Experts en droit de l'internet et de l'informatique depuis plus de 20 ans, à votre écoute : +33(0)1 42 60 04 31

Données personnelles de santé

 

Le terme « données de santé à caractère personnel » désigne les données qui révèlent l’état de santé d’une personne.

Les données personnelles de santé sont des données sensibles régies par le Règlement général sur la protection des données du 27 avril 2016 (RGPD) et la loi Informatique et Libertés du 6 janvier 1978 (Loi Informatique et Libertés), ainsi que par les dispositions du code de la santé publique (CSP).

1) Définition des données personnelles de santé

L’article 4 du RGPD définit les données concernant la santé comme : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. »

Une donnée de santé est interprétée au sens large, incluant les informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne (CJCE, 6 nov. 2003, aff. C-101/01).

Cette définition couvre :

  • les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de soins de santé ;
  • les informations obtenues lors d’un test ou d’un examen ;
  • les informations concernant une maladie.

Les données personnelles collectées lors d’une inscription dans un hôpital, lors d’un bilan sanguin dans un laboratoire, lors d’un traitement médical sont des données de santé, de même qu’une information sur un handicap, un taux d’invalidité.

A l’opposé, l’aptitude à une activité physique n’est pas en soi une donnée personnelle de santé. En revanche, l’inaptitude à l’exercice d’une activité sportive est une donnée de santé.

Cette définition large englobe certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

Une donnée personnelle qui n’est pas une donnée de santé par nature peut ainsi le devenir du fait de son croisement avec d’autres données, en ce qu’elle permet de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne, ou encore du fait de sa finalité c’est-à-dire de l’utilisation qui en est faite au plan médical.

Ainsi, le nombre de pas collecté par une application sans croisement de ces données avec d’autres n’est pas considéré comme une donnée de santé car aucune conséquence ne peut en être tirée au regard de l’état de santé de la personne concernée. En revanche, un appareil collectant également le poids et révélant une obésité pourrait être considéré comme traitant une donnée personnelle de santé.

2) Encadrement du traitement des données personnelles de santé

Le traitement des données personnelles de santé est soumis au droit commun du traitement des données à caractère personnel du RGPD.

Selon l’article 9 du RGPD, les données de santé sont considérées comme des informations sensibles et de ce fait leur traitement est interdit.

Toutefois, leur traitement est autorisé si la personne concernée y consent de manière expresse.

Il est également autorisé sans le consentement du patient s’il est rendu nécessaire aux fins médicales notamment de médecine préventive, de diagnostics médicaux, d’administration de soins ou de traitements dans l’intérêt public, pour éviter notamment la propagation de maladies.

Seules doivent être traitées les données de santé adéquates et pertinentes au regard des objectifs poursuivis par le traitement, à savoir à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

Le Code de la santé publique soumet le traitement des données personnelles de santé à des obligations renforcées de sécurité, de confidentialité et d’information de la personne concernée.

Toutes les données personnelles de santé traitées par un professionnel de santé ou tout professionnel intervenant dans le système de santé sont protégées par le secret professionnel.

Seules certaines personnes sont autorisées, au regard de leurs missions, à accéder aux données de santé.

Le partage d’informations en milieu médical est lui-même encadré par l’article L 1110-4 du Code de la santé publique.

Un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge à condition :

  • qu’ils participent tous à la prise en charge du patient
  • et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins ou de son suivi médico-social et social.

L’activité d’hébergement de données de santé consiste dans l’organisation du dépôt et de la conservation des données personnelles de santé, afin d’assurer leur pérennité et leur confidentialité.

Selon l’article L 1111-8 du Code de la santé publique, les données de santé doivent être hébergées auprès d’hébergeurs agréés ou certifiés par un organisme accrédité par le Comité français d’accréditation (COFRAC) (décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel).

Ce décret définit les conditions de certification des hébergeurs, organise la procédure et fixe le contenu du dossier qui doit être fourni à l’appui de la demande.

L’hébergement de données personnelles de santé à caractère personnel sans agrément est puni de trois ans d’emprisonnement et de 45 000 € d’amende (article L 1115-1 du CSP).

Enfin, il est interdit de procéder à une cession ou à une exploitation commerciale des données de santé (article L 4113-7 du CSP).

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt