RGPD et données de santé : Guide complet pour une collecte et un traitement conforme

La protection des données de santé est un sujet crucial à l'ère du numérique, où les objets connectés collectent des informations sensibles sur notre état de santé.

Lors de notre webinaire, Anne Thomsen, directrice juridique et DPO de Withings, et Claire Leroy experte RGPD chez Witik, ont détaillé les meilleures pratiques pour la gestion des données personnelles dans le domaine de la santé.

Dans ce live, Anne et Claire, nous éclairent justement sur la gestion et l’utilisation de ces données personnelles particulières et strictement protégées. 

Comment une entreprise comme Withings s’organise pour protéger nos données de santé ? Comment savoir si les données personnelles que traitent votre entreprise entrent dans la définition des données de santé ? Et comment utiliser Witik pour les protéger ?

Découvrez les réponses à ces questions en vidéo.

Le Règlement Général sur la Protection des Données (RGPD) est un cadre légal crucial pour la protection des données personnelles au sein de l'Union Européenne. Les données de santé, en raison de leur nature particulièrement sensible, sont soumises à des régulations strictes afin de garantir leur sécurité et leur confidentialité. Cet article a pour objectif de fournir un guide complet sur la manière de collecter et traiter ces données en conformité avec le RGPD, en abordant les définitions clés, les acteurs autorisés, les méthodes de collecte et de traitement, ainsi que les droits des individus concernés.

Données de santé : quelles définitions pour quelles règles ? 

La définition du RGPD

Le RGPD définit les données de santé comme des informations relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de santé, qui révèlent des renseignements sur son état de santé. Cette définition englobe une vaste gamme de données, allant des dossiers médicaux aux résultats de tests, en passant par les informations génétiques et biométriques utilisées pour identifier une personne.

Exemples concrets de données de santé :

• Dossiers médicaux électroniques : Renseignements complets sur l'historique médical d'un patient, incluant diagnostics, traitements, prescriptions et résultats d'examens.

• Résultats de tests de laboratoire : Analyses de sang, d'urine, radiographies, IRM, etc.

• Informations génétiques : Données issues de tests ADN, séquençage génomique, révélant des prédispositions à certaines maladies.

• Données biométriques : Empreintes digitales, reconnaissance faciale, scans rétiniens utilisés à des fins médicales.

• Historique de vaccination : Registres des vaccins reçus et dates correspondantes.

• Données sur les consultations et hospitalisations : Dates, motifs de consultation, interventions chirurgicales, etc.

La définition du Code de la Santé Publique 

Le Code de la Santé Publique en France propose une définition des données de santé légèrement différente de celle du RGPD. Il inclut spécifiquement les indications nécessaires à la gestion du système de santé et au suivi médical des individus, tout en insistant sur la nature strictement confidentielle de ces données.

Alors que le RGPD se concentre sur la protection des données personnelles à l'échelle européenne, le Code de la Santé Publique met l'accent sur l'utilisation des données dans le cadre de la prestation de soins et de la gestion sanitaire. Les deux définitions, bien que complémentaires, présentent des nuances qui peuvent influencer la manière dont les professionnels de la santé gèrent les informations.

Qui peut traiter les données de santé ?

Les données de santé, définies comme données sensibles, sont soumises à des restrictions strictes quant à leur traitement. Seules certaines catégories de personnes et d'entités sont autorisées à traiter ces données, et elles doivent respecter des rôles et responsabilités spécifiques selon les régulations en vigueur.

Catégories de personnes et d'entités autorisées à traiter des données de santé

• Professionnels de la santé : Médecins, infirmières, pharmaciens, dentistes et autres professionnels habilités à fournir des soins médicaux sont autorisés à traiter des données de santé dans le cadre de la prestation de soins.

• Établissements de santé : Hôpitaux, cliniques, centres de rééducation, maisons de retraite et autres établissements de soins de santé peuvent traiter des données de santé pour la gestion des soins des patients.

• Laboratoires de recherche médicale : Dans le cadre de projets de recherche médicale, les laboratoires peuvent traiter des données de santé, sous réserve d'obtenir les consentements nécessaires et de respecter les conditions imposées par le RGPD et les autorités de régulation.

• Assureurs santé : Les compagnies d'assurance santé peuvent traiter des données de santé pour la gestion des contrats d'assurance, le remboursement des frais médicaux et la prévention des fraudes, toujours en conformité avec les régulations en vigueur.

• Autorités de santé publique : Les agences gouvernementales et les institutions de santé publique peuvent traiter des données de santé dans le cadre de la surveillance sanitaire, la gestion des crises sanitaires et l’élaboration de politiques de santé publique.

