Fiche thématique
24 min de lecture
8 décembre 2023
Les données de santé font partie des catégories particulières de données au sens de l’article 9 du RGPD. Ce sont des données dites sensibles. Leur traitement est en principe interdit, mais tant le RGPD que la loi Informatique et libertés prévoient des exceptions, strictement encadrées.

Sommaire

Qu’est-ce qu’une donnée de santé ?

Une catégorie particulière de données dont le traitement est en principe interdit

L’article 4, § 15 du RGPD précise qu’il faut entendre par données de santé toutes « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Remarque

Exemple : il peut s’agir d’un symbole, élément spécifique, attribué à une personne physique pour l’identifier de manière unique (ex. : le NIR ou numéro de sécurité sociale) ou encore des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle. Peut encore être considérée comme une donnée de santé toute information concernant une maladie, un handicap un risque de maladie, les antécédents médicaux, etc. ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 35).

Point de vue de l’AFCDP

La notion de donnée de santé est large. Elle s’apprécie au cas par cas. La CNIL distingue trois catégories. Il peut s’agir des données de santé par nature, des données qui deviennent des données de santé par leur croisement dans la mesure où elles permettent de tirer des informations sur l’état de santé de la personne, des données qui deviennent des données de santé en raison de leur destination.

Cette définition extensive peut amener à envisager un traitement comme traitant des données de santé, alors même que les données ne seraient pas relatives à la santé « par nature » lorsqu’elles sont prises isolément.

La CNIL identifie trois catégories de données de santé (source : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante) :

  • celles qui sont des données de santé par nature : maladies, antécédents médicaux, handicap, résultats d’examens, etc. ;
  • celles qui deviennent des données de santé du fait de leur croisement avec d’autres données, car elles permettent de tirer une conclusion sur l’état de santé d’une personne ;

Remarque

Exemple : nombre de pas, calories, croisées avec d’autres mesures.

  • celles qui deviennent des données de santé en raison de leur destination.

C’est la CJCE la première qui a défini la notion de donnée de santé au regard de la directive 95/46 de 1995, dans l’arrêt Bodil Lindqvist ( CJCE, 6 nov. 2003, aff. C-101/01, Lindqvist ) et considéré que « l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé ».

Sous le régime de l’ancienne loi Informatique et libertés, la CNIL et la jurisprudence avaient pu considérer que constituaient des données de santé les données relatives aux addictions, à la dépendance, aux motivations à l’arrêt du tabagisme par exemple ( Délib. CNIL no 2013-282, 10 oct. 2013 ). A l’inverse, n’avait pas été considérée comme une donnée de santé la mention du taux d’incapacité ou d’invalidité de son conjoint ou partenaire dans la mesure où cela ne permet pas de déterminer la nature du handicap ( CE, 28 mars 2014, no 361042 ).

Remarque

Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des conditions de l’article L. 1111-7 du code de la santé publique (L. n° 78-17, 10 janv. 1978, art. 64 ).

Les exceptions permettant de traiter des données de santé

D’autres données relèvent de catégories particulières : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne de manière unique, les données concernant la vie sexuelle ou l’orientation sexuelle (RGPD, art. 9 ).

Le traitement de ces données est en principe interdit, sauf si (RGPD, art. 9  ; L. n° 78-17, 6 janv. 1978, art. 44  :

  • la personne concernée a donné son consentement explicite au traitement de ces données pour une ou plusieurs finalités spécifiques ;
  • le traitement est nécessaire à l’exécution des obligations et de l’exercice des droits du responsable du traitement ou de ceux de la personne concernée en matière de droit du travail, de la sécurité sociale ou de la protection sociale et autorisé par le droit de l’Union européenne, d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique si elles sont dans l’incapacité physique ou juridique de donner leur consentement ;
  • le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
  • le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée ;
  • le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
  • le traitement, portant notamment sur des données de santé est nécessaire pour des motifs d'« intérêt public importants » ;
  • le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de l’administration de soins ou de traitements, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union européenne ou du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé. Dans ce cas, les données doivent être traitées par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité ou par une autre personne également soumise à une obligation de secret ;
  • le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou dispositifs médicaux. Dans ce cas, le RGPD insiste sur la mise en œuvre de mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;
  • le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifiques ou historiques ou à des fins statistiques réalisées par l’Institut national de la statistique et des études économiques ou l’un des services statistiques ministériels et après avis du Conseil national de l’information statistique ;
  • le traitement est conforme aux règlements types mis en œuvre par les employeurs ou les administrations portant sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et applications utilisés dans le cadre de missions confiées aux salariés, agents, stagiaires ou prestataires ;
  • le traitement porte sur la réutilisation des informations publiques figurant dans les décisions de justice, sous réserve que le traitement n’ait ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Les référentiels de la CNIL

Par délibérations du 18 juin 2020, la CNIL a adopté trois référentiels pour le secteur de la santé :

  • un référentiel pour la gestion des cabinets médicaux et paramédicaux (en remplacement de la norme simplifiée NS 50) mis en œuvre à des fins de prévention, de diagnostic ou de gestion administrative ( CNIL, délib., 18 juin 2020, no 2020-081 : JO, 28 juill.). Il permet notamment :

    • la gestion des rendez-vous ;
    • la gestion des dossiers médicaux ;
    • la gestion et la tenue des dossiers nécessaires au suivi des patients ;
    • le recours aux pratiques de soins à distance requérant des technologies de l’information et de la communication (télémédecine et télésoin) ;
    • les communications entre professionnels identifiés et structures de soins participant à la prise en charge des frais de santé de la personne concernée et à la coordination de celle-ci ;
    • l’établissement et la télétransmission des documents destinés à la prise en charge des frais de santé par l’assurance maladie (feuilles de soins, arrêt de travail, etc.).
  • un référentiel ( CNIL, délib., 18 juin 2020, no 2020-076 : JO, 28 juill.) sur la conservation des données traitées dans le domaine de la santé qui concerne les activités suivantes :

    • prise en charge des patients par les établissements de santé ;
    • gestion des cabinets médicaux et paramédicaux ;
    • gestion d’une pharmacie d’officine ;
    • activités de traitement des laboratoires d’analyse médicale ;
    • activités des opticiens lunetiers ;
    • télétransmission de feuilles de soins ;
    • dossier pharmaceutique ;
    • dossier médical partagé ;
    • dépistage organisé du cancer du sein, du cancer colorectal et du cancer du col de l’utérus ;
    • vigilances sanitaires.
  • un référentiel sur les durées de conservation dans le domaine de la recherche en santé ( CNIL, délib., 18 juin 2020, no 2020-077 : JO, 28 juill.).

Les traitements créés dans le contexte de la Covid-19

Contact Covid et SI-DEP

La loi du 11 mai 2020 qui prorogeait l’état d’urgence sanitaire ( L. no 2020-546, 11 mai 2020, art. 11 : JO, 12 mai ; D. no 2020-551, 12 mai 2020 : JO, 13 mai) a autorisé, par dérogation à l’obligation de secret médical, la création de systèmes d’information ayant pour seule finalité la lutte contre l’épidémie de Covid-19. Les traitements en question, « Contact Covid » et « SI-DEP », ont été autorisés par un décret du 13 mai 2020, après avis de la CNIL.

SI-DEP (Système d’Informations de DEPistage) est une plateforme sécurisée où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19. Elle permet de s’assurer que tous les cas positifs sont bien pris en charge.

Contact Covid est un outil numérique utilisé par tous les professionnels de santé et les professionnels habilités par la CNAM, qui aide à la prise en charge des cas Covid-19. Il permet d’aller au plus vite dans l’identification des personnes-contacts autour d’un cas Covid-19 et de vérifier que chacun a été appelé, informé, testé, et accompagné.

