Dernière mise en conformité du traitement des données de santé avec le RGPD

La mise en conformité du droit français avec le règlement général sur la protection des données (RGPD) touche à sa fin. La loi du 20 juin 2018 s’y était déjà attelée mais elle prévoyait encore une ordonnance, dans un délai de six mois, pour réécrire et mettre en cohérence la loi Informatique et libertés de 1978 et d’autres lois traitant de protection des données avec le droit de l’Union européenne. C’est chose faite avec la parution au Journal officiel de cette ordonnance, mi-décembre.

Une section entière est consacrée aux “traitements de données à caractère personnel dans le domaine de la santé”. Elle rappelle que la Commission nationale de l’informatique et des libertés (Cnil) met à disposition des référentiels auxquels doivent se conformer les responsables des traitements, ces derniers devant lui adresser une déclaration de conformité ou lui demander une autorisation spécifique. La Cnil se prononce alors dans un délai de deux mois à compter de la réception de la demande. Dans ce cadre, les professionnels de santé peuvent transmettre au responsable d’un traitement de données autorisé les données à caractère personnel qu’ils détiennent, en garantissant leur confidentialité. L’ordonnance précise à ce titre que “lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible” et que les personnes mettant en oeuvre le traitement de données ou accédant à ces données sont astreintes au secret professionnel sous peine d’un an d’emprisonnement et de 15 000 euros d’amende.

Quelques traitements ne sont pas soumis à ces règles, comme ceux mis en œuvre par les services des prestations ou de contrôle de l’Assurance maladie et des organismes complémentaires, par les agences régionales de santé ou l’État dans le cadre de leurs missions ainsi que les traitements nécessaires à prévenir, diagnostiquer et soigner, mis en oeuvre par un professionnel de santé et destinés à leur usage exclusif.

Extension du droit d’opposition

Qu’il s’agisse de recherche ou de traitements justifiés par l’intérêt public, l’ordonnance stipule que “toute personne a le droit de s’opposer à ce que des données à caractère personnel la concernant fassent l’objet de la levée du secret professionnel”. Une disposition sur laquelle la Cnil avait émis une réserve dans une délibération rendue lors de la consultation du projet d’ordonnance, craignant qu’elle “soulève des difficultés pour les traitements résultant d’une obligation légale comme, par exemple, en matière de vigilances sanitaires, de pharmacovigilance, de matériovigilance, etc.”

Enfin, tous secteurs confondus, l’ordonnance rappelle l’obligation, pour le responsable de traitement, de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Les sous-traitants sont soumis aux mêmes impératifs, une “exigence (qui) ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures”. Le contrat liant le sous-traitant au responsable du traitement doit d’ailleurs mentionner ces obligations en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Cette ordonnance entrera en vigueur au plus tard le 1er juin 2019. Elle doit être ratifiée devant le Parlement, ce qui laisse encore la possibilité aux députés et sénateurs de la modifier.