Données personnelles relatives à la santé : les précisions du Conseil de l’Europe et du CEPD.
Les données de santé sont diverses et posent des enjeux majeurs, qui ne cessent de prendre de l’importance. D’une part en raison du développement des technologies qui permettent des traitements de plus en plus importants, et des problématiques de vie privée que le traitement de ces données pose (à qui sont-elles destinées, existence d’une finalité ultérieure, gestion du recueil du consentement, etc.). D’autre part, car leur traitement est d’autant plus d’actualité en raison du développement, par le Gouvernement, de nouveaux outils de lutte contre la propagation de la Covid-19.
L’idée est de faire un état des lieux de la législation entourant les données de santé, en revenant notamment sur les lignes directrices du Conseil de l’Europe du 27 Mars 2019 encadrant le traitement des données de santé. Ces lignes directrices viennent étendre les principes énoncés dans l’avis rendu le 23 janvier 2019 par le Comité Européen de la Protection des Données (CEPD) sur l’interaction entre le CTR et le RGPD.
Qu’est-ce qu’une donnée de santé ?
Le RGPD donne une définition large des données de santé, qualifiées de données relatives à la santé physique ou mentale (passée, actuelle ou future) d’une personne physique, révélant des informations sur l’état de santé de cette même personne.
Sont considérées comme données personnelles relative à la santé :
- Les données de santé par nature : les antécédents médicaux, une éventuelle maladie, la réalisation d’une prestation de soin, etc.
- Les données qui deviennent des données de santé à la suite d’un croisement avec d’autres données : par exemple : croisement d’une mesure de poids avec d’autres données telles que le nombre de pas ou la mesure des apports caloriques.
- Les données qui deviennent des données de santé en raison de leur destination, c’est-à-dire de leur utilisation sur le plan médical.
La protection des données de santé
Un principe d’interdiction de traitement…
Les données de santé sont protégées par la loi Informatique et Liberté, le RGPD et le code de la santé publique.
La loi Informatique et Libertés dispose que les données de santé sont particulières et leur traitement est interdit sauf exception particulière l’autorisant. Construit sur le même format, l’article 9 du RGPD impose également une interdiction complétée par des exceptions.
Assortis d’exceptions :
L’article 9 § 2 du RGPD établit une liste d’exceptions permettant le traitement des données sensibles, dont les données de santé.
De la même façon, l’article 9 §3 du Règlement dispose que « les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ».
A ce titre, l’article L. 1110-4 du code de la santé publique précise quant à lui quelles catégories de professionnels sont susceptibles d’avoir un rôle à jouer dans le traitement des données. Il est ainsi indispensable de lire le RGPD à la lumière des articles du Code de la Santé Publique.
Le secteur de la santé étant ainsi particulièrement impacté par le RGPD, le traitement des données de santé a été précisé par le Conseil de l’Europe et par le CEPD.
Interactions RGPD – Règlement relatif aux essais cliniques ( CTR)
L’encadrement éthique et réglementaire des essais cliniques en Europe repose sur la directive 2001/20/CE du 4 Avril 2001. Cependant, afin de simplifier et d’harmoniser les réglementations relatives aux essais cliniques, le règlement (536/2014) relatif à ces derniers (CTR) a été mis en place.
Un avis explicatif a par la suite été publié par le CEPD afin de clarifier les champs d’application respectifs et les différentes interactions entre le RGPD et le CTR. La nature des traitements de données relatifs aux essais cliniques y est ainsi précisée et l’utilisation des données de santé y est expliquée.
Ces deux textes n’ont pas vocation à être opposés, mais à être lus en parallèle.
Le CEPD différencie ainsi l’utilisation première des données de leur utilisation secondaire (réutilisation des données). Parmi les utilisations premières, les actions relatives à des traitements liés à la protection de la santé (en s’assurant par exemple du bon respect des normes sanitaires).
Les méthodologies de référence dans le domaine de la recherche
Dans le cadre du traitement des données de santé à des fins de recherche, deux régimes de formalités peuvent être distingués : conformité à une des méthodologies de référence élaborées par la CNIL ou autorisation auprès de la CNIL.
En effet, la CNIL élabore des référentiels, et des méthodologies de référence pour guider les responsables de traitement et alléger les formalités. Dès lors que l’un de ces traitements est conforme en tout point à une méthodologie de référence (MR) élaborée par la CNIL, il peut être mis en œuvre sans autorisation de la CNIL, à condition que le Responsable de Traitement adresse au préalable une déclaration d’attestation de la conformité du traitement.
Il existe aujourd’hui, en matière de recherche notamment 5 méthodologies de référence qui doivent être appliquées par les promoteurs de recherche traitant des données dans le cadre d’une recherche dans le domaine de la santé.
Etat des lieux des MR
- Les MR-001 et MR-003 concernant les recherches impliquant la personne humaine
- La MR-004 concernant les recherches n’impliquant pas la personne humaine
- Les MR-005 et MR-006 permettant l’accès aux données du PMSI (Programme de médicalisation des systèmes d’information) par les établissements de santé, les fédérations industrielles du secteur de la santé aux fins de réaliser des études dans des conditions strictes de sécurité et confidentialité.
Quelles sont les principales nouveautés des MR ?
- L’obligation, pour le responsable de traitement, de désigner un DPO
- Délivrer une information conforme aux articles 13 et 14 du RGPD ;
- La possibilité de traitement de données identifiantes par des sous-traitants du responsable de traitement sous certaines conditions et pour des missions précises.
Les référentiels non contraignants
En Juillet 2020, la CNIL a adopté trois nouveaux référentiels dans le but d’aider les responsables de traitement concernés dans la gestion de données de santé, plus précisément les cabinets médicaux et paramédicaux.