La fin des fichiers SI-DEP et Contact Covid, initialement prévue pour le 31 décembre 2021, avait été reportée au 31 juillet 2022 ( L. no 2021-1465, 10 nov. 2021 : JO, 11 nov.). Cette date a, de nouveau, été déplacée au 31 janvier 2023 ( L. no 2022-1089, 30 juill. 2022 : JO, 31 juill.).

Les données à caractère personnel contenues dans le traitement SI-DEP ne peuvent être conservées à l’issue d’une durée de six mois après leur collecte pour les données relatives à une personne ayant fait l’objet d’un examen de dépistage virologique ou sérologique de la Covid-19 concluant à une contamination, et de trois mois après leur collecte pour les autres données. Elles ne peuvent davantage être conservées au-delà du 31 janvier 2023.

Depuis le 31 janvier 2023 l’alimentation du SI Contact Covid est arrêtée. En effet, l’article 2 de la loi no 2022-1089 du 30 juillet 2022 mettant fin aux régimes d’exception, ne permet plus la constitution d’un fichier relatif aux cas contact des personnes atteintes par le virus. Cela a conduit à suspendre la fonctionnalité de contact tracing de l’application TousAntiCovid en janvier 2023 et à modifier le décret relatif au traitement de données personnelles associé en février 2023 (D. no 2023-86, 10 févr. 2023 : JO, 11 févr.).

Partenariat entre l’État et Doctolib dans le cadre de la vaccination contre la Covid-19

La gestion de prise de rendez-vous de vaccination contre la Covid-19 est assurée par trois sociétés, dont Doctolib, qui fait appel à une société américaine pour héberger ses données. Jugeant le partenariat avec Doctolib contraire au RGPD, des associations et syndicats professionnels en ont demandé la suspension au juge des référés du Conseil d’État, compte tenu de possibles transferts de données vers les États-Unis. Ils se sont fondés sur l’arrêt « Schrems II » de la Cour de justice de l’Union européenne (CJUE), qui a jugé que la protection des données transférées vers les États-Unis par le « Privacy Shield » était insuffisante au regard du droit européen. Le Conseil d’État a cependant considéré qu’il n’y avait pas d’atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ( CE, réf., 12 mars 2021, no 450163 ).

Du pass sanitaire au pass vaccinal

En France, depuis le 24 janvier 2022, le pass sanitaire est devenu le pass vaccinal. Ce dernier consiste en la présentation, numérique (via l’application TousAntiCovid) ou papier, d’une preuve de schéma vaccinal complet, d’un certificat de rétablissement de moins de six mois ou d’un certificat de contre-indication à la vaccination.

Il permet de renforcer la couverture vaccinale, de limiter les risques de diffusion épidémique, de minimiser la probabilité de contamination dans des situations à risque, et donc la pression sur le système de soins, tout en permettant de maintenir ouvertes certaines activités ou lieux en complément des protocoles sanitaires propres à chaque secteur ( L. no 2022-46, 22 janv. 2022 : JO, 23 janv.).

La fin de l’état d’urgence sanitaire à compter du 1er août 2022 conduit à la suspension du pass vaccinal. Celui-ci n’est donc plus exigé pour accéder aux établissements de santé ( L. no 2022-1089, 30 juill. 2022 mettant fin aux régimes d’exception créés pour lutter contre l’épidémie liée à la Covid-19). Une attestation sanitaire peut toujours être exigée par des États tiers afin d’entrer sur leur territoire national ( D. no 2022-1097, 30 juill. 2022 relatif aux mesures de veille et de sécurité sanitaire maintenues en matière de lutte contre la Covid-19).

Pass sanitaire : pas d’atteinte à la protection des données

L’association La Quadrature du Net a demandé au juge des référés du Conseil d’État la suspension du pass sanitaire en ce qu’il exige notamment le traitement de données de santé. A l’appui de sa demande, la requérante a soutenu que ce dispositif portait une atteinte grave et manifestement illégale à plusieurs libertés fondamentales, dont le droit à la protection des données personnelles.

