Protection et gestion des données

Définition des « données de santé »

Qu’entend-on par « données de santé » ? Existe-t-il une définition des données de santé « anonymisées » ?

Les données sur la santé sont définies au niveau de l’UE. Le règlement général sur la protection des données (RGPD) stipule à l’article 4.15 que les données de santé sont des données à caractère personnel « relatives à la santé physique ou mentale d’une personne, y compris la fourniture de services de santé, qui divulguent des informations sur son état de santé ».

Compte tenu des dispositions de l’article 9 du RGPD, les données de santé, ainsi que les données génétiques et biométriques, sont considérées comme des données personnelles hautement sensibles.

Par ailleurs, la Commission française de l’informatique et des libertés (CNIL) a une interprétation large de cette notion et considère trois catégories de données comme données de santé :

• données de santé naturelles (données sur les antécédents médicaux, la maladie, les services de traitement, les résultats des tests, les traitements, etc.) ;
• données de santé à des fins médicales (orientation sexuelle, etc.) ; Et
• données qui deviennent des données de santé par recoupement avec d’autres données permettant de déterminer l’état de santé ou le risque sanitaire d’une personne (croisement de la pression artérielle avec la mesure de l’effort ou du nombre de pas, etc.).

Les données de santé anonymisées désignent les données personnelles anonymisées et exclues du champ d’application du RGPD. Le préambule du RGPD définit, par la négative, les données à caractère personnel anonymisées comme « des informations qui ne sont pas liées à une personne physique identifiée ou identifiable ou à des données à caractère personnel qui sont anonymisées de telle sorte que la personne concernée n’est pas ou ne peut plus être identifiée » .

Au niveau français, la CNIL prévoit, avec une définition anonymisée des données de santé, « un traitement de données consistant en l’utilisation d’un ensemble de techniques telles qu’il est impossible, en pratique, d’identifier toute personne dont les données personnelles sont en cours de traitement, de manière irréversible ».

Les données de santé anonymisées ne doivent pas être confondues avec des données pseudonymes résultant du traitement de données à caractère personnel de telle sorte que ces données à caractère personnel ne puissent plus être associées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que les informations supplémentaires soient stockées séparément et sous réserve de mesures techniques et organisationnelles visant à garantir que les données personnelles ne sont pas associées à une personne physique identifiée ou identifiable (voir article 4.5 RGPD).

A ce jour, trois critères ont été définis au niveau de l’UE, et suivis en France, pour vérifier la robustesse de chaque technique d’anonymisation, à savoir :

• est-il encore possible de sélectionner une personne ;
• est-il encore possible de coupler des enregistrements relatifs à des individus ; Et
• peut-on déduire des informations sur une personne ?

loi sur la protection des données

Quelles sont les protections légales prévues pour les données de santé dans votre juridiction ? Le niveau de protection est-il supérieur à celui prévu pour les autres données personnelles ?

En France, les données de santé sont initialement protégées par UU non. 78-17 du 6 janvier 1978 relative à l’informatique et à la protection des données. UU non. 2018-493 du 20 juin 2018 relative à la protection des données personnelles qui a été modifiée adaptant la loi française pour se conformer au RGPD.

Le règlement classe les données de santé comme des données sensibles, comme les données génétiques ou les données biométriques. Par conséquent, le traitement des données est soumis à des conditions alternatives supplémentaires, telles que :

• la personne a donné son consentement explicite ;
• le traitement est nécessaire à la médecine préventive ou à des fins professionnelles ;
• diagnostic médical;
• fourniture de soins de santé ou d’assistance sociale; Et
• pour des raisons d’intérêt public dans le domaine de la santé publique.

Au niveau national, les données de santé sont considérées comme hautement sensibles et la CNIL a élaboré des lignes directrices spécifiques sur le traitement des données de santé pour faciliter le traitement des données de santé.

Toutefois, le traitement des données de santé peut être soumis à autorisation préalable de la CNIL si le traitement des données de santé ne respecte pas les normes de référence fixées par la CNIL. La CNIL appréciera la finalité du traitement des données, les données associées, les mesures prises pour assurer la sécurité du traitement des données, etc.

Données de santé anonymes

Les données de santé anonymisées sont-elles soumises à des réglementations ou directives particulières ?

