Données de santé RGPD : les exigences de la CNIL
Données de santé RGPD – Legal Brain Avocats, votre avocat RGPD vous accompagne à toutes les étapes pour être en conformité avec les exigences de la CNIL.
Quelles sont les données de santé ?
La CNIL définit les données de santé comme “les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.”
Trois catégories de données entrent désormais dans cette notion. Il s’agit d’abord des données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…). Certaines données, du fait de leur croisement avec d’autres, sont considérées comme des données de santé car ce croisement permet de tirer une conclusion sur l’état ou les risques de santé de la personne (croisement d’une mesure de poids avec un nombre de pas ou une mesure des apports caloriques, croisement de la tension avec la mesure de l’effort…). Enfin, celles qui deviennent des données de santé du fait de leur destination, soit leur usage sur le plan médical.
Les données qui ne permettent pas de tirer d’informations ou de conclusions sur l’état de santé d’une personne, ne sont pas des données de santé. Ainsi une application qui ne fait que collecter un nombre de pas lors d’une sortie à l’extérieur, sans faire de croisement avec d’autres données, ne recueille pas des données de santé.
Données de santé et RGPD : qui peut recueillir et utiliser ces données de santé ?
Ce sont les patients qui fournissent leurs données médicales lors d’un rendez-vous chez un médecin, à l’hôpital, ou au sein d’autres établissements de santé (centre de radiologie ou de rééducation, cabinet de kinésithérapie…). Les données peuvent être recueillies par “un questionnaire proposé à l’accueil et des séries de questions posées pendant la consultation”. De plus en plus d’applications numériques, spécialisées dans le domaine de la santé, sont mises en place. Il suffit d’avoir un objet connecté pour y accéder. Le meilleur exemple est Doctolib. Il est possible de prendre rendez-vous chez un généraliste, dans un centre de vaccination ou bien de transmettre ses documents médicaux, de renseigner ses données de santé.
Le RGPD fixe les obligations que doivent respecter les organismes privés et publics, concernant leurs traitements des données de santé. Il impose la désignation d’un délégué à la protection des données (DPO), la détention d’un registre des traitements et la réalisation d’une analyse des risques. Ainsi, seuls les agents et les organismes médicaux peuvent recueillir et utiliser les données de santé, s’ils ont obtenu le consentement du patient et respectent ces réglementations. Il peut s’agir des professionnels de santé libéraux (médecin, infirmière, kiné, dentiste…), des établissements de santé (laboratoires, hôpitaux…), de la Sécurité Sociale ou de la mutuelle santé du patient puisqu’elles remboursent ses dépenses.
Pourquoi les données de santé doivent être exploitées ?
L’exploitation des données de santé permet d’offrir aux patients des soins personnalisés à leurs besoins médicaux. C’est pour cela que toutes les données médicales d’un patient sont stockées ensemble sur une base, afin de définir les traitements qui lui conviennent. Ce stockage sur des bases de données minimise ainsi les erreurs de diagnostic, et évite la prescription de médicaments incompatibles entre eux. “Cela grâce à la capacité des outils technologiques à traiter plusieurs informations en même temps sans omettre une seule”.
Mais il arrive que les données médicales soient traitées par des agents ou des organismes n’ayant pas reçu l’autorisation préalable de la CNIL, dans un contexte de renseignement administratif. Le Conseil d’Etat a rendu deux décisions le 19 juillet 2010 (n°317182 et n°334014), dans lesquelles il déclare les fichiers de recensement des élèves de maternelle et de primaire non conformes à la loi Informatique et libertés du 6 janvier 1978. Le Conseil d’Etat ordonne la suppression des données relatives à la santé des élèves, qui avaient été collectées dans la première version de « Base élèves ». Ces fichiers sont litigieux, du fait que “ces données permettent de connaître la nature de l’affection ou du handicap dont souffrent les élèves concernés et constituent par conséquent des données relatives à la santé, dont le traitement aurait dû être précédé d’une autorisation de la CNIL”. Le Conseil d’Etat laisse aussi le choix aux parents, qui peuvent émettre le refus d’inscrire leur enfant dans ces fichiers pour des motifs légitimes. Dans un arrêt du 28 mars 2014, le Conseil d’État annule deux dispositions du décret SIRHEN “portant création d’un traitement automatisé de données à caractère personnel (…) relatif à la gestion des ressources humaines du ministère de l’Education nationale”. Ce traitement automatisé a pour objectif de recueillir des données « relatives à la mention du sexe et de la nationalité du conjoint ou partenaire » des agents. Le Conseil d’Etat rappelle que la loi permet bien “la création de traitements, automatisés ou non, portant sur des données à caractère personnel”. Ces données à caractère personnel incluent “des données personnelles portant sur les conjoints, partenaires, enfants et autres personnes à la charge des personnels”, dans la mesure où elles sont “nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille”. Ce qui n’est pas le cas “des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents”.
Les fuites numériques de données de santé sont-elles possibles ? Quelles en sont leurs conséquences face au RGPD ?
