MON 3.2 - RGPD spécifique aux données médicales

Tag :

Auteur :

Emma Gonin

2024-2025

Un MON traitant de la RGPD, axée sur les données médicales.

Emma Gonin/MON de Emma Gonin/MON 3.2 - RGPD spécifique aux données médicales

Prérequis

Aucun prérequis !

Liens

La CNIL L'utilisation des données de santé

Toutes mes expériences professionnelles ont été dans le domaine du médical, avec du traitement de données d'imagerie médicales. Je souhaite retranscrire dans ce MON la réglementation liée à ces données médicales et comment l'appliquer en tant qu'ingénieur, dans sa pipeline de données.

Guide de l'ingénieur traitant de données médicales

Délimiter le périmètre

Quelle est la finalité du traitement de ces données de santé ?

D'où viennent les données de santé ?

Si les données sont collectées par nous-mêmes

Comment collecter des données de santé ?
- Recueillir le consentement des personnes concernées par un traitement de données, à la fois dans le cadre de la collecte mais aussi en cas de modification susbtantielle ou d'évènement particulier;
Comment conserver des données de santé ?
- La durée de conservation qui dépend de si c'est pour faire de la recherche ou non
- 10 ans
- Où les stocker ?
  - Entrepôts de données de santé
  - Recherche
  - Hébergeur de données de santé : (Liste des hébergeurs certifiés "HDS")

Si les données d'un tiers sont utilisées

Sources de données de santé :

data.gouv.fr recense dans la partie dédiée à la santé les sources publiques de données; Par exemple :
- La caisse nationale de l'assurance maladie gère plusieurs bdd;
- L'agence régionale de santé...

Réglementation relative aux données de santé : cadre juridique

Les données de santé sont des données sensibles dont le traitement est sujet à différentes réglementations.

Loi Informatique et Libertés (art. 8 et chapitre IX)
Dispositions sur le secret (art. L. 1110-4 du Code de la Santé Publique)
Dispositions relatives aux référentiels de sécurité et d'interopérabilité des données de santé (art. L. 1110-4-1 du CSP)
Dispositions sur l'hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP)
Dispositions sur la mise à disposition des données de santé (art. L. 1460-1 et s. du CSP)
Interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L 4113-7 du CSP)

La vidéo de l'ANS sur les réglementations pour les start-up en e-santé cite également les textes spécifiques au secteurs de la santé :

Règlements européens portant sur les dispositifs médicaux;
Espace européen des données de santé;
Politique de la Gestion de la Sécurité des Systèmes d'Information de Santé (PGSSI-S);

Boîte à outils

J'ai suivi de courtes formations sur le site d'ANS-Formation proposé par l'Agence du Numérique en Santé. Ces formations sont accessibles au grand public, allant des étudiants aux médecins en passant par les curieux. La question qui régit ce MON étant comment appliquer le RGPD en santé, j'ai regardé la leçon dédiée à ce sujet. En voici un résumé :

Premier outil à mettre en place et obligatoire : le registre des activités de traitement. Cette documentation est une vue d'ensemble de la gestion des données personnelles. Il contient :
- Les parties prenantes (des sous-traitants aux co-responsables);
- La finalité du traitement;
- Les catégories de données traitées;
- Les catégories de destinataires de données traitées;
- La durée de conservation des données;
- Les transferts de données hors UE;
- Les modalités d'information et d'exercices des droits;
- La manière dont les données sont sécurisées.

Chaque représentant de chaque sous-traitant tient un registre de toutes les catégories d'activités de traitement du sous-traitant.

Ces documents sont consultables par la CNIL mais aussi par un juge dans un cadre de procédure pénale.

Second outil fortement conseillé dans le cadre de traitement de données de santé : une Analyse d'Impact relative à la Protection des Données (AIPD). Cette analyse est obligatoire lorsque le traitement des données est susceptible d'engendrer un risque élevé pour les droits des libertés des personnes concernées, par exemple dans le cadre de traitement des données à grande échelle. Elle contient :
- Une description détaillée, à la fois technique et organisationnelle, du traitement;
- La nécessité et proportionnalité concernant les principes et droits fondamentaux (finalité, durée de conservation, droits des personnes...);
- Une étude des risques sur la sécurité des données qui détermine les mesures techniques à prendre.
La nomination d'un Délégué à la Protection des Données obligatoire dans trois cas :
- Autorités ou organismes publics (hopitaux, autorités sanitaires...);
- Organismes dont l'activité de base est le suivi régulier des personnes à grande échelle (objets connectés surveillant les données de santé);
- Organismes dont l'activité de base est le traitement à grande échelle des données sensibles (laboratoire de données médicale)

Cependant, en e-santé, les autorités encouragent la nomination d'un DPO. Le DPO peut être interne ou externe à l'organisation mais ne peut pas prendre des décisions sur les moyens de traitements, sinon il y a des conflits d'intérêts. Par exemple, un médecin-chef, un PDG d'entreprise ou un responsable IT ne peut pas être DPO. On peut avoir recours à des DPO venant de cabinet de conseil ou de cabinet d'avocat.

Risques

Fuites de données à cause de règles de sécurité insuffisantes.
Par exemple, le mauvais paramètrage d'un service de cloud Amazon a causé la fuite de 47,5 Go de données provenant d'un service de surveillance de patients à domicile. En France il n'est pas possible d'héberger des données de santé sur Amazon, comme vu plus haut, nous avons l'obligation d'utiliser des hébergeurs de données de santé. Ce n'est pas le cas aux Etats-Unis, où cette erreur s'est passée. Lien de l'article
Piratage, destruction et rançonnage de données.
En 2017, le virus Wannacry a touché des dizaines d'hôpitaux, notamment au Royaume-Uni. « L'attaque a sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements ».

Ressources

G_nius est le Guichet national de l'innovation et des usages en e-santé, action de l'Agence du numérique en santé, soutient et accompagne les entrepreneurs en e-santé.
Le site https://industriels.esante.gouv.fr/ est la partie du site de l'ANS dédiée aux industriels.
La Doctrine du numérique en Santé est le document référence pour les acteurs de la e-santé.
Fiche introduction aux bonnes pratiques de traitement de données de santé proposée par l'ANS.
https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante
https://www.cnil.fr/fr/traitements-de-donnees-de-sante-comment-faire-la-distinction-entre-un-entrepot-et-une-recherche-et
https://www.cnil.fr/fr/traitement-de-donnees-de-sante-comment-informer-les-personnes-concernees
Feuille de route du gouvernement concernant le numérique et la santé