Le RGPD encadre le traitement des données personnelles à l'échelle de l'Union européenne. Entré en vigueur en 2018, le règlement général sur la protection des données pose un cadre réglementaire au traitement de toute information se rapportant à une personne physique. Ce dispositif concerne notamment la collecte des données de santé. Ces informations sensibles au regard de la vie privée et des droits individuels relèvent alors d'une procédure bien spécifique.
Dans son article 4-15, le règlement général sur la protection des données stipule qu'une donnée de santé englobe toute information relative à la santé mentale ou psychique d'une personne identifiée. Ces informations à caractère personnel peuvent aussi bien être passées que présentes ou futures. Les données de santé comprennent donc :
toute information à usage du corps médical obtenue à la suite d'un test ou d'un examen de santé ;
toute donnée relative à une maladie (antécédents médicaux, infirmité, etc.) ;
une information susceptible d'être croisée avec une donnée médicale, comme la comparaison du nombre de pas avec une mesure de poids.
Les données dites sensibles font l'objet de modalités toutes particulières. Ainsi, l'article 9 du RGPD qualifie de sensibles des informations relatives telles que l'affiliation syndicale d'une personne privée, ou encore son orientation politique.
Les données de santé comptent également parmi ces données au statut spécifique. Leur traitement s'oppose donc à une interdiction de principe. En pratique, néanmoins, de nombreuses exceptions interviennent en vue de faciliter certaines prestations médicales.
Si le RGPD interdit théoriquement l'utilisation des données de santé, deux cas d'exceptions viennent assouplir la règle.
Le traitement des données de santé est soumis à l'accord préalable de la personne concernée. Le responsable du traitement doit alors s'assurer du cumul de quatre conditions.
Le consentement se doit d'être libre, hors de toute contrainte ou influence.
Le consentement est spécifique à un traitement unique à la finalité déterminée.
La personne physique doit avoir reçu toute information de nature à délivrer un consentement éclairé.
Le recueil du consentement est univoque et se matérialise par un acte positif clair. Cette modalité exclut par exemple les cas d'inaction ou de cases de formulaire pré-cochées.
La règle de l'obligation de consentement prévoit des cas exceptionnels, à condition que le traitement des données soit conforme à des objectifs précis.
Prévention de la santé publique, afin notamment d'endiguer la propagation d'une épidémie.
Préservation des intérêts vitaux d'un individu en incapacité d'accorder son consentement.
Renseignements à destination de la médecine du travail ou de la mise en œuvre du pourcentage légal d'emploi de personnes en situation de handicap.
Gestion de la protection sociale, ainsi que des services et systèmes de santé.
Appréciation du corps médical.
La réglementation impose des obligations à tout professionnel susceptible de traiter une donnée de santé, qu'il exerce ou non une fonction médicale. À ce titre, chaque entreprise se voit confier plusieurs tâches.
Toute entreprise maniant des données de santé à grande échelle a l'obligation de désigner un DPO. Garant de la mise en conformité de l'organisme aux directives du RGPD, ce délégué à la protection des données peut être nominé en interne comme en externe.
Par ailleurs, c'est au DPO qu'il incombe de répondre aux sollicitations des patients concernés. En effet, le RGPD garantit plusieurs droits comme l'accès aux données ou leur portabilité.
Les informations ayant trait à la santé d'un individu posent des enjeux majeurs en matière de libertés fondamentales. Pour éviter ces écueils, le RGPD exige que chaque entreprise mène une étude d'impact des risques liés au traitement des données. Cette analyse indique :
les mesures déployées pour protéger la base de données RGPD, tels des outils de chiffrage ou d'anonymisation ;
le détail et l'objectif des opérations de traitement ;
le rapport bénéfice-risque, soit l'intérêt des personnes visées.
Enfin, le RGPD impose la tenue d'un registre dédié à la protection des données de santé. Ce document recense les activités de traitement des données personnelles opérées par l'organisme. Il énonce également les délais de conservation des données, ainsi que la finalité du traitement des informations.
