Le présent article vous propose une synthèse en dix points de ce dossier technique et traitera en particulier :
- des évolutions apportées à cette version ;
- un rappel des obligations légales découlant tant des réglementations spécifiques applicables au secteur de la santé mais aussi du Règlement général sur la protection des données (RGPD [3]).
Cette synthèse s’adresse aux DPO (Délégué à la Protection des Données et RSSI (Responsable de la Sécurité des Systèmes d’information) œuvrant dans le secteur de la santé ou du médico-social ainsi qu’à tout acteur public ou privé, tout secteur confondu, traitant des données de santé de manière plus occasionnelle, allant de la start-up innovante, au club sportif (collecte de données de santé pour de meilleures performances) ou de manière générale toute entreprise tout secteur confondu traitant de la donnée de santé.
1/ Les données que vous traitez relèvent-elles de la catégorie des données de santé ?
De nombreux usages impliquent de traiter des données de santé, qu’il s’agisse par exemple de développer une solution innovante dans le domaine de la santé ou encore de suivre le parcours de soins d’un patient.
Le CLUSIF revient en premier lieu sur la notion fondamentale de donnée de santé, donnée sensible au sens du RGPD.
Sont ainsi visées les données personnelles se rapportant à l’état de santé d’une personne concernée, qui révèlent des informations sur son état de santé physique ou mental.
Toutefois, comme le rappelle la CNIL, il convient de distinguer entre les données de santé par nature (antécédents médicaux, etc.), et celles qui le deviennent, du fait de leur croisement avec d’autres données (mesure du poids croisée avec un nombre de pas, une distance parcourue, etc.) ou en raison de leur utilisation.
Certains cas particuliers sont également traités tels que les données issues du dossier médical d’un patient, dont l’accès est rappelons-le strictement encadré. C’est aussi le cas des données génétiques, qui contiennent le patrimoine génétique des personnes concernées (ADN, analyse de chromosome, etc.) et qui font l’objet d’un régime spécial (usage encadré par les lois de bioéthique [4] et traitement soumis à certaines formalités auprès de la CNIL).
Si le numéro de Sécurité sociale (NIR) ne constitue pas directement une donnée de santé, au sens du RGPD, son traitement est fortement encadré, n’étant possible que dans les cas déterminés par la loi et par le décret « cadre NIR » du 19 avril 2019 [5]. La gestion de la paie compte au rang des cas visés par le décret.
2/ Quels textes encadrent les traitements de données de santé ?
Il est essentiel d’identifier en amont l’étendue du cadre applicable à chaque traitement impliquant des données de santé. Le RGPD et la loi Informatique et libertés constituent bien évidemment les textes généraux de référence.
Or, diverses couches normatives peuvent également se superposer et fixer un régime juridique particulièrement dense. Le CLUSIF en dresse un large panorama et revient sur les cadres applicables.
Ainsi, le Code de la santé publique encadre notamment, entre professionnels de santé, le partage d’informations relatives à un patient, l’hébergement des données de santé ou encore la télémédecine. Les dispositions du Code de la Sécurité sociale (assurance maladie), ou du Code général des collectivités territoriales (données sur les causes de décès) trouvent aussi à s’appliquer. Au niveau européen, outre le RGPD, certains règlements peuvent s’appliquer à des traitements de données de santé, dont ceux relatifs aux dispositifs médicaux [6].
Quant à l’articulation entre ces différentes sources, il semble falloir retenir que les textes généraux (en particulier le RGPD) trouvent à s’appliquer dès lors qu’ils ne sont pas incompatibles avec les textes spéciaux (notamment, le Code de la santé publique). Le droit d’accès aux données d’un dossier médical en est un parfait exemple [7].
3/ Données de santé : quels usages sont autorisés et interdits ?
L’interdiction de collecte et du traitement de la donnée de santé est un principe bien établi [8].
