Article
La journée de la protection des données, établie le 28 janvier par le Comité des Ministres du Conseil de l'Europe, s'inscrit dans un contexte de crise sanitaire. Cette dernière, et notamment l’application Tous anti Covid a fait resurgir un âpre débat : comment sont traitées et conservées les données de santé des Français ? Pour rappel, une donnée de santé consiste en toute donnée relative à la santé physique ou mentale, passée, présente ou future d’une personne, elle est qualifiée de donnée sensible.
Et les précédents l’ont montré, pas toujours facile pour un établissement de santé d’être irréprochable. Lors d’une conférence organisée par la société Data Legal Drive le 27 janvier, Maitres Julie Jacob, avocate associée chez Jacob Avocats et Valentin Boullier, avocat à la Cour au sein de ce même cabinet sont revenus sur les impératifs à respecter, en compagnie de Maxime Diot, Responsable juridique et Compliance, Délégué à la protection des données à l’Institut Pasteur de Lille.
Une information claire
« Lorsqu’il y a collecte, il faut impérativement une politique de protection des données accessibles. Elle se fait sous forme de flyers, par rappel du praticien et affichage dans les locaux », explique maître Julie Jacob, Avocate associée chez Jacob Avocats au cours de la conférence.
« Quand on recueille des données dans le cadre d’un essai clinique, il est essentiel de rédiger des chartes et lettres d’information au patient. Elles doivent être compréhensibles, transparentes, énoncer les risques et informer du devenir des données », précise Maxime Diot.
Par ailleurs, il faut appliquer le principe de minimisation et ne demander que des données « nécessaires, adéquates et limitées », comme le rappelle l’avocate.
Des données accessibles au patient à tout moment
À tout moment, le patient doit pouvoir accéder aux données qui ont été collectées et savoir de manière simple et claire ce qui en adviendra, par exemple en cas de décès, ou encore à quel moment elles seront détruites.
Du côté de l’établissement de santé, il est préférable de vérifier l’identité du demandeur avec une pièce d’identité, au moindre doute. Attention également que le serveur sur lequel le document est envoyé soit bien sécurisé. Une simple boîte mail n’est pas suffisamment protégée.
Les différentes phases de traitement des données
Plusieurs étapes sont à distinguer :
- L’entrée dans une base active ;
- L’archivage intermédiaire (qui peut être définitif si les données sont d’intérêt public) ;
- La destruction des données.
Entre les trois étapes, il ne doit pas s’écouler plus de 20 ans. La CNIL a pu sanctionner par le passé des établissements pour des durées de conservation jugées excessives. Les cabinets médicaux et paramédicaux peuvent conserver les données pendant 5 ans en base active puis 15 ans en base intermédiaire.
Bien choisir son hébergeur de données
Conformément à l’article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016, « les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés. Cette certification remplace l’agrément aujourd’hui délivré par le ministère de la Santé dans les conditions définies par le décret n°2006-6 du 4 janvier 2006 ». « C’est indispensable», insiste Maxime Diot. Il faut également préciser que l’offre contient les données de santé et vérifier où sont localisés les serveurs et privilégier un hébergement en Europe.
Si un établissement héberge ses propres données, il n’est pour l’instant pas nécessaire d’avoir la certification. Attention en revanche à avoir des serveurs suffisamment protégés et difficiles d’accès. Il est également important de sensibiliser le personnel au caractère confidentiel des données notamment en verrouillant le poste de travail à chaque fois qu’il le quitte.
Par ailleurs, il faut être vigilant en cas de recours à des sous-traitants. Par exemple si l’on dispose d’un logiciel pour remplir les informations patient, il ne faut pas que cet éditeur puisse lire les données de santé, donc attention à ne jamais envoyer de capture d’écran non floutée.
Si un établissement est victime de cybermalveillance, il dispose de 72h pour le notifier à la CNIL. Pour en savoir plus, le site gouvernement met à disposition un site d’information.