Pourquoi le RGPD est essentiel dans le secteur de la sante
Le secteur de la sante manipule quotidiennement des donnees parmi les plus sensibles qui existent : pathologies, traitements, resultats d analyses, antecedents medicaux. Le RGPD classe ces informations dans la categorie des « donnees sensibles » (article 9), dont le traitement est en principe interdit, sauf exceptions strictement encadrees. Pour les professionnels de sante, les etablissements hospitaliers et les structures medico-sociales, la conformite au RGPD n est pas une option mais une obligation renforcee. Les sanctions en cas de manquement peuvent atteindre 20 millions d euros ou 4 % du chiffre d affaires mondial.
La CNIL accorde une attention particuliere au secteur de la sante. Depuis 2020, les controles se sont multiplies, visant aussi bien les hopitaux que les cabinets de medecine de ville, les laboratoires d analyses ou les editeurs de logiciels medicaux. Comprendre et appliquer le RGPD dans le domaine de la sante est devenu un enjeu majeur pour tous les acteurs de la chaine de soins.
Les donnees de sante au sens du RGPD
Le RGPD definit les donnees de sante comme toute information relative a la sante physique ou mentale d une personne, y compris les prestations de soins, qui revelent des informations sur son etat de sante. Cette definition est tres large et couvre les comptes rendus de consultation, les resultats d examens biologiques ou d imagerie, les prescriptions medicales, les informations sur un handicap, les donnees de remboursement de soins, mais aussi les donnees biometriques lorsqu elles sont utilisees a des fins medicales.
Le traitement de ces donnees est interdit par principe (article 9 du RGPD), sauf dans certains cas limitatifs : consentement explicite de la personne, necessite pour les soins de sante, interet public dans le domaine de la sante publique, ou finalite de recherche scientifique. Chaque acteur du secteur de la sante doit identifier la base legale applicable a chacun de ses traitements.
Les obligations specifiques des professionnels de sante
Le secret medical et le RGPD
Le secret medical, prevu par l article L.1110-4 du Code de la sante publique, s articule avec le RGPD sans s y substituer. Le professionnel de sante doit respecter les deux cadres simultanement. Le secret medical protege les informations recueillies lors de la prise en charge, tandis que le RGPD encadre l ensemble des traitements de donnees personnelles. En pratique, le professionnel de sante doit s assurer que seules les personnes autorisees accedent aux donnees, que les echanges entre professionnels respectent le cadre de l equipe de soins, et que les systemes d information sont securises.
Le registre des traitements
Tout etablissement de sante et tout professionnel exerçant en liberal doivent tenir un registre des activites de traitement. Ce registre doit recenser l ensemble des traitements de donnees personnelles : gestion des dossiers patients, prise de rendez-vous, facturation, telemedecine, recherche clinique, gestion du personnel. Pour chaque traitement, le registre precise la finalite, les categories de donnees, les destinataires, les durees de conservation et les mesures de securite.
L information des patients
Les patients doivent etre informes de maniere claire et complete sur le traitement de leurs donnees. Cette information porte sur l identite du responsable de traitement, les finalites, la base legale, les destinataires, la duree de conservation et les droits dont disposent les patients. En pratique, cette information peut prendre la forme d un affichage en salle d attente, d un document remis lors de la premiere consultation ou d une mention sur le site internet du praticien.
Les droits des patients sur leurs donnees
Les patients disposent de droits specifiques sur leurs donnees de sante : droit d acces a leur dossier medical (dans un delai de 8 jours ou 2 mois pour les informations anciennes), droit de rectification, droit a l effacement (avec des limites liees aux obligations legales de conservation), droit a la portabilite et droit d opposition. Le professionnel de sante doit mettre en place des procedures pour repondre a ces demandes dans les delais prevus par le RGPD.
L hebergement des donnees de sante (HDS)
Toute donnee de sante hebergee par un tiers doit l etre aupres d un hebergeur certifie HDS (Hebergeur de Donnees de Sante), conformement a l article L.1111-8 du Code de la sante publique. Cette certification garantit un niveau de securite adapte a la sensibilite des donnees. L hebergeur doit respecter des exigences strictes en matiere de disponibilite, d integrite, de confidentialite et de tracabilite. Le choix d un hebergeur non certifie expose le responsable de traitement a des sanctions penales et administratives.
La securite des systemes d information de sante
La securite des donnees de sante repose sur plusieurs piliers : le chiffrement des donnees au repos et en transit, le controle d acces base sur les roles (seuls les professionnels habilites accedent aux donnees pertinentes pour leur mission), la journalisation des acces, la sauvegarde reguliere des donnees et un plan de continuite d activite. La Politique Generale de Securite des Systemes d Information de Sante (PGSSI-S) fixe le cadre de reference pour les acteurs du secteur.
Le DPO dans les etablissements de sante
La designation d un DPO (Delegue a la Protection des Donnees) est obligatoire pour les hopitaux, cliniques et plus generalement tout etablissement traitant des donnees de sante a grande echelle. Le DPO veille a la conformite de l etablissement, conseille la direction, forme le personnel, repond aux demandes des patients et sert d interlocuteur aupres de la CNIL. Il peut etre interne ou externalise, a condition de disposer des competences necessaires et de l independance requise.
Sanctions et controles dans le secteur de la sante
La CNIL a prononce plusieurs sanctions significatives dans le secteur de la sante. En 2020, deux medecins liberaux ont ete sanctionnes pour defaut de securite de donnees de patients accessibles sur internet. En 2022, la CNIL a sanctionne Dedalus Biologie a hauteur de 1,5 million d euros pour une fuite massive de donnees medicales. Ces exemples montrent que la CNIL n hesite pas a agir contre les acteurs du secteur de la sante, qu ils soient de petite ou de grande taille.
Article redige par Laurent de Cavel, DPO certifie. Pour toute question sur la conformite RGPD de votre structure de sante, contactez notre equipe sur dpo-france.com.
