Les données de santé sont des informations particulièrement sensibles qui nécessitent une protection renforcée. En France et au sein de l’Union européenne, plusieurs textes législatifs régissent leur collecte, leur traitement et leur conservation. Parmi eux, le Règlement Général sur la Protection des Données (RGPD) se distingue par son importance. Cet article aborde les différentes obligations juridiques qui incombent aux professionnels de santé et aux organismes traitant des données de santé pour garantir leur sécurisation et leur confidentialité.
Le cadre juridique spécifique des données de santé
Les données de santé sont définies par le Règlement Général sur la Protection des Données (RGPD) comme des informations relatives à la santé physique ou mentale d’une personne, y compris les services de santé fournis et les informations génétiques. Le traitement de ces données est strictement encadré, car elles sont considérées comme étant particulièrement sensibles selon le site pierresdengilis.fr.
Le RGPD, en vigueur depuis le 25 mai 2018, a remplacé la directive 95/46/CE de 1995 et constitue la pierre angulaire de la législation en matière de protection des données personnelles. En France, ces dispositions sont retranscrites dans la Loi Informatique et Libertés. Ces textes visent à protéger les droits et libertés des individus en matière de données personnelles et imposent des obligations strictes aux professionnels de santé et aux organismes traitant ces données.
Les principes fondamentaux du RGPD
Le RGPD repose sur plusieurs principes fondamentaux qui doivent être respectés lors du traitement des données de santé. Tout d’abord, le principe de liceité, loyauté et transparence impose que les données soient traitées de manière licite, loyale et transparente vis-à-vis de la personne concernée. Ensuite, le principe de limitation des finalités prévoit que les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
Le principe de minimisation des données exige que seules les données nécessaires au regard des finalités poursuivies soient collectées. Enfin, les principes de exactitude, de limitation de la conservation, de intégrité et de confidentialité imposent que les données soient exactes, conservées de manière à permettre l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées, et traitées de manière à garantir leur sécurité et leur confidentialité.
Les droits des individus concernant leurs données de santé
Le RGPD confère aux individus plusieurs droits relatifs à leurs données personnelles. Tout d’abord, le droit d’accès permet à toute personne de prendre connaissance des données la concernant et d’obtenir des informations sur leur traitement. La CNIL (Commission Nationale de l’Informatique et des Libertés) peut intervenir pour rendre effective une demande d’accès.
Par ailleurs, les individus disposent du droit de rectification, qui leur permet de demander la correction de données inexactes ou incomplètes, ainsi que du droit à l’effacement, aussi connu sous le nom de « droit à l’oubli », qui permet de demander la suppression de leurs données dans certaines situations. Le droit à la limitation du traitement leur permet de geler temporairement l’utilisation de leurs données, tandis que le droit d’opposition leur permet de s’opposer, pour des motifs légitimes, au traitement de leurs données, sauf si ce traitement est rendu nécessaire par des obligations légales.
Les obligations de sécurité imposées aux responsables de traitement
Les responsables de traitement, c’est-à-dire les entités qui déterminent les finalités et les moyens du traitement des données personnelles, doivent mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ces mesures peuvent inclure la pseudonymisation et le chiffrement des données, des mécanismes de sauvegarde et la capacité à assurer la résilience des systèmes traitant des données de santé.
De plus, en cas de violation de données personnelles, le responsable de traitement a l’obligation de notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance. Si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés des individus, ceux-ci doivent également en être informés dans les plus brefs délais.
Les sanctions en cas de non-respect des obligations
Le non-respect des obligations relatives à la gestion des données de santé peut entraîner des sanctions sévères. En France, la CNIL est l’autorité compétente pour contrôler et sanctionner les infractions au RGPD et à la Loi Informatique et Libertés. Les sanctions peuvent aller de simples avertissements à des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise, selon le montant le plus élevé.
En plus des sanctions financières, la CNIL peut également imposer des mesures correctrices, comme l’obligation de cesser un traitement illicite ou de renforcer les mesures de sécurité, comme ce fut le cas pour un centre hospitalier qui a été mis en demeure de garantir la sécurité et la confidentialité des dossiers médicaux après une inspection.
La responsabilité des sous-traitants
Outre les responsables de traitement, les sous-traitants, c’est-à-dire les entités qui traitent les données personnelles pour le compte et sous l’autorité des responsables de traitement, ont également des obligations en matière de sécurité et de confidentialité des données. Ils doivent, par exemple, garantir que tout accès aux données de santé est limité aux personnels autorisés et que des mesures de sécurité appropriées sont en place pour protéger ces données.
Les sous-traitants doivent informer le responsable de traitement de toute violation de données personnelles sans délai indu et l’assister dans le respect de ses propres obligations de sécurité et de confidentialité. En cas de manquement de leur part, ils peuvent également être tenus responsables et faire l’objet de sanctions similaires à celles imposées aux responsables de traitement.