- Le principe connaît cependant des exceptions listées par le RGPD, en particulier les traitements de données de santé :
- auquel la personne concernée a consenti expressément ;
- nécessaires à la sauvegarde de la vie humaine ;
- fondés sur des motifs d’intérêt public ;
- réalisés à des fins médicales par des professionnels de santé, de recherche ou d’archive ;
- aux fins de défendre un droit en justice.
La loi informatique et libertés précise cette liste [9].
Il est par ailleurs proscrit de procéder à l’exploitation commerciale de certaines données de santé [10].
C’est évidemment dans le secteur de la santé et notamment en cas de prise en charge d’un patient, que l’utilisation des données de santé est la plus naturelle : il sera ainsi possible de communiquer et de partager les données de santé du patient, au sein d’une même équipe de soins mais aussi en dehors de cette même équipe (accès au dossier médical partagé).
Sous certaines conditions, les organismes d’assurance maladie, les personnels administratifs des établissements de santé, les personnes en charge de la protection de majeurs protégés [11] peuvent également accéder à certaines données.
Enfin, dans d’autres cas, des tiers autorisés pourront accéder à des données de santé (autorité judiciaire, experts, administration fiscale, dès lors qu’ils sont habilités par des textes législatifs ou réglementaires à accéder de manière ponctuelle et limitée à ces données).
La réutilisation des données de santé pour une finalité distincte de celle prévue initialement est également très encadrée. Il est possible, dans certaines situations, notamment pour le développement d’outils d’intelligence artificielle ou pour des recherches, de constituer ou d’avoir recours à un entrepôt de données de santé [12], regroupant un important volume de données dans une base unique et pour une longue durée. La constitution d’un tel entrepôt, ou la réutilisation de données de santé de manière générale sont très encadrées et peuvent être soumises à des formalités auprès de la CNIL (déclaration de conformité, demande d’autorisation).
La réutilisation des données de santé pour une finalité distincte de celle prévue initialement est également très encadrée. Il est possible, dans certaines situations, notamment pour le développement d’outils d’intelligence artificielle ou pour des recherches, de constituer ou d’avoir recours à un entrepôt de données de santé, regroupant un important volume de données dans une base unique et pour une longue durée. La constitution d’un tel entrepôt, ou la réutilisation de données de santé de manière générale sont très encadrées et peuvent être soumises à des formalités auprès de la CNIL (déclaration de conformité, demande d’autorisation).
4/ Les obligations clés : informer, durées de conservation, respecter les droits des personnes concernées.
Le CLUSIF reprend de manière détaillée et pratique les obligations qui en découlent pour votre organisme.
Les grands principes découlant du RGPD (licéité, minimisation des données, limitation des finalités et des durées de conservations, exactitude, intégrité et confidentialité) s’appliquent évidemment aux données de santé.
- Informer les personnes concernées.
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise et de manière générale conforme aux exigences du RGPD. La sensibilité des données de santé et la vulnérabilité potentielle des personnes concernées (mineurs, personnes âgées, etc.) peuvent nécessiter une information adaptée à la personne concernée [13] en fonction, par exemple, de son âge ou de sa pathologie.
En cas de réutilisation des données à des fins de recherches, l’information sera évidemment plus fournie.
Le caractère sensible des données de santé justifiera également la mise en œuvre par le responsable de traitement d’une analyse d’impact sur la protection des données (AIPD ou PIA) mais aussi la désignation d’un DPO, etc.
- Fixer les durées de conservation des données.
Naturellement, la durée de conservation des données de santé est encadrée, variant au gré des finalités de traitements [14] mais aussi des obligations légales pesant sur le responsable de traitement [15].
- Respecter les droits des personnes concernées.
Le CLUSIF rappelle l’importance fondamentale des droits des personnes concernées sur leurs données (accès, opposition, limitation, effacement, directives sur le sort des données après le décès notamment).
