RGPD & Données de Santé

Vous êtes professionnels de santé, vous vous demandez quelles sont les conditions à respecter pour la collecte et l'usage de données de santé de vos patients : cet article est fait pour vous !


Qu’est-ce qu’une donnée de santé ?

Le nouveau Règlement Européen sur la Protection des Données (entré en vigueur en mai 2018) prévoit désormais que les données de santé à caractère personnel sont les « données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».

Suis-je concerné dans le cadre de mon exercice ?

En tant que professionnel de santé, vous collectez ou échangez des informations sur vos patients pour assurer leur suivi que ce soit dans le dossier « patient » (papier ou informatique) ou dans le cadre de l’utilisation d’un service en ligne de gestion des rendez-vous.

Tout professionnel de santé est donc concerné par la gestion et la sécurité des données de santé de ses patients : il est responsable de la collecte et du traitement de ses données.

Quelles informations puis-je collecter sur mes patients ?

Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

Quelles sont mes obligations ?

Vous devez prendre toutes les précautions nécessaires pour empêcher l’accès aux données de santé à des tiers, que vous hébergiez vos données en local, à votre cabinet, ou à distance.

Quelles obligations si j’héberge les données à mon cabinet ?

Vous devez vous assurer de limiter l’accès aux données de santé en maintenant à jour vos environnements de travail et en les sécurisant. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie un très bon guide de bonnes pratiques sur le sujet.

Attention également à bien veiller à ce que vos prestataires informatiques n’accèdent pas aux données et de limiter l’accès à vos personnels administratifs aux seules données indispensables au suivi de vos patients et à la qualité des soins prodigués.

Quelles obligations si j’héberge les données à distance ?

Vous hébergez déjà peut-être vos données à distance sans le savoir : en effet si vous utilisez un logiciel « en ligne » pour la gestion de vos patients (ou RDV patient) vous êtes concernés. En qualité de propriétaire des données, vous devez respecter des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Ainsi, il est de votre responsabilité de vous assurer que vos prestataires (par exemple : éditeurs de logiciels métiers) garantissent un niveau de sécurité adapté au risque sur les données de santé. La certification Hébergeur de Données de Santé (certification HDS délivrée par la HAS) est le gage de conformité pour la partie hébergement.

Quid de la sauvegarde de mes données ?

Si vous hébergez tout ou partie de vos données en local, il est naturel de vouloir les sauvegarder afin de vous prémunir de vols ou autres évènements inattendus (incendie, panne…). La sauvegarde à locale répond aux mêmes obligations que celles indiquées dans le paragraphe précédent.

Mes appareils nomades sont-ils de potentiels lieux d’hébergement de données de santé ?

Vous utilisez peut-être votre portable ou tablette pour prendre des photos de vos patients ou de leurs documents administratifs médicaux. Compte-tenu des risques de pertes et vols sur ce type d’appareil, il est déconseillé de stocker des données sensibles dans la mémoire de l’appareil pour une consultation ultérieure. Il est ainsi recommandé de transférer les données vers votre ordinateur de votre cabinet dès que possible, ou d’utiliser les applications mobiles compatibles de vos fournisseurs habituels pour les consulter à distance.

Est-il possible de transmettre les données de santé à tous les professionnels de santé ?

Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci, tels qu’une équipe de soin d’un établissement de santé intervenant dans la prise en charge sanitaire du patient, une secrétaire médicale, des organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc. Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission.

Trois exceptions existent toutefois au partage de données de santé entre confrères et pour lesquelles il conviendra de remettre les données au patient en prenant soin de bien l’éclairer sur les conséquences de cette transmission. Ainsi, il n’est pas possible de partager directement les données de santé d’un patient : au médecin d’une compagnie d’assurances, au médecin expert judiciaire, et au médecin du travail.

Sous quelles conditions puis-je partager mes données de santé avec des confrères ou secrétaires de mon cabinet ?

Si l’accès aux données de santé est justifié au regard de leur mission, il est possible de partager vos données de santé avec vos confrères et/ou secrétaires médicaux de façon régulière dans le cadre de leurs activités. Toutefois, vous devez vous assurer du respect des règles de sécurité pour protéger les données des patients contre des accès non autorisés ou illicites : le partage d’identifiants de connexion/d’accès aux données de santé entre utilisateurs est à proscrire. Chaque professionnel de santé accédant aux données de manière régulière doit disposer de ses propres identifiants d’accès permettant d’assurer une traçabilité des traitements réalisés sur celles-ci.

Comment faire pour partager des données de santé en toute légalité ?

Vous ne publieriez jamais les données de santé de vos patients sur les réseaux sociaux ? Et pourtant partager une photo ou un document médical par SMS ou via votre messagerie mail habituelle relève de la même erreur en termes de sécurité. Les bonnes solutions sont d’utiliser un service de Messagerie Sécurisé de Santé (MSSanté) pour le partage entre confrères et/ou, plus généralement, de déposer les fichiers à partager sur un service hébergé sur un serveur HDS et de fournir un lien sécurisé à vos patients ou vos confrères pour y accéder.

Quels sont les risques encourus en cas d'utilisation d'une solution non agréée par la HAS ?

L’hébergement ou le traitement d’une base de données de santé à caractère personnel sans certification HDS selon le référentiel HAS (prévu par l'article L. 1111-8) est puni par la loi de trois ans d’emprisonnement et de 45 000 euros d’amende (article L1115-1 du Code de la Santé Publique). Les solutions de cloud publiques telles que Dropbox, iCloud ou Box ne sont pas certifiées HDS et ne sont donc pas conformes pour l’hébergement de données de santé en France.

Par ailleurs, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi des États-Unis qui permet la collecte de données électroniques stockées par des entreprises américaines, quel que soit leur emplacement. Cela inclut les données stockées dans le cloud par des sociétés telles que Google et Microsoft.

Du point de vue de la confidentialité électronique, le Cloud Act soulève des inquiétudes quant à la possibilité d'une portée excessive du gouvernement et à la violation des droits à la vie privée des individus. La loi autorise la collecte de données sans mandat, et elle permet également le partage de données avec des gouvernements étrangers, qui peuvent ne pas avoir les mêmes protections de la vie privée que les États-Unis. De plus, la loi n'oblige pas les entreprises à informer les individus que leurs données ont été collectées, ce qui peut rendre difficile pour les individus de prendre des mesures pour protéger leur vie privée.

En 2021, la CNIL s'est ainsi clairement positionnée en qualifiant de « non adaptée » l'hébergement de données de santé de citoyens européens par des sociétés de droits américains même si elles disposaient d'une certification HDS (ex : Microsoft, Google, Amazon avec leurs solutions bien connues OneDrive ou Google Drive).

Je suis à la retraite, que faire de mes données de santé ?

Selon les dispositions de la Loi Informatique et Libertés (art 6.5°) les données personnelles ont une date de péremption : « Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Les données que vous collectez sur vos patients doivent donc être conservées pour une durée qui n’excède pas la durée nécessaire à l’utilisation que vous en faites.

À titre indicatif, le Conseil National de l'Ordre des médecins préconise de s’aligner sur les délais de conservation prévus pour les dossiers médicaux des établissements de santé, à savoir une durée de 20 ans à compter de la date de la dernière consultation du patient. Bien entendu, il convient de suspendre ces délais de conservation en cas d’action tendant à mettre en cause la responsabilité du médecin.