Le règlement européen sur la protection des données (RGPD) applicable depuis 2018 dans l’Union Européenne protège les traitements des données personnelles de chaque individu.
Les données dites sensibles font l’objet d’une protection renforcée et leur traitement est interdit de facto si les conditions de leur utilisation ne sont pas remplies. L’article 9 du RGPD autorise certains traitements de données sensibles notamment lorsque la personne concernée a donné son consentement ou que le traitement est nécessaire à des fins médicales ou de recherche.
Parmi elles, les données de santé, nécessitent une protection particulière. Il s’agit des données relatives à la santé physique ou mentale d’un individu, y compris la prestation de services de soins de santé, qui peuvent révéler indirectement des informations sur l’état de santé de cette personne.
Parce que la confidentialité des informations relatives aux patients est essentielle, les traitements et les échanges numériques des données de santé doivent être fortement sécurisés et encadrées. Cela est d’autant plus important car ces données sont souvent partagées entre plusieurs acteurs. Il est donc primordial d’assurer une protection renforcée de ces données au moyen d’une interopérabilité optimale des systèmes d’information et un encadrement juridique des relations entre les différents acteurs.
L’interopérabilité consiste à ce que chaque système d’information fonctionne en lien avec les autres « sans restriction d’accès ou de mise en œuvre » afin de faciliter les transmissions des données.
Cette interopérabilité dans le domaine de la santé permet de protéger les échanges et l’accès aux données médicales de chaque patient, pour assurer une meilleure coordination des soins entre chaque professionnel de santé.
Il y a deux types d’interopérabilité :
Ainsi, pour que les systèmes d’information puissent communiquer entre eux, il est nécessaire qu’ils aient un modèle de référence d’échange d’informations commun.
En pratique, l’interopérabilité permet aux professionnels de santé d’utiliser plusieurs logiciels pour un même dossier patient. Cela simplifie les transferts dématérialisés de données médicales entre professionnels et établissements et donc la prise en charge des patients.
L’interopérabilité technique facilite également l’arrivée de nouveaux éditeurs de logiciels puisque cela permet de faire le lien avec les éditeurs traditionnels digitalisant des parties précises du parcours de soin.
L’agence du numérique en santé (ANS) est devenue un acteur clé dans le développement et la mise en œuvre d’outils d’interopérabilité dans la santé. Elle a développé en 2009 le Cadre d’Interopérabilité des Systèmes d’Information de Santé aussi dénommé CI-SIS. Ce cadre est un document de référence comprenant des standards techniques pour faciliter l’interopérabilité entre les différents systèmes.
Dans cette continuité, le ministère des solidarités et de la santé a démarré le projet « ma santé 2022 » : le recours au numérique y a été présenté comme un des piliers de l’amélioration du système de santé français. Le 16 juillet 2019 le Parlement Français a adopté le projet de loi reprenant les stratégies du projet santé 2022. L’article 44 impose une conformité aux référentiels d’interopérabilité et de sécurité des outils notamment par les professionnels de santé, établissements médicaux et par les organismes d’assurance maladie.
Les professionnels de santé sont les premiers concernés par ces projets puisqu’ils collectent et traitent les données de santé de leurs patients. Ils sont les principaux utilisateurs des solutions numériques conçues pour le suivi des patients et l’amélioration du parcours de soin.
Qualifiés de responsables de traitement selon l’article 4 du RGPD, ils doivent s’assurer que les traitements qu’ils réalisent prennent en compte la protection des données de santé de chaque individu, et mettre en œuvre des mesures en ce sens. En application du principe d’accountability, ils doivent pouvoir démontrer le respect des principes posés par le RGPD et s’assurer que les outils qu’ils utilisent respectent l’intégrité et la confidentialité des données de leurs patients
Un article sur le rôle des professionnels de santé dans la mise en application du RGPD a été rédigé par Florian Coulon : RGPD et Dossiers patients, comment se mettre en conformité ?.
