Sécurité des données de santé : votre avocat RGPD vous conseille sur les contrôles !
Quelles sont les règles à respecter quand on traite des données de santé ?
Quelles sont les règles à respecter quand on traite des données de santé ? Comment éviter d'engager sa responsabilité en cas de faille de sécurité au niveau des données de santé ? Votre Avocat E-santé et RGPD à Paris vous éclaire
La CNIL a annoncé dans un communiqué du 2 mars 2021 les 3 thématiques prioritaires pour ses contrôles en 2021.
Votre Avocat données personnelles à Paris :
- Les cookies et autres traceurs
- la cybersécurité des sites web
- et la sécurité des données de santé.
2/3 des sanctions que la CNIL prononce concernent des manquements à l’obligation de sécurité des données.
Les données de santé sont au cœur de l’actualité, car elles sont de plus en plus partagées dans le cadre de la lutte contre la Covid-19, dans le cadre du développement de la e-santé et de leur conservation numérique ce qui rend l’exigence de la sécurité des données de santé prioritaire pour les contrôles que va effectuer la CNIL en 2021.
Votre Avocat RGPD à Paris vous éclaire :
1) Qu’est-ce qu’une donnée de santé
Les données de santé sont définies par la CNIL comme des "données à caractère personnel, relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne" (article 4 du RGPD)
Le RGPD retient une définition large des données de santé. 3 catégories de données de santé peuvent être retenues.
- Les données de santé par nature (maladies, traitement, antécédents médicaux…)
- Les données qui deviennent des données de santé du fait de leur croisement avec d’autres données (conclusion sur état de santé de la personne ou risque pour sa santé) => mesure de poids x nombre de pas par exemple.
- Les données qui deviennent des données de santé du fait de leur destination : utilisation faite sur le plan médical.
2) Comment assurer sécurité de données de santé ?
2.1 Mesures de sécurité générale
Le responsable de traitement ainsi que son sous-traitant ont une obligation de sécurité bien inscrite dans le RGPD, l’obligation de sécurité est imposée par le RGPD et un manquement à cette obligation est sanctionné par la CNIL.
Récemment, la CNIL a été informée d’une fuite de données médicales d’environ 500 000 personnes.
Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé des amendes à l’encontre de deux médecins libéraux pour insuffisance de protection des données personnelles au sens du RGPD. La CNIL constate un manquement à l’obligation de sécurité des données (article 32 du RGPD) vu qu’ils devaient s’assurer que la configuration de leurs réseaux informatiques ne rendait pas les données librement accessibles sur Internet.
De plus, ils n’avaient pas effectué un chiffrement systématique des données personnelles hébergées sur leurs serveurs.
Ce sont des exemples de mesures élémentaires à prendre pour sécuriser les données et particulièrement les données de santé pour éviter une sanction de la CNIL et protéger les données personnelles des personnes concernées en étant conforme au RGPD.
Votre Avocat RGPD à déjà procédé à la rédaction de plusieurs articles sur la sécurité des données personnelles, vous pouvez retrouver le dernier en date ici
Ainsi, tout d’abord, les mesures de sécurité à prendre sont les mesures de sécurités de données élémentaires recommandées par la CNIL. La CNIL a publié un guide de sécurité pour aider les professionnels dans la mise en conformité au RGPD en matière de sécurité des données.
Votre avocat données personnelles se tient à votre disposition pour répondre à vos questions.
2.1 Mesures de sécurités renforcées pour les données de santé
Le RGPD définit les données de santé comme étant des données sensibles. Une analyse d’impact doit nécessairement être menée pour tenir des risques reliés à la sensibilité des données de santé collectées et traitées. La protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapte au risque » (article 32 RGPD). Le niveau de sécurité doit être adapté au risque de traitement de ces données.
N'hésitez pas à demander conseil à votre Avocat spécialisé en données personnelles pour vous conseiller et/ou vous accompagner dans cette analyse d'impact.
En ce qui concerne les données de santé, un cadre règlementaire est mis en place pour l’hébergement des données de santé. L’hébergeur de données de santé choisi doit être certifié à cet effet par un organisme accrédité par le COFRAC (ou un équivalent européen)
De plus, le gouvernement a mis en place une Politique générale de sécurité des systèmes d’information de santé. Cette politique comporte un ensemble de référentiels qui encadrent la sécurité des données de sante et apportent des mesures pratiques pour leur traitement sécurisé.
L’Article L 1110-4-1 du Code de la Santé publique fait référence à ces référentiels « afin de garantir l'échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel, doivent être conformes aux référentiels d'interopérabilité et de sécurité élaborés par le groupement d'intérêt public mentionné à l'article L. 1111-24, pour le traitement de ces données, leur conservation sur support informatique et leur transmission par voie électronique”
Les principaux risques et dangers liés à la sécurité des données de santé sont leur disparition, l’accès illégitime à ces données, leur modification frauduleuse ou leur vol.
Pour assurer leur sécurité, il convient donc suivre les mesures de sécurité qui s’appliquent à tout traitement de données au sens du RGPD, et à suivre les référentiels et politiques de gestions développée dans le domaine des données de santé exposés ci-dessus.
Et surtout, n'oubliez pas de désigner un Délégué à la protection des données (DPO) à partir du moment ou vous traitez des données de santé. Votre Avocat DPO vous répond déjà à plusieurs questions :
- comment bien choisir son DPO ? votre Avocat DPO vous conseille d'avoir recours à un DPO certifié CNIL.
- la désignation d'un DPO est-elle obligatoire ?