Le Conseil d’État a rejeté la requête au motif que la mise en œuvre du pass sanitaire n’était pas, à la date de l’ordonnance, manifestement illégale.

Pour motiver sa décision, le juge des référés a, entre autres, relevé que le dispositif respectait le principe de minimisation des données dans la mesure où :

  • les données d’identification contenues dans le pass sanitaire étaient nécessaires pour contrôler que le document présenté était bien celui de la personne qui s’en prévalait ;
  • les informations collectées dans le pass sanitaire sont conservées en local par la personne concernée sur son propre téléphone mobile (le système était donc décentralisé et limitait la constitution de traitements ou bases nationales de données de santé) ;
  • l’usage du pass était limité aux déplacements avec l’étranger, la Corse et l’outre-mer et n’était pas requis pour les activités du quotidien ou l’exercice de certaines libertés fondamentales (manifestation, réunion, exercice du culte) ;
  • l’usage de la version numérique du pass sanitaire demeurait facultatif.

Le Conseil d’État a ensuite justifié l’inscription de données de santé dans le pass sanitaire en se fondant sur une des exceptions à l’interdiction du traitement de données sensibles prévues à l’article 9 § 2 du RGPD, à savoir le motif d’intérêt public dans le domaine de la santé publique. Cette exception nécessite de prendre des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée. En l’occurrence, il était notamment question de prendre des garanties contre le risque de captation illégale des données de santé figurant sur le téléphone mobile. Pour le Conseil d’État, ce risque semblait peu élevé ( CE, réf., 6 juill. 2021, no 453505 ).

Certificat Covid numérique de l’UE

Un règlement européen du 14 juin 2021, entré en vigueur le 1er juillet 2021, pose le cadre d’un certificat Covid numérique permettant la délivrance, la vérification et l’acceptation transfrontières de l’un des certificats justifiant de l’immunité des personnes afin de restaurer la liberté de circulation au sein de l’Union ( Règl. no (UE) 2021/953 du Parlement européen et du Conseil 14 juin 2021 : JOUE no L 211, 15 juin). Il est applicable jusqu’au 30 juin 2023.

Critères de traitement des données de santé

Droits des personnes concernées

Droit d’accès

Lorsque l’exercice du droit d’accès s’applique à des données de santé, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des dispositions de l’article L. 1111-7 du code de la santé publique (L. n° 78-17, 10 janv. 1978, art. 64 ).

Remarque

La CNIL peut intervenir pour rendre effective la demande d’un patient d’accéder aux données à caractère personnel contenues dans son dossier médical et dispose, à cet effet, d’un large pouvoir d’appréciation ( CE, 23 mars 2020, no 430591 ).

Droit à l’information

Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du RGPD, à moins que la personne ait fait usage du droit qui lui est reconnu par l’article L. 1111-2 du code de la santé publique d’être laissée dans l’ignorance d’un diagnostic ou d’un pronostic (L. n° 78-17, 10 janv. 1978, art. 69 ).

Concernant les données du système national des données de santé (SNDS) et de ses composantes, les personnes concernées sont informées de la réutilisation possible de ces données, préalablement rendues non directement identifiantes, à des fins de recherche, d’études ou d’évaluation dans les conditions mentionnées à l’article L. 1461-3 du code de la santé publique, ainsi que de leurs droits. Elles en sont informées par une mention figurant sur le site internet des établissements de santé, des établissements médico-sociaux, des organismes d’assurance-maladie obligatoire ou des organismes d’assurance-maladie complémentaire, et sur des supports permettant de la porter à la connaissance des personnes concernées, notamment des affiches dans les locaux ouverts au public ou des documents qui leur sont remis. Cette information est mise en œuvre par les directeurs des établissements de santé, des directeurs des établissements médico-sociaux et des directeurs des organismes d’assurance-maladie obligatoire et complémentaire ( D. no 2019-536, 29 mai 2019 : JO, 30 mai, art. 70).