Dans le cadre de leur activité, les professionnels de santé utilisent de plus en plus des logiciels métiers pour suivre leurs patients. En tant que responsables de traitement, ils sont tenus de vérifier que le contrat les liant au fournisseur de la solution qu’ils utilisent comporte des garanties suffisantes en termes d’intégrité et de protection des données. Le contrat doit préciser les obligations de chacun en termes de protection et de confidentialité des données et doit prévoir le partage de responsabilité en cas d’incident.
Les éditeurs élaborent des logiciels ayant pour objectif de faciliter le traitement des données de santé pour les professionnels de santé. Les exemples les plus pertinents est la télétransmission des feuilles de soins électroniques, la prescription médicale et le suivi des soins prodigués et enfin l’accès à la base de données médicales des patients.
Un traitement effectué pour le compte d’un responsable de traitement est défini comme de la sous-traitance par les articles 4 et 28 du RGPD. Les fournisseurs de solutions e-santé peuvent donc être qualifiés de sous-traitant dans le cadre du RGPD puisqu’ils agissent au nom et pour le compte du professionnel de santé. L’article 28 du RGPD leur pose des obligations qui doivent être stipulées dans le contrat de prestation. Le fournisseur de ces solutions ne peut traiter des données de santé que sur demande du responsable de traitement.
Une clause de confidentialité doit être stipulée dans le contrat pour s’assurer que les informations ne soient pas divulguées à d’autres organismes non autorisés.
Le sous-traitant comme le responsable de traitement doit tout mettre en œuvre pour sécuriser l’accès aux données de santé et prévenir tout risque de violation. Il assiste aussi le responsable de traitement en cas de réalisation d’étude d’impact sur la vie privée. Il participe également à la procédure de demande d’exercice des droits sur les données personnelles que peut exercer chaque patient. Le contrat doit prévoir le sort des données à son terme qui peut être la suppression ou le renvoi des données au responsable de traitement.
La CNIL dans son guide du sous-traitant élaboré en 2017 préconise que le contrat comporte plusieurs éléments tels que les données traitées, l’objet de la prestation effectuée par le sous-traitant, la finalité du traitement, les personnes concernées, et les obligations et droits du responsable de traitement et du sous-traitant.
L’autorité de contrôle du Danemark, équivalent de la CNIL, a publié en février 2020 des modèles de clauses de protection des données pour les contrats de sous-traitance. Ces clauses types viennent compléter celles que la CNIL avait rédigé en 2017.
L’article 82 du RGPD règlemente le droit à réparation et la responsabilité des parties en cas de dommage causé par une atteinte aux données personnelles. Ainsi, le responsable de traitement qui a participé au traitement préjudiciable est responsable du dommage causé par celui-ci. Le sous-traitant est responsable seulement s’il a agi en dehors ou contrairement aux instructions du responsable ou contrairement aux obligations incombées par le RGPD.
La responsabilité est in solidum entre le professionnel de santé et le fournisseur de solution s’ils ont tous deux participés au traitement dommageable. Dans ce cas les deux sont débiteurs de la réparation.
Les acteurs de la e-santé qui hébergent les données de santé pour le compte des professionnels de santé doivent faire appel à un hébergeur certifié.
L’hébergement de données de santé est régi par l’article L1111-8 du code de la santé publique. Un hébergeur reçoit des données de santé provenant d’activités médicales qu’il héberge pour le compte de professionnels de santé ou pour le compte de patients.
Le code de la santé publique impose une certification pour les hébergeurs sur support numérique. Cette certification est délivrée par des organismes de certification accrédités. Pour cela, la plateforme doit être conforme aux certifications ISO 27001 « système de gestion de la sécurité des systèmes d’information » et ISO 20000 « système de gestion de la qualité des services ». Ces certifications renforcent la sécurité du système e-santé et assurent un respect de la protection des données personnelles des individus. Une telle obligation contraint les hébergeurs à assurer leur conformité puisque des audits de surveillance sont effectués chaque année.