Pour rappel, l’étendue des droits dont dispose la personne concernée dépend de la base légale sur laquelle repose le traitement (ex : un traitement fondé sur une obligation légale n’ouvrira pas de droit à l’effacement).
Certains régimes particuliers doivent être pris en compte, notamment en matière d’accès au dossier médical, les conditions variant selon que la personne concernée est mineure ou décédée [16]. En pratique, les modalités d’exercice des droits pourront varier selon que les données concernées par la demande sont par exemple celles du dossier médical partagé ou du dossier pharmaceutique (notamment en matière de rectification).
Un focus sur la recherche dans le domaine de la santé nous rappelle que le consentement de la personne concernée n’est pas systématiquement requis [17].
- Encadrer les relations avec les prestataires.
Bien entendu, toute entreprise mettant à disposition des solutions logicielles métier à destination des professionnels traitant des données de santé doit veiller au respect des obligations légales applicables tant à l’égard de ses clients qu’à tout acteur impliqué dans le parcours de la donnée de santé (de sa collecte jusqu’à sa suppression).
Un tel prestataire se conformera ainsi aux exigences applicables en matière d’hébergement de données de santé et s’assurera que la solution logicielle développée ne permette pas d’action proscrite par les textes (ex : gestion des accès aux données de santé).
Dans la plupart des cas, un contrat de sous-traitance de données conforme aux exigences du RGPD [18] devra également être conclu avec le client (qualifié dans cette hypothèse de responsable de traitement) si vous intervenez en qualité de sous-traitant.
5/ Quelles garanties pour la sécurité des traitements de données de santé ?
La sécurité des données est un enjeu important.
Le CLUSIF revient de manière pratique sur les obligations de sécurité qui s’imposent en cas de traitement de données de santé et les mesures qui en découlent afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience de ces données.
De manière générale, le RGPD impose de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, lequel aura tendance à augmenter dès lors que des données de santé sont concernées.
On le sait déjà, les données de santé intéressent : les établissements de santé sont régulièrement pris pour cible.
De manière pratique, les mesures à mettre en place sont renforcées : pseudonymisation, chiffrement, sauvegardes, surveillance, tests d’intrusion et procédure d’évaluation des mesures, authentification forte des utilisateurs (via une carte de professionnel de santé par exemple), gestion des habilitations, traçabilité, etc.
A ce titre, le CLUSIF rappelle plusieurs sanctions prononcées par le CNIL pour des défauts de sécurité, notamment des situations dans lesquelles des données de patients étaient librement accessibles par des tiers non autorisés [19].
De manière plus spécifique, le CLUSIF revient sur :
- les obligations de sécurité s’imposant aux organismes désirant obtenir la certification hébergeurs de données de santé, laquelle implique une évaluation de conformité à un référentiel s’appuyant sur entre autres la norme ISO 27001 relative à la gestion de la sécurité des systèmes d’information [20].
- les mesures de sécurité à mettre en place dans le cadre de l’accès aux données du système national des données de santé (SNDS) [21] ou dans le cadre du traitement du NIR.
6/ Contrôle et formalités auprès de la CNIL en cas de traitement de données de santé ?
Le traitement de données de santé peut nécessiter la réalisation de formalités préalables auprès de la CNIL, bien que celles-ci aient généralement eu tendance à disparaître avec l’entrée en application du RGPD.
Pour faciliter ces démarches, la CNIL a publié divers référentiels [22] auxquels votre organisme devra se référer s’il entre dans leur champ d’application (par exemple, en matière de vigilance sanitaire, d’entrepôts de données de santé, ou en matière de recherche).
En principe, dès lors que les traitements envisagés correspondent au référentiel concerné, il conviendra d’adresser à la CNIL une déclaration de conformité au référentiel préalablement à sa mise en place, laquelle vaudra pour tous les traitements à venir entrant dans son champ d’application.