Un référentiel a été mis en place pour encadrer la gestion des traitements courants des cabinets médicaux et paramédicaux, afin d’aider les professionnels de santé libéraux dans leur démarche de mise en conformité : sont concernés par ce référentiel les professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou bien les maisons de santé.
Ce référentiel n’est cependant pas contraignant. Le responsable de traitement peut tout à fait s’en écarter, à condition de justifier son choix.
De plus, la CNIL a élaboré deux autres référentiels pour guider les responsables de traitement dans l’établissement de la durée de conservation des données.
- Un référentiel visant le traitement de données dans le domaine de la santé, hors recherche
- Un référentiel visant le traitement de données mis en œuvre à des fins de recherche, d’étude et d’évaluation dans le domaine de la santé
Ces deux derniers référentiels publiés par la CNIL constituent une aide à la prise de décision, et orientent le responsable de traitement dans la fixation de la durée de conservation des données.
COVID-19 : Le traitement de données de santé dans le cadre de la lutte contre l’épidémie
A l’heure de la lutte contre l’épidémie de Covid-19, la problématique de traitement des données de santé est plus que jamais d’actualité. D’une part parce que des pratiques jusqu’à présent rares, comme les téléconsultations, ont connu à l’occasion des périodes de confinement, une indubitable intensification et sont devenues tout à fait courantes. D’autre part, car pour enrayer l’épidémie, le Gouvernement a mis en place de nombreux outils et fichiers, traitant des données de santé des français, à savoir :
- Le fichier SI-DEP qui centralise les résultats des tests effectués en laboratoires privés et publics
- Le fichier « Contact Covid » tenu par la CNAM
- L’application TousAntiCovid
- Le fichier « Vaccin Covid »
- Le fichier « Quarantaine et Isolement »
- Le pass sanitaire
Afin d’effectuer un traitement de données en conformité avec la Réglementation européenne, l’exécutif a choisi de soumettre au Parlement tous les trimestres, un rapport détaillé de l’utilisation de ces mesures.
Un premier avis de la CNIL avait été rendu le 10 septembre 2020, dans lequel ont notamment été relevées des irrégularités de traitement de données dans le cadre de l’application StopCovid (l’ancienne application déployée par le gouvernement).
Ensuite, la CNIL a édité un nouvel avis, dans lequel elle relève concernant le fichier « Contact Covid » que des mauvaises pratiques persistent dans certaines Agences Régionales de Santé, et dénonce un manque d’homogénéité entre les ARS dans le traitement des données.
Une ARS a notamment été mise en demeure de se mettre en conformité dans un délai d’un mois, concernant notamment la durée de conservation des données et leur sécurité.
S’agissant de l’application TousAntiCovid, la CNIL relève qu’il n’existe pas d’irrégularité à ce jour, et que le traitement de données effectué via l’application est fait en conformité avec la règlementation. En effet, il a été constaté qu’aucune donnée traitée dans le cadre de l’application TousAntiCovid ne fait l’objet d’un traitement sur un serveur central, ce qui s’inscrit dans le respect du principe de minimisation des données et de protection des données dès la conception et par défaut (privacy by design and by default).
Un troisième avis a également été rendu le 27 mai 2021 dans lequel la CNIL constate des lacunes concernant le fichier « Contact Covid ». Plusieurs manquements ont encore une fois été identifiés au niveau des pratiques des Agences régionales de santé (ARS).
Concernant le fichier « Vaccin Covid », la CNIL précise que la fonctionnalité permettant à tout professionnel de santé habilité de rechercher une personne via son NIR ne constitue pas un défaut de sécurité. Elle constate également notamment que les exigences en matière d’information, de chiffrement des données et d’authentification ont été respectées.
Concernant le fichier « Quarantaine et Isolement » permettant de contrôler la circulation active de l’épidémie, elle relève qu’il ne permet pas de réaliser les objectifs voulus, étant donné que son utilisation est uniquement prévue dans deux aéroports.
La CNIL a aussi rendu le 12 mai 2021 son avis sur le projet de pass sanitaire visant à contrôler l’accès à certains lieux. Elle a notamment rappelé la nécessité de « s’assurer du caractère temporaire du dispositif » et de définir le type des lieux et évènements concernés, d’identifier finalités et de prévoir les garanties appropriées afin de limiter tout risque d’atteinte aux droits et libertés des personnes concernées.
Un deuxième avis a été publié le 7 juin 2021 sur les modalités de mise en œuvre du passe sanitaire. La CNIL met l’accent sur la nécessité d’avoir plus de précisions sur les évènements concernés. Elle rappelle également la nécessité de veiller au bon usage du pass sanitaire et de finaliser l’analyse d’impact relative à la protection des données (PIA) avant sa mise en œuvre.
Enfin, la CNIL s’est prononcée le 9 septembre 2021 sur la mise en oeuvre d’un dispositif pour améliorer la lutte contre la fraude au pass sanitaire. Ses recommandations concernent notamment la mise en place d’une liste noire afin d’annuler les certificats identifiés comme étant frauduleux, de ne collecter que l’empreinte technique du certificat, de déterminer la durée du dispositif et de renforcer l’information des personnes afin de leur permettre d’obtenir facilement un nouveau certificat.
Cependant, l’application et les fichiers ayant vocation à être mis à jour, d’autres avis sont donc à paraître, la CNIL restant particulièrement attentive aux conditions de mise en œuvre effectives de ces outils.
Crédits Photos :
National Cancer Institute, Unsplash
Lukas Blazek, Unsplash
Mark Konig, Unsplash