Les risques principaux liés aux données de santé, des laboratoires ou des cliniques, sont les cyberattaques. Une cyberattaque est définie comme un “incident de sécurité au cours duquel des acteurs internes malveillants ou des attaquants externes parviennent à accéder de façon non autorisée à des données confidentielles ou à des informations sensibles”. Les données de santé sont de plus en plus sujettes à des fuites. On recense un certain nombre de cyberattaques, malgré toutes les mesures de défense informatique instaurées par le droit français et le RGPD. Elles peuvent prendre la forme d’une fuite d’informations personnelles et de résultats de test, car la plateforme du site médical n’était pas bien sécurisée. Il peut s’agir du piratage d’un laboratoire de biologie, divulguant les informations personnelles et médicales des patients.
Ces types de cyberattaques n’ont fait qu’augmenter avec la crise sanitaire du Covid19 et la mise en place hâtive du télétravail. Elles ont touché les entreprises, mais aussi les établissements à caractère médical (hôpitaux, instituts de recherche médicale, biotechs). La plupart étaient des attaques de ransomware, perpétrées par le logiciel malveillant CryptoLocker sur des ordinateurs possédant Windows. CryptoLocker se propage simplement via des emails. “Lors d’une attaque de ransomware, les pirates chiffrent généralement les données et les gardent en otage jusqu’à ce que la victime verse une rançon élevée”. A la fin du mois de mars 2020, une tentative de cyberattaque a été intentée contre l’Assistance Publique-Hôpitaux de Paris. Elle a été la cible d’une attaque par déni de service dont le but est de rendre inaccessible un serveur par l’envoi de nombreuses requêtes jusqu’à le saturer, provoquant une panne ou un fonctionnement fortement dégradé. Mais « l’attaque qui a duré une heure (…) n’a jamais atteint les infrastructures » d’après le porte-parole de l’AP-HP. Cependant certains hôpitaux ne sont pas d’aussi grosses structures que l’AP-HP. Les hôpitaux de Villefranche-sur-Saône et de Dax notamment en ont été les cibles. Ces attaques de ransomware ont eu pour conséquence le report d’opérations, car certains équipements médicaux et les dossiers patients étaient inaccessibles. En ce qui concerne les structures impliquées dans la recherche de traitement contre le Covid-19, des attaques ont aussi été intentées par les hackers. Ils voulaient voler des données scientifiques, liées à la recherche d’un vaccin contre le virus, pour les revendre à prix d’or sur Internet. Des attaques ont été intentées notamment contre l’Agence européenne du médicament, les laboratoires AstraZeneca et Moderna.
Quels sont les risques pour les entreprises en cas de fuite de données ? Leur responsabilité peut-elle être engagée ?
Les clients ont la possibilité de porter plainte contre celui qui a traité et hébergé les données. L’enquête devra déterminer la source des fuites, pour permettre l’articulation d’un droit de rectification ou d’un droit à l’effacement des données. Ces deux droits sont prévus par le RGPD. “Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite” (droit de rectification – CNIL). Le droit à l’effacement a pour objectif que tout internaute puisse obtenir le retrait de données personnelles qui le concerne sur internet.
Le client peut engager la responsabilité de traiteur et de l’hébergeur des données devant les tribunaux civils, sur le fondement de la violation du secret médical. Ils pourront statuer sur l’existence du préjudice et évaluer son indemnisation.
La CNIL n’est pas compétente pour prononcer l’indemnisation des préjudices des clients, mais elle prononce des amendes en cas de non-respect des réglementations RGPD. Ainsi, les cabinets médicaux ou les établissements de santé ayant subi des fuites de données peuvent recevoir une amende de 20 millions d’euros, ou allant jusqu’à 4% de leur chiffre d’affaires. La CNIL sanctionne donc par de lourdes pénalités.
Comment les cabinets ou établissements médicaux doivent-ils répondre à l’obligation du consentement éclairé issu du RGPD ?
L’article R.4127-36 du code de la santé publique définit les modalités de recueil du consentement du patient. “Le consentement de la personne examinée ou soignée doit être recherché dans tous les cas.” Il est donc obligatoirement recherché par le médecin avant que celui-ci procède à un acte médical (examen clinique habituel, investigations complémentaires, traitement, surveillance du traitement et ses suites…). L’article différencie certains malades selon leur capacité à exprimer leur volonté. “Lorsque le malade, en état d’exprimer sa volonté, refuse les investigations ou le traitement proposés, le médecin doit respecter ce refus après avoir informé le malade de ses conséquences. Si le malade est hors d’état d’exprimer sa volonté, le médecin ne peut intervenir sans que la personne de confiance, à défaut, la famille ou un de ses proches ait été prévenu et informé, sauf urgence ou impossibilité.” Deux cas de malades hors d’état d’exprimer leur volonté sont distingués. Il s’agit des mineurs et des majeurs sous tutelle. S’ils sont aptes à le faire, le médecin doit impérativement rechercher leur consentement. Sinon, c’est le titulaire de l’autorité parentale ou le tuteur qui prend toutes les décisions relatives à la santé (de l’enfant, du majeur sous tutelle).