Les hébergeurs de données de santé peuvent être qualifiés de sous-traitant lorsqu’ils réalisent leur activité pour le compte d’une autre personne responsable de traitement. Les obligations susmentionnées leur sont donc applicables.
En France, Le Heath Data Hub est un exemple d’hébergement de données de santé. Il s’agit d’une plateforme de données de santé officiellement créée le 30 novembre 2019. Cette plateforme a notamment été détaillée par DPO Consulting dans un article de Deborah Brimberg intitulé Création d’un Health Data Hub : quels enjeux en matière de protection des données ?
L’objectif du Health Data Hub est de rassembler toutes les données de santé au sein d’une même plateforme, permettant ainsi de faciliter la recherche médicale, d’informer les patients, de faciliter leurs droits et de contribuer à l’élaboration de normes pour les échanges et les exploitations de données médicales.
Un arrêté du 21 avril 2020 a autorisé le Health Data Hub et la Caisse Nationale d’Assurance Maladie à mettre en œuvre le projet initial en collectant des données personnelles dans le cadre de la lutte contre la Covid-19.
La CNIL s’est prononcée le 11 juin 2020 sur la qualification d’« entrepôt de données » de la plateforme. Cela signifie que la centralisation des données doit être autorisée par la CNIL en application de la loi Informatique et libertés.
L’Etat a choisi Microsoft pour l’hébergement d’une grande partie de ses données. Cette décision a été faite sans appel d’offre spécifique, mais les autorités ont argué que le choix était en conformité avec les prérequis du projet. A ce sujet la CNIL a rappelé les risques de l’accès aux données par les Etats-Unis et la nécessité d’informer les personnes concernées de tels transferts. Elle préconise donc l’hébergement par une entité installée dans l’Union Européenne.
Le choix de Microsoft pose encore plus problème avec la récente décision de Cour de Justice de l’Union Européenne en date du 16 juillet 2020 qui décide que le niveau de protection offert par le Privacy Shield n’est pas conforme au RGPD. Les entreprises européennes ne peuvent donc plus fonder leurs transferts de données vers les Etats – Unis sur le Privacy Shield. Le Health Data Hub est donc dans l’interdiction de transmettre des données vers les Etats-Unis à moins de se fonder sur des règles d’entreprises contraignantes, sur des garanties appropriées ou sur l’article 49 du RGPD. Le comité européen de la protection des données a par ailleurs précisé le 24 juillet qu’aucun délai de grâce ne serait accordé aux entreprises européennes qui sont tenues de trouver des alternatives pour les transferts de données.
Des précisions sur la décision de la Cour Européenne dans un article d’Oscar Lourdin : Un coup de pied historique dans la fourmilière du transfert de données aux US.
Les données de santé des patients sont collectées, partagées et exploitées par les différents acteurs impliqués dans le parcours de soin, les professionnels de santé, les prestataires et fournisseurs de solutions e-santé et d’hébergement de données. La notion d’interopérabilité ne se limite donc pas seulement aux aspects techniques, elle peut s’étendre également aux aspects juridiques par la consolidation des contrats liants les différents acteurs. Ces interopérabilités techniques et juridiques sont donc essentielles au bon fonctionnement du parcours de santé digital et à l’instauration d’une relation de confiance avec les patients qui confient aux personnels soignants les données relatives à leur état de santé.
En démontre la volonté du gouvernement, exprimée en juillet dernier, d’investir massivement dans le numérique en santé et plus particulièrement dans le développement de l’interopérabilité dans le cadre du Ségur de la santé. Les actions menées en ce sens devront prendre en compte la protection des données de santé des patients à chaque étape du parcours et par chaque acteur concerné sans oublier l’importance des droits des personnes concernées : les patients.
Dans le même thème : Pharmacovigilance, cosmétovigilance… comment se mettre en conformité au RGPD ?
– Agathe Albenque
Règlement européen sur la protection des données
Cadre d’Interopérabilité des Systèmes d’Information de Santé