabilité des données (article 20), le droit à être informé en cas de piratage des données (articles 33 et 34) et le droit d'être informé "de façon compréhensible et aisément accessible" sur l'utilisation de ces données (articles 12, 13 et 14).
Il précise les modalités du "consentement clair et explicite" des personnes pour le traitement des données à caractère personnel (article 7), limite le recours au profilage (article 21) et prévoit une protection spéciale pour les mineurs (article 8).
• Sanctions accentuées
Le RGPD a augmenté le plafond d'amendes encourues en cas de non-respect des principes de sécurité et de confidentialité des données personnelles.
Relevé de 150.000 à 3 millions d'euros par la loi "pour une République numérique" en 2016, ce plafond est fixé par le règlement européen à 4% du chiffre d'affaires mondial pour les entreprises et jusqu'à 20 millions d'euros, le montant le plus élevé étant retenu.
Valérie Peugeot, commissaire à la Cnil, a estimé que pour les acteurs de santé, "la marche à grimper pour se mettre en conformité avec le RGPD sera moins haute, car ils sont sensibilisés à la question de la sécurité des données de santé depuis longtemps".
"Le RGPD n'est pas une révolution mais une continuité de la loi informatique et libertés et finalement, [il] fait remonter des sujets vieux de 40 ans en France", a-t-elle noté.
La Cnil a précisé qu'il y aura "une période de souplesse de trois ans" sur la prise de sanction en cas de non-conformité au règlement.
Elle prépare avec le Conseil national de l'ordre des médecins (Cnom) la publication "fin juin" d'un guide pratique pour accompagner les professionnels de santé dans leur mise en conformité.