Le consentement du patient doit être exprimé à l’oral, de manière claire et manifeste. Son recueil n’est pas soumis au formalisme de l’établissement d’un écrit. Le législateur a cependant établi et rappelé qu’une trace écrite du consentement du patient est nécessaire pour certains actes médicaux. C’est la cas pour l’interruption volontaire de grossesse (L.2212-7 du Code de santé publique), la stérilisation à visée contraceptive (L.2123-1 du Code de santé publique), la recherche impliquant la personne humaine (L.1122-1-1 du Code de santé publique), le prélèvement d’organes produits du corps humain (L.1232-2 du Code de santé publique).
Le consentement aux soins médicaux doit être éclairé et libre. Pour que l’exigence d’éclairement soit remplie, le médecin ou le personnel médical doit fournir au patient toutes les informations loyales, claires et adaptées à son degré de compréhension. Le patient doit être capable de comprendre les modalités et les conséquences des soins médicaux qu’on veut lui procurer. Cette compréhension lui permet d’accepter ou de refuser, tout en étant libre de toute pression ou contrainte. Le consentement éclairé et libre implique que le patient a connaissance des alternatives thérapeutiques envisageables pour le traitement de son problème de santé, avec leurs avantages et leurs inconvénients.
Comment les cabinets ou établissements médicaux peuvent-ils mieux protéger leurs données ?
La législation française est très riche en ce qui concerne la cybercriminalité. Elle est prise en compte dans le droit français depuis la Loi Informatique et Libertés de 1978, qui réglemente la liberté de ficher les personnes humaines. L’encadrement juridique des pratiques numériques prévoit des peines allant jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende pour les cyberattaques. La surveillance d’Internet est un volet essentiel à la lutte contre ces attaques informatiques. La Loi Renseignement de 2015 permet de renforcer “les moyens d’action des services de renseignement dans la sphère numérique”. Après les attentats de Paris en 2015, le gouvernement a lancé l’opération Stop Djihadisme “afin de contrecarrer les campagnes de propagande jihadiste sur les réseaux sociaux.” Il existe par ailleurs des doctrines de lutte informatique offensive (LIO) et de lutte informatique défensive (LID). Il s’agit du volet offensif de la doctrine cyber militaire française, qui a été officialisé le 18 janvier 2018 par la ministre des armées.
Pour sécuriser les données personnelles de leurs clients et lutter contre les cyberattaques, le RGPD donne aux entreprises diverses opérations qu’elles devront appliquer. Il conseille d’appliquer des “méthodes de chiffrement des données et des connexions” (conservation et transferts) et des “mesures d’authentification plus fortes” (utilisation de carte à puce, signature électronique…). Doivent être mises en place des mesures permettant d’accéder facilement aux données stockées en cas d’incident physique ou technique. Le RGPD impose également des procédures permettant d’évaluer la performance des mesures techniques et organisationnelles de sécurisation des traitements.
Mais cette législation peut présenter des failles dans son fonctionnement. Les cabinets et établissements médicaux peuvent avoir des difficultés à exécuter les opérations du RGPD, car peu de structures possèdent une vision globale de leur système informatique. Sans cette vision, il risque d’être difficile de mettre en place une politique de cyberdéfense efficace. “Il faut d’abord faire la cartographie détaillée des supports internes et externes de stockage des données.” Mais cette démarche n’est pas simple considérant que certains logiciels ne sont plus forcément sous la gestion du service informatique même de ces structures. Le phénomène du “Bring Your Own Device”, et l’utilisation d’objets connectés personnels au travail (tablettes, smartphones) ne facilitent pas non plus cette démarche. Toutes les applications qui sont mises en place par les employés, et à l’insu du responsable informatique, devront être recensées.
Quelles sont les différences de protocoles entre les laboratoires américains et les laboratoires français ? Cela a-t-il des conséquences sur la sécurité des données ?
Les protocoles de santé sont très longs en France. Cela crée une insécurité juridique. A l’inverse, les protocoles américains sont plus courts. Faire plus court et plus simple c’est aussi garantir la sécurité des données.
Données de santé et RGPD : l’accompagnement de Legal Brain Avocats
Legal Brain Avocats, votre avocat RGPD vous accompagne à toutes les étapes :
- établir le registre de vos traitements effectués,
- sécuriser et négocier les différents contrats pour être en conformité sur la réglementation,
- former votre personnel au traitement et à la protection des informations,
- sécuriser la collecte, l’analyse et le stockage de données sensibles (par ex. biométriques)
- encadrer le transfert de vos données dans/hors l’Union européenne ;
- vous représenter lors de contrôles auprès de la Commission nationale de l’informatique et des libertés (CNIL)
Pour en savoir plus ou pour obtenir un devis, nous vous invitons à nous contacter.