Les personnes accueillies dans les établissements ou les centres où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d’un traitement de données à caractère personnel dans le domaine de la santé sont informées individuellement des mentions prescrites par le RGPD par la remise d’un document ou par tout autre moyen approprié leur permettant de prendre utilement connaissance de ces mentions ( D. no 2019-536, 29 mai 2019 : JO, 30 mai, art. 70).

Information concernant des mineurs ou des incapables majeurs

Sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale, pour les mineurs, ou la personne chargée d’une mission de représentation dans le cadre d’une tutelle, d’une habilitation familiale ou d’un mandat de protection future, pour les majeurs protégés dont l’état ne leur permet pas de prendre seuls une décision personnelle éclairée.

Pour les traitements réalisés dans le cadre de recherches ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, l’information peut être effectuée auprès d’un seul des titulaires de l’exercice de l’autorité parentale s’il est impossible d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses finalités.

Pour ces traitements, le mineur âgé de 15 ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de 15 ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l’assurance-maladie et maternité et de la couverture complémentaire mise en place par la loi no 99-641 du 27 juillet 1999 portant création d’une couverture maladie universelle. Il exerce alors seul ses droits ( D. no 2019-536, 29 mai 2019 : JO, 30 mai, art. 70).

Droit d’opposition

La personne qui entend s’opposer au traitement des données à caractère personnel dans le domaine de la santé la concernant peut exprimer son refus par tout moyen auprès soit du responsable du traitement, soit de l’établissement ou du professionnel de santé détenteur de ces données, excepté dans le cas prévu au II de l’article R. 1461-9 du code de la santé publique (auprès du directeur de l’organisme gestionnaire du régime d’assurance-maladie obligatoire auquel la personne est rattachée) ( D. no 2019-536, 29 mai 2019 : JO, 30 mai, art. 113).

Consentement écrit pour l’examen des caractéristiques génétiques

Lorsque la recherche, l’étude ou l’évaluation nécessitent l’examen des caractéristiques génétiques, le consentement de la personne concernée ou de ses représentants légaux doit être recueilli, préalablement au traitement, sous forme écrite. En cas d’impossibilité de le recueillir sous cette forme, le consentement exprès de la personne concernée est attesté par un tiers indépendant de l’organisme qui met en œuvre le traitement ( D. no 2019-536, 29 mai 2019 : JO, 30 mai, art. 114).

Droit au respect du secret médical et garanties suffisantes pour assurer un accès strictement nécessaire aux données médicales

Le Conseil d’État a annulé le décret no 2018-1254 du 26 décembre 2018 qui autorise et encadre l’accès aux données médicales des patients pour les besoins de l’analyse de l’activité, de sa facturation et du contrôle de cette facturation, d’une part, par des prestataires extérieurs, et d’autre part, par les commissaires aux comptes. Le juge administratif a estimé que s’agissant de l’accès des commissaires aux comptes, le décret ne prévoit pas de mesures techniques et organisationnelles propres à assurer le respect du secret médical de la personne concernée et, s’agissant de l’accès des prestataires extérieurs, il n’est pas assorti de garanties suffisantes pour assurer que l’accès n’excède pas celui strictement nécessaire à l’exercice de leur mission. Dans l’attente d’une réglementation complémentaire, il a décidé :

  • d’une part, que les commissaires aux comptes ne se voient remettre que des données pseudonymisées ; et
  • d’autre part, que chaque établissement de santé s’assure que le travail confié aux éventuels prestataires extérieurs soit organisé de telle sorte que le praticien responsable de l’information médicale de chaque établissement de santé soit en mesure d’organiser et contrôler le travail des prestataires placés sous sa responsabilité, ce qui implique que soient connus la composition des équipes, le lieu d’exercice de l’activité et le détail des prestations réalisées, et qu’il puisse veiller à ce qu’ils accèdent à des données identifiantes dans la stricte limite de ce qui est nécessaire à leurs missions ( CE, 25 nov. 2020, no 428451 ).