La réglementation sur les données personnelles ne s’applique plus car la diffusion ou la réutilisation de données anonymisées ne porte pas atteinte à la vie privée de la personne concernée. Ainsi, les données de santé anonymisées échappent au champ d’application de la réglementation sur les données personnelles (à l’inverse, le processus d’anonymisation reste un processus de données personnelles soumis à la réglementation sur les données personnelles).

Cependant, il faut encore en tenir compte Règlement (UE) 2018/1807 du 14 novembre 2018, fixe le cadre de la libre circulation des données non personnelles dans l’Union européenne et fait suite aux discussions parlementaires sur la proposition d’action sur les données, lancée par la Commission européenne en février 2022 sur les données personnelles et non personnelles, qui vise proposer de nouvelles règles sur l’utilisation et l’accès aux données générées dans l’UE dans tous les secteurs de l’économie, y compris le secteur de la santé.

Mise en œuvre

Comment les lois sur la protection des données dans votre juridiction sont-elles appliquées en ce qui concerne les données de santé ? Y a-t-il eu des réglementations importantes ou des mesures d’application de la loi concernant la technologie numérique des soins de santé ?

La CNIL met en œuvre et fait respecter la réglementation sur les données personnelles en imposant des sanctions administratives, qui peuvent aller du rappel de la réglementation applicable à des amendes administratives.

La violation de ce règlement peut également constituer une infraction pénale, qui peut être renvoyée devant un tribunal correctionnel.

Plusieurs sanctions financières ont été prononcées contre des entreprises et des professionnels de la santé, les plus élevées étant contre Google LLC et Google Ireland Limited à 60 millions d’euros et 40 millions d’euros respectivement.

En novembre 2022, la CNIL a fait une déclaration en réponse à de multiples plaintes contre des organismes privés d’assurance complémentaire utilisant des données de santé générées par des professionnels de santé pour rembourser des patients assurés. La CNIL a décidé de ne pas sanctionner l’organisme mais a estimé que le cadre réglementaire concernant l’organisme était insuffisant au regard de la protection des données et du secret médical.

Cybersécurité

Quelles lois et meilleures pratiques en matière de cybersécurité sont pertinentes pour les offres de santé numérique ?

En matière de cybersécurité, Directive (UE) 2016/1148 6 juillet 2016 (Directive NIS) redirigé en France par Décision n° 2018-384 23 mai 2018, influençant les entreprises de santé numérique en tant que fournisseurs de services numériques. Les infrastructures de santé publiques et privées sont considérées comme des prestataires de services nécessaires et font l’objet de mesures renforcées pour gérer les risques de sécurité de leurs réseaux et systèmes d’information.

Ce guide définit le cadre de certification de l’UE et le processus de notification pour la gestion des incidents affectant les systèmes informatiques qui ont un impact significatif sur la continuité des services qu’ils fournissent, aux autorités de cybersécurité spécifiques.

La deuxième directive NIS est promulguée en décembre 2022 (Directive (UE) 2022/2555), transférable en France dans un délai de deux ans.

Bonnes pratiques et conseils pratiques

Quelles bonnes pratiques et conseils pratiques recommanderiez-vous pour gérer efficacement la propriété, l’utilisation et le partage des données brutes et anonymisées des utilisateurs, ainsi que les résultats des solutions de santé numériques ?

Avant de lancer une solution numérique de santé, il est nécessaire de définir :

• le type de données à traiter : s’il s’agit de données personnelles de santé, il est important de vérifier si l’anonymisation est possible, ou si seuls des pseudonymes sont possibles pour le traitement des données de la solution. Si des données anonymisées sont requises pour une solution numérique, l’entité peut rechercher des données qui ont été obscurcies par des tiers, plutôt que de traiter les données pour obtenir des données anonymisées ;
• l’entité hébergeant les données, car l’hébergeur des données de santé nécessite une autorisation ministérielle de conservation des données, conformément à l’article L1111-8 du FPHC. Les entreprises sont également encouragées à sélectionner des hébergeurs de données existants. Tous les accords avec des sous-traitants concernant ces données doivent être clairement rédigés, avec une documentation complète des activités du sous-traitant et des assurances en matière de cybersécurité et de conformité à la réglementation sur les données personnelles si nécessaire ; Et
• les informations communiquées aux personnes concernées concernant le traitement et la réutilisation des données de santé, le cas échéant. Les entreprises doivent être aussi transparentes que possible et prendre des mesures pour obtenir leur consentement explicite.