Si tel n’est pas le cas, les traitements ne pourront être mis en œuvre qu’après autorisation de la CNIL. Certains traitements sont dispensés de formalités [23] (médecine préventive, ou diagnostics médicaux par exemple). D’autres requièrent la réalisation de formalités encore plus particulières, tels que les traitements mis en place en considération de l’intérêt public qu’ils présentent [24] ou en matière de recherche (point 7 ci-dessous).
La CNIL ne manque pas de contrôler les organismes sur la bonne exécution de ces formalités, en témoigne la sanction récente de l’éditeur de logiciels Cegedim Santé à 800 000 euros d’amende en septembre 2024, laquelle a notamment été prononcée en raison de l’absence d’autorisation de la CNIL pour la mise en œuvre de certains traitements [25]. Il est à noter qu’en cas de contrôle, le secret médical pourra, dans certaines conditions, être opposé à la CNIL quant aux informations couvertes par celui-ci [26].
7/ Le cas particulier de la recherche : quelles formalités réaliser pour ces traitements ?
Le CLUSIF revient sur les formalités et les démarches à mener pour permettre l’accès, l’utilisation, et le partage de données de santé aux fins de mener des recherches dans le domaine de la santé. Le cadre juridique applicable découle de l’articulation des dispositions du RGPD et de la loi informatique et libertés du 6 janvier 1978 modifiée [27].
Sur la question des formalités, il convient de distinguer plusieurs types de recherches, dont les recherches internes (par et pour l’équipe de soins), qui n’appellent pas de formalités auprès de la CNIL, et les recherches multicentriques (dès lors que les participants sont issus de plusieurs établissements ou que les données sont rendues accessibles à des personnes en dehors de l’équipe de soins, ou encore dès lors que les données sont issues du Système national de données de santé (SNDS).
En principe, les formalités préalables à mener dans le cadre des recherches multicentriques consistent en des déclarations de conformité à une méthodologie de référence publiée par la CNIL, ou, à défaut, en des demandes d’autorisation à la CNIL, étant précisé que l’avis favorable de différents comités peut également être nécessaires (comités scientifiques, d’éthique). Il demeure cependant certains cas particuliers.
Le CLUSIF prend en compte les dernières méthodologies de référence publiées par la CNIL en 2023 en matière d’accès au système national des données de santé à des fins de recherche [28]. Le champ d’application des différentes méthodologies de références varie notamment selon que la recherche implique ou non la personne humaine et nécessite le consentement ou la non-opposition de la personne concernée.
8/ Retour sur les dernières évolutions du système national de données de santé (snds) et de la plateforme des données de santé (Ex « Health Data Hub » [29]).
Le CLUSIF consacre d’importants développements au SNDS et à la Plateforme des données de santé [30].Il s’agit de simplifier et d’accélérer l’accès aux données de santé, afin de permettre des recherches ou le développement d’outils bénéficiant aux professionnels ou aux patients (dont des outils d’Intelligence artificielle).
L’accès aux données du SNDS et de la Plateforme des données de santé est réglementé. Sont ainsi mises à disposition du public, de manière gratuite, des statistiques agrégées ou de données non identifiantes [31], et, selon les cas, certains organismes pourront bénéficier d’un accès limité à certaines données, de manière temporaire ou permanente.
Si votre organisme envisage d’accéder aux données du SNDS en vue de réaliser une étude ou une recherche, des procédures différentes s’appliqueront, en fonction du type d’accès demandé, nécessitant notamment l’avis du Comité éthique et scientifique pour les demandes d’autorisation relatives à des recherches, études et évaluations dans le domaine de la santé (CESREEES), et, le cas échéant, une autorisation de la CNIL.
