Traitement des données de santé : une nouvelle simplification des formalités préalables

Publié le : 24/05/2017
Dans la perspective de l’entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGPD), la CNIL vient d’annoncer une nouvelle simplification des formalités préalables obligatoires pour la mise en œuvre de certains traitements de données de santé.

Les données de santé de santé sont, rappelons-le, des données sensibles dont le traitement est par principe interdit. Lorsque ces traitements sont autorisés – parce que bénéficiant d’une exception légale – ils doivent, pour être licites, faire l’objet de formalités légales préalables (autorisation, déclaration normale, déclaration simplifiée, etc).

Or, la CNIL vient d’annoncer que les traitements de données de santé relevant des exceptions prévues à l’article 8 II de la loi Informatique et Libertés dont la mise en œuvre est aujourd’hui subordonnée à une autorisation de la CNIL, seront désormais soumis au régime de la déclaration.

Il s’agit notamment des traitements pour lesquels la personne concernée a donné son consentement exprès, ceux nécessaires à la sauvegarde de la vie humaine pour lesquels le consentement est impossible, les traitements portant sur des données rendues publiques, ou encore ceux relatifs à la médecine préventive, aux diagnostics médicaux, à l’administration de soins ou de traitements, ou à la gestion de services de santé. Les traitements statistiques et ceux nécessaires à la recherche, aux études et évaluation dans le domaine de la santé sont aussi concernés.

Cette vague de simplification avait été amorcée par la CNIL en 2016 par l’adoption des méthodologies de référence MR-001 et MR-003 simplifiant les formalités des traitements de données réalisés dans le cadre de nombreuses recherches dans le domaine de la santé. Elle concerne désormais de nombreux autres traitements, les dispositifs de télémédecine, les dossiers médicaux partagés ou encore les dispositifs d’éducation thérapeutique. Le régime de l’autorisation restera applicable aux traitements ne relevant pas des exceptions de l’article 8 II, mais présentant néanmoins un intérêt public.

Cette décision est bienvenue en ce qu’elle allège les démarches incombant aux responsables de traitements, favorisant ainsi l’innovation en matière de e-santé et évitant toute situation de blocage. Plus autonomes dans la mise en œuvre de leur traitement de données de santé, les responsables de traitements ne devront pas pour autant être moins vigilants quant à la protection des données traitées. Le respect des principes de Privacy by Design et de Privacy by Default, et la réalisation d’études d’impact sur la vie privée pour les traitements à risques s’inscrivent notamment au rang de leurs futures obligations.

A cet égard, la CNIL prévoir de diffuser « très prochainement de nouveaux outils clairs, synthétiques et accessibles au bénéfice de l’ensemble des professionnels de santé pour les accompagner dans la mise en œuvre de leurs traitements ».

Historique

<< < 1 2 3 4 5 6 7 ... > >>