Le règlement européen et sa transposition dans la loi Informatique et libertés rendent les opérateurs responsables du traitement des données de santé sous le contrôle de la Cnil. La tenue d’un registre interne, la désignation d’un délégué spécifique et une sécurisation juridique, technique et organisationnelle s’ajoutent aux obligations existantes sur les incidents informatiques graves et aux règles en matière d’hébergement externalisé ou de pratiques de télémédecine.
Le 25 mai 2018 est entré en vigueur le règlement général sur la protection des données (RGPD) européen.
La loi du 20 juin 2018 relative à la protection des données personnelles le transpose dans notre corpus juridique en modifiant la loi Informatique et libertés (LIL) du 6 janvier 1978.
Le décret du 1er août pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles apporte différentes précisions.
C’est donc un nouveau cadre réglementaire qui s’applique au traitement de données à caractère personnel, c’est-à-dire, quel que soit le procédé utilisé, à la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, à l’extraction, la consultation, l’utilisation, la communication par transmission, à la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi qu’au verrouillage, à l’effacement ou la destruction de telles données (LIL, art. 2).
Ce nouveau cadre s’applique sous le contrôle de la Commission nationale de l’informatique et des libertés (Cnil), autorité administrative indépendante. Sa formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations du RGPD (LIL, art. 11 et 17).
Protection renforcée
Le RGPD définit une nouvelle notion de « privacy by design ». Considérées comme sensibles, les données de santé bénéficient d’un régime de protection renforcée.Le principe est celui de l’interdiction du traitement des données de santé relatives à une personne identifiée ou identifiable et de leur commercialisation (RGPD, art. 9 ; LIL, art. 8).
Toutefois, leur exploitation est possible si la personne concernée, bien informée de la finalité du cadre dans lequel ses données seront utilisées, donne son consentement « clair et explicite » (RGPD, art. 7).
Elle est également autorisée si elle est rendue nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne soumise à l’obligation de secret professionnel.
Elle est enfin permise si elle est conforme à la loi Informatique et libertés et justifiée par l’intérêt public, pour éviter notamment la propagation des maladies, ou dans le cadre d’une recherche publique, après avis motivé et publié de la Cnil, ou encore s’il s’agit de données rendues anonymes.
Si la déclaration préalable des fichiers auprès de la Cnil et la délivrance d’une autorisation sont d’une manière générale supprimées, sauf, notamment, pour la recherche, l’instance doit être consultée préalablement à toute opération de traitement sur les données de santé. Ce qui est précisé dans le décret du 1er août.
(...)
Source : Gazette Santé Social, 02/10/2018.
Article intégral en ligne : http://www.gazette-sante-social.fr
Aucun commentaire :
Enregistrer un commentaire