Les traitements dispensés de formalités auprès de la CNIL

Les traitements concernant la santé sont soumis aux dispositions du RGPD, mais aussi de la loi Informatique et libertés. Certains traitements sortent cependant de leur champ d’application et échappent aux formalités à accomplir auprès de la CNIL (L. n° 78-17, 10 janv. 1978, art. 65 ) :

  • les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel ;
  • les traitements pour lesquels la personne concernée a donné son consentement explicite ;
  • les traitements nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ;
  • les traitements effectués, dans le cadre de leurs activités légitimes et moyennant des garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités ;
  • les traitements portant sur des données à caractère personnel manifestement rendues publiques par la personne concernée ;
  • les traitements nécessaires à la constatation, à l’exercice, ou à la défense d’un droit en justice ;
  • les traitements permettant d’effectuer des études à partir des données recueillies en application du 1° de l’article 44 de la loi Informatique et libertés lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;
  • les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d’un régime de base d’assurance-maladie ainsi que la prise en charge des prestations par les organismes d’assurance-maladie complémentaire ;
  • les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans le cadre du PMSI local ;
  • les traitements effectués par les agences régionales de santé, par l’État et par la personne publique qu’il désigne en application du premier alinéa de l’article L. 6113-8 du code de la santé publique et dans le cadre défini au même article ;
  • les traitements de données dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la CNIL, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites.

Remarque

La CNIL précise sur son site internet que pour ces traitements, aucune formalité auprès d’elle n’est requise mais qu’il reste nécessaire de les inscrire dans le registre des activités de traitement et de faire, si besoin, une analyse d’impact.

Les traitements présentant une finalité d’intérêt public

Pour être mis en œuvre, les traitements de données concernant la santé doivent présenter une finalité d’intérêt public. Constitue une finalité d’intérêt public la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (L. n° 78-17, 10 janv. 1978, art. 66 ).

Conformité à un référentiel ou autorisation de la CNIL

Si ces traitements ne sont pas conformes à un référentiel établi par la CNIL, en concertation avec la Plateforme des données de santé (ex INDS), ils ne peuvent être mis en œuvre qu’après autorisation de la CNIL. Celle-ci se prononce dans un délai de 2 mois à compter de la réception de la demande et exige la production d’une analyse d’impact pour instruire cette demande. Passé ce délai, la demande d’autorisation est réputée acceptée.

En revanche, s’ils répondent à un référentiel établi par la CNIL, ils pourront être mis en œuvre dès lors que leur responsable aura au préalable adressé à la Commission une déclaration attestant cette conformité (L. n° 78-17, 10 janv. 1978, art. 66 ).

Remarque

La CNIL précise que les cadres de référence sont d’interprétation stricte. Ainsi, si le traitement n’est pas conforme au cadre de référence, le responsable ne pourra pas procéder à la déclaration de conformité. Il aura alors deux solutions :

  • modifier le traitement pour le rendre conforme au cadre de référence ;
  • ou faire une demande d’autorisation.

A titre d’illustration, la CNIL a adopté une délibération dédiée aux traitements de données personnelles effectués par les officines de pharmacie libérales et leurs prestataires (Délib. no 2022-067, 2 juin 2022 : JO, 12 juill.).

Décision unique

La CNIL peut prendre une décision unique permettant de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données et des catégories de destinataires identiques (L. n° 78-17, 10 janv. 1978, art. 66 ).

