Avec l’importante évolution qu’a connue le monde du numérique ces dernières années, de plus en plus de données de santé sont recueillies par les sites internet, les divers objets connectés, et surtout les établissements de soin. Mais les données de santé sont considérées par le RGPD comme « données sensibles » en raison de leur importance (couverture par le secret médical, utilité pour les établissements financiers). C’est pourquoi le RGPD impose un cadre réglementaire plus strict pour les protéger.

Mais une donnée de santé : c’est quoi ?

D’après un document de travail élaboré par le G29 en 2007 une donnée de santé est : « une donnée en relation étroite avec l’état de santé de la personne telle qu’une information sur la consommation d’alcool, de drogues ou de médicaments doit être considérée comme une donnée de santé… » Un autre projet de loi portant sur la protection de données étend encore cette définition en précisant qu’une donnée de santé est : « toute information relative à la santé physique ou mentale d’une personne… ».

La fréquence cardiaque, le groupe sanguin, les données génétiques, les informations sur les handicaps, toutes ces informations sont des données de santé, donc des données sensibles. Il existe néanmoins des données qui ne sont pas par nature des données de santé, mais qui, lorsque croisées avec d’autres données, permettent de faire des déductions sur l’état de santé d’une personne : la relation entre le nombre de pas réalisé par un individu avec son âge, ses habitudes alimentaires ou encore son sexe, l’association du poids et de la taille qui donne l’IMC. Ces données sont considérées comme des données de santé.

Enfin, seront également considérées comme des données de santé par destination, toutes données utilisées à des fins médicales.

En principe, le traitement des données de santé est interdit

Toute opération portant sur des données de santé est définie comme un traitement de données de santé. Le RGPD l’interdit à condition d’obtenir le consentement exprès des personnes concernées ou que le traitement fasse partie des exceptions prévues par la loi.

Le consentement de la personne concernée

Le traitement d’une donnée de santé est légal à partir du moment où la personne concernée a donné son consentement exprès, libre et univoque. Elle devra en outre être bien informée des buts du traitement : les objectifs du traitement. Il reste toutefois possible aux États membres de mettre en place des règles plus strictes, comme cela est le cas en France dans le cadre de la loi Informatique et Libertés modifiée en juin 2018.

Les exceptions prévues par le RGPD

Le traitement des données de santé peut être légal malgré l’absence du consentement préalable de la personne concernée quand le traitement est réalisé pour atteindre certaines finalités ou en cas d’obligation légales :

  • Prévention de la santé publique (ex. : limitation des risques de propagation des maladies)
  • Préservation des intérêts vitaux de la personne concernée ;
  • Appréciation médicale : médecine préventive, soins, diagnostics ;
  • Médecine du travail ou encore pourcentage légal d’emploi de personnes avec handicap
  • Gestion des systèmes et services de santé ou de la protection sociale.

Les obligations des entreprises réalisant des traitements de données de santé

Le RGPD impose aux entreprises effectuant des traitements de données de santé des obligations relativement strictes. Ainsi, ces entreprises doivent :

  • Désigner un délégué à la protection des données ou DPO ;
  • Tenir un registre des traitements ;
  • Faire une analyse des risques ;

Désignation d’un délégué à la protection des données ou DPO

À partir du moment où une entreprise traite des données de santé, elle doit nommer un délégué à la protection des données (DPO). Le DPO a pour principale fonction de veiller au respect des règles du RGPD au sein de l’entreprise, c’est le chef d’orchestre de la mise en conformité. Il conseille également les dirigeants et les collaborateurs de l’entreprise sur tous les sujets relatifs à la protection des données de santé recueillies. La personne à désigner au poste de DPO peut être un des salariés de l’entreprise, si elle occupe un poste qui ne présente pas de conflit d’intérêt (exclusion des dirigeants par exemple). Néanmoins, il est possible de recourir au service d’un prestataire externe.

Tenir un registre des traitements

Outre l’obligation de désigner un DPO, les entreprises qui traitent des données de santé doivent également tenir un registre des traitements sur lequel on peut trouver :

  • Les informations sur le responsable du traitement et DPO ;
  • Les finalités du traitement ;
  • Les informations sur les personnes concernées ;
  • Les délais de conservation des données ;
  • La description des mesures mise en place pour optimiser la protection des données.

Analyser les risques et les impacts

Le traitement de données de santé peut avoir des impacts non négligeables sur la vie privée et les droits et libertés des individus. C’est pourquoi le RGPD impose aux responsables du traitement de réaliser une analyse d’impact sur le traitement de ce type de données. Cette analyse doit contenir :

  • Des détails sur les opérations de traitement ainsi que le but poursuivi par le responsable de traitement ;
  • Les mesures de protection mise en œuvre pour protéger les données (chiffrage des données, anonymisation…) ;
  • Un rapport entre les bénéfices et les risques. Le traitement présente-t-il un intérêt majeur pour les personnes concernées ?