Ces dernières années, la Plateforme des données de santé s’est retrouvé au cœur de l’actualité en matière de protection des données après que la CNIL a autorisé la société Microsoft à héberger les données concernées en décembre 2023. Depuis, le Conseil d’Etat, saisi par différents organismes a eu l’occasion de se prononcer sur cette décision. Il a tout d’abord refusé de suspendre en urgence la décision de la CNIL par une décision rendue par le juge des référés le 22 mars 2024, estimant notamment que le risque que les autorités américaines formulent des demandes d’accès à certaines des données concernées dans le cadre de ses programmes de surveillance demeuraient « hypothétiques » au vu des garanties mises en œuvre (dont la pseudonymisation).
Par un arrêt du 19 novembre 2024 (Conseil d’État décision n°491644, lecture du 19 novembre 2024), rendu après la mise à jour du dossier du CLUSIF, le Conseil d’Etat a cette fois rejeté un recours au fond, tendant à l’annulation de la décision de la CNIL, en s’appuyant à nouveau sur les garanties entourant la mise en œuvre du projet d’hébergement par Microsoft, et en mettant en avant le fait que ledit projet n’était autorisé que pour trois ans.
9/ Devenir hébergeur de données de santé : quelle procédure et quelles obligations ?
Le CLUSIF revient de manière pratique sur l’hébergement des données de santé : si les professionnels de santé peuvent décider de conserver directement ces données, ils peuvent aussi les confier à un prestataire externe, qui sera soumis à un cadre strict en tant qu’hébergeur de données de santé.
En effet, ces hébergeurs doivent notamment être certifiés (ou, agréés, notamment dans le cadre d’un service d’archivage électronique). La procédure de certification implique le respect d’un référentiel de conformité (impliquant la conformité à la norme ISO 27001, ou la réalisation d’audits). Le certificat obtenu ne pourra concerner qu’un périmètre défini, distinct pour l’hébergeur d’infrastructure physique et l’hébergeur infogéreur, étant précisé que ledit certificat n’est délivré que pour trois ans.
Parmi les obligations que devra respecter l’hébergeur de données de santé, l’on retrouve, outre la certification, des obligations relativement classiques (notamment en matière de sécurité) ou encore l’obligation de faire réaliser chaque année un audit de surveillance.
L’hébergeur de données de santé devra également, s’il obtient la certification, conclure un contrat d’hébergement avec ses clients, lequel devra être conforme aux dispositions du Code de la santé publique, qui en fixe le contenu minimal [32].
10/ Dossiers médicaux et documents de santé numérique.
Le dossier du CLUSIF apporte des évolutions majeures sur cette partie.
En effet, les différents documents et dossiers numériques qui accompagnent le patient et sa prise en charge, en particulier sur la question de l’espace numérique de santé (ENS) et le dossier médical partagé (DMP) sont ici traités.
L’ENS permet entre autres à son titulaire d’accéder à différentes données le concernant, dont son dossier médical partagé, lequel a été intégré à l’ENS en janvier 2022 et permet aux professionnels et aux patients de partager des informations utiles, sans qu’il ne se substitue pour autant au dossier patient. Un dossier pharmaceutique peut également être créé au profit de chaque bénéficiaire de l’assurance maladie, avec son consentement.
Enfin, le CLUSIF rappelle les règles relatives à la validité des documents de santé numérique [33] (documents comportant des données de santé reçus ou conservés par des professionnels de santé ou du secteur médico-social). Ces documents regroupent entre autres les copies numériques de documents médicaux (du simple scan dont l’intégrité ne peut être démontrée à la copie considérée comme fiable en raison des mesures garantissant son intégrité) et les documents médicaux créés numériquement.
Cette réglementation pourra intéresser directement votre organisme s’il propose ou entend proposer des services numériques ou des logiciels à des professionnels de santé.
En conclusion, le dossier du CLUSIF apporte une vue d’ensemble du cadre applicable au traitement des données de santé, et constitue tout à la fois un rappel bienvenu et un outil de travail pour les DPO et RSSI concernés. Ce dossier technique nous offre ainsi un panorama des problématiques et des défis qu’il convient de relever en la matière, lesquels deviennent de plus en plus complexes, tant juridiquement que techniquement.
