Le RGPD ou « Règlement européen relatif aux données personnelles » est une nouvelle règlementation entrée en vigueur en mai 2018 qui gouverne la collecte et le traitement des données à caractère personnel des utilisateurs. Le RGPD définit clairement ce qu’est une donnée personnelle (information qui définit une personne et permet de l’identifier) ; ce qui permet également de définir les droits de la personne associés à cette règlementation.

Quatorze ans après le lancement du Dossier Médical Personnel (maintenant Dossier Médical Partagé), une règlementation européenne redonne du pouvoir aux patient(e)s en leur permettant de demander directement la suppression de leurs données ainsi qu’en leur offrant une information plus adaptée et plus précise.

Suite aux différents scandales liés aux réseaux sociaux et aux nombreuses données personnelles exploitées sans l’accord des utilisateurs, l’entrée en vigueur de la réglementation européenne sur les données personnelles (RGPD) a permis de rassurer les utilisateurs 2.0. Ce nouveau règlement impose à présent un cadre législatif restrictif notamment pour les données personnelles dites « sensibles » (types données bancaires ou données de santé). Avant l’adoption de cette loi impactant les industriels possédant des activités en Europe, les entreprises du numérique ne se souciaient guère de la confidentialité de leurs utilisateurs et certaines entreprises n’hésitaient pas à vendre en masse les données recueillies.

La spécificité de la règlementation française

Il faut préciser que la France a toujours disposé d’une législation particulièrement stricte en matière de données de santé. Les politiques français avaient perçu ce risque de l’hébergement des données personnelles des individus et ont rapidement mis en place une politique d’encadrement du recueil et de l’exploitation des données personnelles. Ce sont ces réflexions autour de ces données, pouvant être erronées, collectées de manière abusives ou encore partagées sans l’accord de la personne, qui ont conduit à l’adoption de la loi du 6 janvier 1978 créant ainsi la Commission nationale de l’informatique et des libertés (CNIL).

Les données des patients sont également valorisées par des chercheurs (privés ou publics) pour l’amélioration continue des parcours de soins des patients, pour repérer les points de vigilances dans les plans de personnalisation de soins ou encore pour apporter « une aide déterminante à la vigilance pharmaco-épidémiologique ».

L’importance du registre de données a été mise en exergue par M. Jean-Marc Sauvé, vice-président du Conseil d’Etat, qui a souligné le rôle majeur apporté par l’exploitation des données du système national d’information inter-régimes de l’assurance maladie (SNIIRAM créé par la loi du 23 décembre 1998) pour la détection des ordonnances du Médiator®, hors AMM (Autorisation de Mise sur le Marché).

L’intérêt des données de santé

Une donnée de santé est une donnée personnelle spécifique portant sur les informations de santé d’un individu telles que sa température, ses antécédents médicaux, son Indice de Masse Corporelle… Ce type de données revêt une importance particulière pour les professionnels de santé dans le cadre d’une prise en charge adaptée du patient. En effet, connaitre l’historique médical d’un patient permet au praticien d’établir un diagnostic et de mettre en place un traitement pharmaceutique de manière plus personnalisée.

Pour proposer des parcours de soins toujours plus personnalisés, ces données doivent impérativement être utilisées dans un but purement médical et non commercial. C’est pourquoi le RGPD a été voté pour assurer une plus grande finesse dans la sécurisation de ces données et dans la gestion des droits des professionnels de santé sur les données des patients.

Néanmoins, les données de santé représentent une forte valeur marchande pour certaines entreprises (mutuelles, assurance, banque…) qui pourraient cibler leurs clients, après une analyse fine de leurs données médicales, afin de déterminer le prix de l’assurance selon leurs antécédents et leurs pathologies.

La mise en pratique du RGPD pour les patient(e)s

L’entrée en vigueur du RGPD en France n’a pas apporté de modifications importantes pour les sociétés travaillant avec des données de santé. En effet, la législation française étant plus stricte que dans les autres pays européens, les données patients s’en retrouvaient fortement protéger avant même cette nouvelle règlementation.

La sécurité des données a toujours revêtu une importance particulière pour la société Maela. Les données sont hébergées chez un hébergeur agréé de données de santé avec lequel nous entretenons une relation partenariale forte : Santéos (hébergeur du DMP). Les données recueillies par la plateforme ou l’application smartphone sont stockées sur un data center situé sur le sol français.

Le RGPD met en avant le droit à l’oubli (ou droit à l’effacement) pour les patients. A présent l’utilisateur n’a plus besoin de passer par la CNIL pour demander l’effacement de ses données personnelles. Le patient peut également demander au responsable du traitement de l’entreprise/de l’hôpital/de l’association, dans les meilleurs délais, de corriger certaines données à caractère personnel étant inexactes.