• Sous-traitants : Entreprises de traitement de données, services informatiques et autres sous-traitants peuvent traiter des données de santé pour le compte des entités précédemment mentionnées, sous réserve de contrats spécifiques et de mesures de sécurité appropriées.

Comment collecter des données de santé ? 

Comment collecter des données de santé en conformité avec le RGPD ?

La collecte des données de santé en conformité avec le RGPD nécessite le respect de principes fondamentaux, l'adoption de méthodes de collecte sécurisée et l'application de bonnes pratiques spécifiques. Voici comment les entités et les professionnels peuvent assurer une collecte conforme.

Principes fondamentaux du RGPD applicables à la collecte des données de santé

• Licéité, loyauté et transparence : La collecte des données doit être légale et équitable. Les individus doivent être informés de manière claire et transparente sur les finalités de la collecte, les destinataires des données et leurs droits.

• Limitation des finalités : Les données de santé doivent être collectées pour des finalités spécifiques, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

• Minimisation des données : Seules les données de santé nécessaires à la réalisation des finalités définies doivent être collectées. La collecte excessive de données est à éviter.

• Exactitude : Les données de santé doivent être exactes et, si nécessaire, mises à jour. Les mesures appropriées doivent être prises pour effacer ou rectifier les données inexactes.

• Limitation de la conservation : Les données de santé ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été collectées.

• Intégrité et confidentialité : Les données de santé doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels.

Méthodes de collecte sécurisée des données de santé

• Consentement explicite : Obtenir le consentement explicite des individus avant de collecter leurs données de santé. Il doit être libre, éclairé, spécifique et univoque.

• Anonymisation et pseudonymisation : Utiliser des techniques d'anonymisation pour rendre les données irréversiblement anonymes, ou de pseudonymisation pour réduire les risques tout en permettant une ré-identification contrôlée.

• Formulaires sécurisés : Utiliser des formulaires de collecte de données sécurisés, en ligne ou papier, avec des mesures de protection comme le chiffrement des données lors de la transmission.

• Accès restreint : Limiter l'accès aux données de santé aux seules personnes autorisées et nécessaires pour les finalités définies, et mettre en place des contrôles d'accès rigoureux.

• Infrastructure sécurisée : Utiliser des systèmes et infrastructures informatiques sécurisés pour la collecte et le stockage des données de santé, incluant des pare-feu, des systèmes de détection d'intrusion, et des protocoles de sécurité réseau robustes.

Comment traiter les données sensibles liées à la santé ?

Le traitement des données de santé, en raison de leur nature particulièrement sensible, nécessite des mesures de sécurité et de confidentialité rigoureuses. Voici les principales pratiques pour garantir un traitement conforme aux régulations.

Mesures de sécurité et de confidentialité obligatoires

• Chiffrement des données : Le chiffrement est essentiel pour protéger les données de santé, tant au repos qu'en transit. Cela garantit que même si les données sont interceptées, elles ne peuvent pas être lues sans la clé de déchiffrement appropriée.

• Contrôles d'accès stricts : Limiter l'accès aux données de santé aux seules personnes autorisées, en utilisant des méthodes d'authentification forte comme l'authentification à deux facteurs (2FA). Les accès doivent être contrôlés et journalisés pour prévenir et détecter toute utilisation non autorisée.

• Plans de réponse aux incidents : Mettre en place des protocoles de réponse aux incidents pour détecter, signaler et gérer rapidement toute violation de données. Les plans doivent inclure des mesures pour minimiser les dommages et notifier les autorités compétentes ainsi que les individus concernés.

• Évaluations régulières de sécurité : Réaliser des audits de sécurité réguliers et des tests de pénétration pour identifier et corriger les vulnérabilités dans les systèmes de traitement des données de santé.

Techniques de pseudonymisation et anonymisation

Pseudonymisation :

La pseudonymisation consiste à remplacer les informations identifiables par des pseudonymes (alias), ce qui réduit les risques associés à l'identification directe des individus. Les clés de correspondance doivent être stockées séparément et sécurisées.

Exemple : Remplacer le nom d'un patient par un code unique dans les dossiers de recherche médicale.

Anonymisation :

L'anonymisation rend les données irréversiblement anonymes, empêchant toute ré-identification de l'individu concerné. Une fois les données anonymisées, elles ne sont plus considérées comme des données personnelles au sens du RGPD.

Exemple : Supprimer ou masquer toutes les informations identifiantes dans un ensemble de données utilisé pour des études statistiques.

Gestion des accès et contrôles internes

• Politiques de gestion des accès : Établir des politiques claires sur qui peut accéder aux données de santé, dans quelles conditions et pour quelles finalités. Les politiques doivent être régulièrement revues et mises à jour en fonction des besoins et des risques.