Remarque

Avant la modification de la loi du 6 janvier 1978 par la loi du 20 juin 2018, la CNIL avait adopté quelques autorisations uniques, en matière :

  • de messageries sécurisées de santé (AU-037) ( Délib. CNIL no 2014-239, 12 juin 2014 : JO, 16 juill.) ;
  • de téléobservance médicale (AU-033) ( Délib. CNIL no 2014-046, 30 janv. 2014 : JO, 9 févr.) ;
  • de mise en œuvre d’une messagerie sécurisée de santé ( Délib. CNIL no 2014-239, 12 juin 2014 : JO, 16 juill.) ;
  • d'autorisations temporaires d’utilisations (ATU) et de recommandations temporaires d’utilisation (RTU) pour des entreprises ou organismes exploitant ou important des médicaments (AY-041) ( Délib. CNIL no 2014-501, 11 déc. 2014 : JO, 14 janv. 2015) ;
  • de dépistage organisé de certains cancers (AU-043) ( Délib. CNIL no 2015-175, 11 juin 2015 : JO, 30 juin).

Le cas de l’alerte sanitaire

Par dérogation à l’article 66 de la loi Informatique et libertés qui n’autorise le traitement des données de santé que si leur finalité est d’intérêt public, les organismes et services publics suivants peuvent mettre en œuvre des traitements de données de santé si leur seule finalité est de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites ( Arr. 30 juin 2020, NOR ; SSAP2016533A : JO, 2 juil.) :

  • la Direction générale de la santé ;
  • le service de santé des armées ;
  • les agences régionales de santé ;
  • l’Agence nationale de santé publique, dans le cadre de ses missions de gestion et de suivi du risque pour la santé humaine ou des alertes sanitaires ;

Uniquement à la demande du ministère de la santé :

  • la Caisse nationale de l’assurance maladie ;
  • l’Institut Pasteur ;
  • L’Institut national de la santé et de la recherche médicale (INSERM) ;
  • les centres hospitaliers universitaires ;
  • l’École des hautes études en santé publique ;
  • l’Agence du numérique en santé ;
  • la Plateforme des données de santé (Health Data Hub) ;

Remarque

Elle ne peut recueillir le NIR que s’il a fait l’objet préalablement d’une opération cryptographique lui substituant un code statistique non signifiant.

  • l’agence technique de l’information sur l’hospitalisation ;
  • les maisons départementales des personnes handicapées ;
  • les services des départements ;
  • les directions départementales de la cohésion sociale et de la protection des personnes.

Remarque

Ces deux derniers services ne peuvent pas traiter le NIR.

Ces traitements sont alors soumis aux seules dispositions de la section III du chapitre IV du RGPD, c’est-à-dire à la seule obligation de réaliser une et de consulter l’autorité de contrôle le cas échéant (L. n° 78-17, 10 janv. 1978, art. 67 ).

Ces traitements peuvent utiliser le NIR (numéro d’inscription au répertoire national d’identification des personnes physiques) lorsqu’une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l’urgence sanitaire ( D. no 2019-536, 29 mai 2019 : JO, 30 mai, art. 86).

Remarque

Le NIR est collecté soit directement auprès des personnes concernées, soit indirectement auprès de leurs proches ou de toutes personnes morales habilitées à traiter ce numéro dans le cadre de leurs missions ou activités. Sa transmission et sa conservation sur support électronique ou numérique font l’objet d’un chiffrement, conforme aux recommandations, référentiels ou règlements types adoptés par la CNIL. Il est conservé pour la durée nécessaire à l’appariement des données.

La définition de l’alerte sanitaire ne figure dans aucun texte législatif ou réglementaire. Cependant, dans sa délibération du 11 juin portant avis sur le projet d’arrêté mentionné ci-dessus ( Délib. CNIL no 2020-061, 11 juin 2020 : JO, 2 juill.), la CNIL a rappelé que l’étude d’impact du projet de loi de modernisation de notre système de santé précisait : « l’alerte sanitaire se rapporte à tout phénomène ou événement nouveau et anormal présentant un risque à court ou moyen terme pour la santé publique, quelle qu’en soit la nature, nécessitant la mise en œuvre dans les plus brefs délais de mesures de réduction de ce risque ». Par ailleurs, elle souligne qu’un rapport du groupe de travail de l’Institut de veille sanitaire de 2005 précise que l’alerte sanitaire peut émaner de deux sources :

  • « des indicateurs sanitaires collectés en routine et reflétant l’état de santé d’un individu ou d’une population, ou une exposition environnementale à un agent dangereux » ;
  • ou « un événement de toute nature et origine associé à une menace pour la santé publique ».

