Un règlement européen définit la notion de "données de santé" et renforce leur protection

PARIS, 13 mai 2016 (TICsanté) - Le règlement européen relatif à la protection des données personnelles publié le 4 mai instaure pour la première fois une définition commune des "données de santé" dans l'Union et prévoit de nouvelles obligations concernant leur traitement, a détaillé à TICsanté Délia Rahal-Löfskog, chef du service de la santé à la Commission nationale informatique et libertés (Cnil).

Le nouveau "règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données" comprend 92 articles et remplace la directive 95/46/CE concernant la protection des données dans l'Union européenne.

Il a été adopté après quatre années de négociations entre la Commission et le Parlement européens (voir brève du 6 mai 2016).

Son statut de "règlement", contrairement à celui de "directive", le rend directement applicable à l'ensemble des Etats membres de l'Union européenne (UE) à compter du 25 mai 2018, sans nécessité de transposition du texte dans les législations nationales, note-t-on, alors que la directive de 1995 avait été transposée plus ou moins harmonieusement.

"La loi informatique et liberté de 1978 sera remise sur le métier afin de la mettre en cohérence avec ce texte", a toutefois indiqué à TICsanté Délia Rahal-Löfskog.

Selon le chef du service de la santé à la direction de la conformité de la Cnil, les principaux apports de ce texte sont de "procéder à un allègement des procédures administratives préalables au traitement des données à caractère personnel tout en renforçant les obligations en termes de droits des personnes, de sécurité et de confidentialité des données".

Dans le domaine de la santé, il propose dorénavant une définition des données de santé à caractère personnel à l'échelle européenne.

En l'absence de définition légale, il fallait jusqu'ici se reporter à la jurisprudence française et européenne pour déterminer ce qui relevait du champ des données de santé.

Le nouveau règlement européen prévoit désormais qu'il s'agit de "données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne".

Il précise qu'elles comprennent "toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro".

Il définit aussi les "données génétiques", "relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé", et les données biométriques, "résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique".

NOUVEAUX DROITS

"Cette définition devrait s'appliquer de manière uniforme et identique à tous les pays de l'UE, ce qui est un facteur de sécurité juridique et de simplification", a estimé Délia Rahal-Löfskog.

Le texte "reprend les principes déjà existants en matière de traitement des données personnelles", a-t-elle ajouté.

S'agissant des données sensibles, le règlement reprend dans son article 9 le principe d'interdiction de traitement déjà présent dans la directive de 1995 et l'assortit de plusieurs exceptions (consentement explicite de la personne, traitement pour motifs d'intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail, etc.).

Il renforce la protection des personnes en instaurant le droit à l'oubli (article 17), le "droit à la portabilité des données" (article 20), le droit d'être informé en cas de piratage des données (articles 33 et 34) et le droit d'être informé "de façon compréhensible et aisément accessible" sur l'utilisation de ces données (articles 12, 13 et 14).

Il précise les modalités du "consentement clair et explicite" des personnes pour le traitement des données à caractère personnel (article 7), limite le recours au profilage (article 21) et prévoit une protection spéciale pour les mineurs (article 8).

CRÉATION DU "DPO"

Le règlement européen rend la désignation d'un "délégué à la protection des données" (DPO) obligatoire pour les responsables du traitement des données à caractère personnel et leurs sous-traitants lorsqu'il s'agit d'autorités ou d'organismes publics (article 37).

La mesure, qui aura des impacts sur les ressources humaines des établissements publics du domaine de la santé, constitue "une avancée dans l'acculturation à la protection des données personnelles" pour Délia Rahal-Löfskog.

Elle rappelle que jusqu'ici en France, "les acteurs avaient le choix de désigner ou non un correspondant Informatique et libertés [Cil]. La Cnil a toujours encouragé cette désignation, gage d'une sensibilisation des acteurs à la matière".

"Le DPO est un métier d'avenir et une filière à ne pas négliger pour tous ceux qui exploitent des données et qui souhaitent s'engager dans la voie de la conformité", a-t-elle poursuivi.

Les acteurs du secteur privé seront soumis à cette obligation lorsque leurs activités "exigent un suivi régulier et systématique à grande échelle des personnes concernées", ou qu'elles "consistent en un traitement à grande échelle de catégories particulières de données", précise le texte.

Un "travail est en cours au niveau européen afin de préciser la définition des traitements à grande échelle", a précisé Délia Rahal-Löfskog.

En ce qui concerne le renforcement des obligations relatives à la sécurité et à la confidentialité des informations, le règlement européen prévoit la protection de la vie privée dès la conception du traitement, aussi appelé le "privacy by design" (article 25).

Il instaure également le recours obligatoire à une "analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel" pour une liste de traitements qui doit être publiée par l'autorité de contrôle (article 35).

SIMPLIFICATION DES DÉMARCHES

"Nous conseillons aux responsables de traitement des données personnelles, qu'ils soient du secteur public ou privé, d'anticiper dès aujourd'hui l'impact de l'application du règlement européen sur leurs activités pour être prêt le jour de l'entrée en vigueur", a fait valoir Délia Rahal-Löfskog.

Selon elle, "les entreprises qui intègreront le plus rapidement les dispositions du texte pourront faire de la protection des données de leurs utilisateurs un avantage concurrentiel", alors que le marché des éditeurs de logiciels et des fabricants d'objets connectés se caractérise par une grande diversité de l'offre.

Le chef du service de la santé à la Cnil a souligné "l'allégement des procédures administratives" voulu par le règlement européen au profit d'une "responsabilisation accrue des acteurs".

Pour les traitements ayant vocation à être mis en oeuvre au sein de plusieurs Etats européens, le règlement instaure un système centralisé de saisine des autorités de contrôles telles que la Cnil.

Ce système permettra aux entreprises d'effectuer des démarches auprès d'une seule autorité pour l'ensemble de l'UE, et non plus auprès des autorités de chaque pays où elles exercent une activité.

Le règlement détaille dans ses articles 55 à 67 de nouveaux mécanismes de concertation et de coopération entre les autorités de contrôle européennes et détaille leurs compétences, leurs missions et leurs pouvoirs dans le cadre de ce nouveau système centralisé.

"Nous travaillons aux conséquences de ces dispositions sur nos processus, nos méthodes de travail, et sur l'accompagnement des entreprises à la conformité qui occupe une part croissante de notre activité", a indiqué à ce sujet Délia Rahal-Löfsksog.

Le règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

rm/ab/