• Contrôles d'accès basés sur les rôles (RBAC) : Implémenter des contrôles d'accès basés sur les rôles pour limiter les privilèges des utilisateurs selon leurs responsabilités professionnelles. Seuls les employés nécessitant l'accès pour leurs tâches spécifiques devraient y avoir accès.

• Surveillance et journalisation des activités : Mettre en place des systèmes de surveillance pour enregistrer toutes les activités d'accès et de traitement des données de santé. Les journaux doivent être analysés régulièrement pour détecter toute activité suspecte ou non autorisée.

• Formation et sensibilisation : Former régulièrement le personnel sur les politiques de confidentialité, les techniques de sécurité des données et l'importance de la protection des données de santé. La sensibilisation continue aide à prévenir les erreurs humaines.

• Séparation des environnements de développement et de production : Assurer que les environnements de développement et de production sont strictement séparés pour prévenir l'accès non autorisé aux données de santé dans un environnement moins sécurisé.

Les exceptions interdisant le traitement des données de santé par le RGPD

Le RGPD impose des restrictions strictes sur le traitement des données de santé en raison de leur nature sensible. Cependant, il existe des exceptions et des conditions spécifiques où le traitement est interdit ou autorisé sous certaines conditions.

Scénarios où le traitement des données de santé est interdit

1. Absence de base légale : Le traitement des données de santé est interdit si aucune des bases légales définies par le RGPD n'est applicable. Ces bases légales incluent le consentement explicite de la personne concernée, l'intérêt vital de la personne concernée, ou des motifs d'intérêt public dans le domaine de la santé publique.

2. Finalités incompatibles : Traiter des données de santé pour des finalités incompatibles avec celles pour lesquelles elles ont été initialement collectées, sans obtenir un nouveau consentement ou sans une base légale appropriée, est interdit.

3. Traitement sans consentement explicite : Le traitement des données de santé sans le consentement explicite de l'individu, lorsqu'il est requis, est interdit. Cela inclut les situations où l'individu n'est pas clairement informé ou où son consentement n'est pas librement donné.

4. Traitement discriminatoire : Utiliser des données de santé de manière à discriminer une personne, par exemple dans les domaines de l'emploi, de l'assurance ou des services publics, est strictement interdit.

5. Manque de mesures de sécurité adéquates : Le traitement des données de santé est interdit s'il n'existe pas de mesures de sécurité techniques et organisationnelles adéquates pour protéger ces données contre l'accès non autorisé, la perte ou la destruction.

Exemptions et conditions spécifiques prévues par le RGPD

1. Consentement explicite : Le traitement des données de santé est généralement autorisé si l'individu concerné a donné son consentement explicite. Il doit être libre, spécifique, éclairé et univoque.

   • Exemple : Un patient consent explicitement à ce que ses données médicales soient utilisées dans le cadre d'une recherche clinique.

2. Nécessité médicale : Le traitement est autorisé si nécessaire pour des raisons médicales, comme le diagnostic, les soins ou le traitement médical, sous la responsabilité d'un professionnel de la santé soumis au secret professionnel.

   • Exemple : Un médecin traitant les données médicales d'un patient pour fournir des soins appropriés.

3. Intérêt public dans le domaine de la santé publique : Le traitement peut être autorisé pour des raisons d'intérêt public dans le domaine de la santé publique, comme la protection contre les menaces transfrontalières graves pour la santé ou pour assurer des normes élevées de qualité et de sécurité des soins de santé et des médicaments.

   • Exemple : Les autorités de santé publique traitant des données pour surveiller et gérer une épidémie.

4. Recherche scientifique ou historique et statistiques : Le traitement est permis pour des fins de recherche scientifique ou historique, ou à des fins statistiques, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées.

   • Exemple : Utilisation de données de santé anonymisées dans une étude épidémiologique.

5. Exécution des obligations légales : Le traitement des données de santé est autorisé si nécessaire à l'exécution des obligations légales du responsable du traitement ou pour la défense de droits en justice.

   • Exemple : Traitement des données de santé par un employeur pour respecter les obligations légales en matière de santé et de sécurité au travail.

6. Protection des intérêts vitaux : Le traitement est permis si nécessaire à la protection des intérêts vitaux de la personne concernée ou d'une autre personne physique, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement.

   • Exemple : Utilisation des données de santé d'un patient inconscient pour des interventions médicales d'urgence.

Pour assurer la conformité RGPD, il est essentiel de réaliser une analyse d'impact pour évaluer les risques associés au traitement des données de santé. De plus, la tenue d'un registre des traitements RGPD permet de documenter toutes les activités de traitement et de démontrer la conformité aux autorités de protection des données.