Obligation de secret professionnel

Les personnes appelées à mettre en œuvre le traitement des données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du code pénal (L. n° 78-17, 10 janv. 1978, art. 68 ).

L’Espace européen des données de santé

Alors qu’une proposition législative portant sur un futur Espace européen des données de santé a été annoncée par la Commission européenne, le Contrôleur européen de la protection des données a insisté sur les principes de protection des données à appliquer à compter de la phase d’élaboration (Projet Preliminary Opinion 8/2020 on the European Health Data Space, 17 nov. 2020).

Dans la pratique, cet Espace doit favoriser l’accès aux données de santé à des fins de prévention, de diagnostic et de traitement, de recherche et d’innovation ainsi que d’élaboration des politiques et de la législation.

L’année 2022 semble être charnière pour le développement de cet espace aussi nommé EHDS (European Health Data Space). Publiée en février 2022, la proposition de règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données doit permettre de fixer les règles de réutilisation des données applicables à cet espace et de favoriser les échanges de données entre les institutions publiques et les entreprises privées. Le chapitre V de la proposition met à la charge des entreprises une obligation de partager des données avec les institutions publiques en cas d’urgence, notamment d’urgence en santé publique (voir également considérant 57). Les données en question pourront comprendre des données personnelles et notamment des données de santé. Le considérant 7 indique, à cet égard, que la proposition de règlement ne cherche ni à réduire, ni à limiter le droit de la protection des données personnelles. Aussi, si un organisme demande l’accès à de telles données, il devra démontrer une nécessité à le faire (considérant 64) (Doc. COM (2022) 68 final, 23 févr. 2022).

Par ailleurs, en avril 2022, le Health Data Hub français ainsi que quinze autres partenaires ont indiqué avoir répondu à l’appel à projets publiés en 2021 par la Commission européenne pour la création d’une version test de l’Espace européen des données de santé. Les résultats de l’appel à projets devaient être connus à l’été 2022.

Enfin, le 3 mai 2022, la Commission européenne a indiqué lancer officiellement le premier « Espace européen des données de santé pour les personnes et pour la science » permettant à la fois au citoyen européen d’accéder directement et facilement à ses données de santé mais aussi aux chercheurs dans le cadre de recherches scientifiques (Communiqué de presse, Commission européenne, « Union européenne de la santé : Un espace européen des données de santé pour les personnes et pour la science », 3 mai 2022).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Autres sites à consulter
Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
738,18 € TTC/an
Revue de jurisprudence de droit des affaires
Questions fréquemment posées

Faut-il déclarer à la Cnil un traitement de données de santé ?

Non. En principe, les traitements de données de santé ne sont soumis à aucune formalité préalable. Par exception, certains traitements donnent lieu à l’accomplissement de formalités spécifiques (les traitements présentant une finalité d’intérêt public, les traitements automatisés ayant certaines finalités, ceux comportant le numéro d’inscription des personnes au répertoire d’identification des personnes physiques (NIR)).

Qui peut héberger des données de santé ?

Les données de santé, qui relèvent des données sensibles, ont fait l’objet d’une attention particulière de la part du législateur. La certification « Hébergement de Données de Santé » (HDS) est requise pour toute personne (physique ou morale) désireuse d’héberger des données de santé à caractère personnel, quelle que soit leur origine.

Les dernières actualités dans ce thème
Le Conseil adopte l’IA Act !
Droit des affaires
Protection des données personnelles (RGPD)
Le Conseil adopte l’IA Act !
23 mai 2024