Le Règlement Général sur la Protection des Données (RGPD), entré en application en mai 2018, procède à une définition large des données de santé. Ainsi, son article 4.15 définit les données concernant la santé comme : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. ».
Des données sensibles, de la collecte à la destruction
Au regard de la vie privée, les données de santé sont des données à caractère personnel particulières car considérées comme sensibles. Elles sont collectées tout au long de la prise en charge du patient, et font l’objet de traitements informatisés tels que la création/modification d’un dossier patient informatisé ou la consultation d’un dossier de spécialité.
Seules doivent être traitées, les données de santé adéquates et pertinentes au regard des objectifs poursuivis par le traitement (principe de minimisation des données), à savoir les seules données strictement nécessaires à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins. Ces données ne doivent être accessibles qu’aux seuls personnels habilités dans le cadre de cette prise en charge.
En raison de leur sensibilité, le traitement des données de santé, de la collecte à la destruction, est encadré par différentes réglementations, renforcé par le RGPD. Le point commun à ces réglementations est de garantir une utilisation des données de santé collectées respectueuse de la vie privée des patients.
Rappel des règlementations en vigueur et leurs mesures protectrices
Code de la santé publique, code de l’action sociale et des familles
Secret professionnel (médical) :
Les données de santé traitées par un professionnel de santé ou par tout professionnel intervenant dans le système de santé sont protégées par le secret professionnel.
Partage d’informations en milieu médical :
Un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge à condition :
- Qu’ils participent tous à la prise en charge du patient,
- Que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins ou de son suivi médico-social et social.
Accès aux données médicales :
Le patient a le droit de demander l’accès à son dossier médical.
Code civil
« Chacun a droit au respect de sa vie privée ».
Code pénal
- Atteinte au Secret professionnel : la violation du secret professionnel est passible d’un an d’emprisonnement et de 15 000 euros d’amende.
RGPD, Loi informatique et libertés modifiée
- Encadrement des modalités de recueil, de durée de conservation et d’utilisation des données.
- Encadrement de l’information aux patients lors de la collecte de leurs données personnelles, de l’exercice des droits (accès, opposition, rectification, …), du recueil du consentement si besoin.
- Obligation pour l’hôpital de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de protection adapté à la sensibilité des données personnelles de santé collectées.
- Sanctions possibles au titre de la violation du principe de confidentialité des données si des données de santé sont accédées par des agents ne participant pas à la prise en charge du patient.
Lucie JOUASSIN
Déléguée à la Protection des Données