S’il ne souhaite plus être suivi par un professionnel de santé habilité sur ses données de santé, le patient peut demander à retirer cette habilitation ou à la limiter. Le véritable changement opéré par le RGPD autour de la sécurisation et du partage des données de santé concerne la manière dont le/la patient(e) peut accéder à ses données et en réguler l’accès aux professionnels. Maela a dû répondre rapidement à cette problématique en ajoutant ces nouveaux droits accordés aux patients sur leurs données.

Le consentement éclairé du patient

Le RGPD encadre le stockage des données et leur traitement notamment pour les données personnelles « sensibles ». Des exceptions existent permettant le stockage des données de santé soit :
– lorsque l’intérêt vital du patient est engagé,
– lorsque le patient donne son consentement éclairé,
– lors d’une prise en charge hospitalière (article 9.2 du RGPD).

Aujourd’hui cette notion de consentement éclairé reste abstraite malgré cette règlementation. En effet, les conditions d’utilisation des outils numériques sont en général particulièrement longues et complexes. Malgré tout, ce consentement du patient reste l’acte le plus engageant du point de vu du DPO (Data Protector Officer, du responsable de traitement de l’information).

Le RGPD simplifie le retrait du consentement pour le patient, celui-ci peut à tout moment retirer son consentement sans avoir à se justifier. Ce retrait par le patient peut s’effectuer auprès de n’importe quel outil numérique : Google, Amazon, Dossier informatique d’un hôpital, application de votre banque, etc.

En cas de droits bafoués par la société exploitant les données, l’utilisateur est en droit de demander une intervention de la CNIL. L’article 83 précise que tout manquement au RGPD entraine une amende qui doit être dissuasive allant jusqu’à 20 millions d’euros pour l’administration ou jusqu’à 4% du chiffre d’affaires mondial pour les entreprises. L’amende est calculée en fonction de la gravité des faits reprochés.
Dans tous les cas, une société a l’interdiction formelle de vendre des données de santé à un tiers même avec le consentement du patient. En effet : lors de la demande de consentement, l’entreprise n’a pas le droit de vous demander de consentir à la vente de vos données personnelles.

Pourquoi un DPO ?

Un Data Protector Officer (ou DPO) vérifie le respect du RGPD au sein de l’entreprise en adaptant la sécurité des données et leur durée de stockage en fonction du type de données recueillies. Celui-ci doit tenir à jour un registre de traitement des données allant de la donnée personnelle « simple » (nom, prénom, adresse mail et numéro de téléphone) à la donnée plus sensible comme des données de santé. Qu’il s’agisse de données utiles au CRM (Client Relationship Management) ou de données sur la convalescence d’un patient, leur utilisation, leur stockage ou leur traitement doit être spécifié aux individus acceptant de remettre leurs données personnelles.

Le métier de DPO est un véritable métier transversal l’obligeant à réaliser des audits pour s’assurer du bon suivi du traitement des données de l’entreprise. C’est pourquoi il doit connaitre les spécificités de chaque profession avec laquelle il travaille au quotidien pour s’assurer du traitement adéquat des données pour chaque salarié et vérifier la conformité du traitement d’après le RGPD.

La nomination d’un DPO dans une entreprise démontre de son implication et de son respect envers la protection des données à caractère personnel. Il est également le premier interlocuteur de la CNIL et des DPO des autres entreprises.

En tant que responsable du traitement des données, le DPO doit prioriser les actions à mettre en place pour s’assurer que l’entreprise est bien conforme aux règlementations sur la protection des données personnelles. De plus l’entreprise doit être capable de prouver sa conformité au RGPD ce qui correspond à une obligation légale du RGPD.

Pour plus d’informations vous pouvez contacter notre DPO sur dpo@maela.fr !

Robin Brech

Les sources :
(1) cnil.fr
(2) Lussan P-L (2018) Protection des données de santé : trois défis pour les hôpitaux, Les Echos, [en ligne] le 08 Août 2018. Disponible sur : <https://www.lesechos.fr/idees-debats/cercle/cercle-185695-protection-des-donnees-de-sante-le-ght-definit-trois-defis-pour-la-sante-publique-2196947.php> [Consulté le 25 août 2018].
(3) Tremblin G (2018) Vos données de santé sont en sécurité, Les Echos, [en ligne] le 01 août 2018. Disponible sur <https://business.lesechos.fr/directions-numeriques/digital/big-data/0302055983375-vos-donnees-de-sante-sont-en-securite-322570.php#formulaire_enrichi::bouton_linkedin_inscription_article> [Consulté le 26 août 2018].
(4) Sauvé J-M. (2017) Santé et protection des données. [en ligne]. In : Septièmes entretiens du Conseil d’Etat en droit social : Santé et protection des données. Conseil d’Etat, le 1er décembre 2017. Disponible sur <http://www.conseil-etat.fr/Actualites/Discours-Interventions/Sante-et-protection-des-donnees> [Consulté le 26 août 2018].
(5) https://www.journaldunet.com/economie/finance/1207079-la-blockchain-est-elle-compatible-avec-rgpd/