Les traitements de gestion des vigilances sanitaires peuvent être mis en oeuvre après une déclaration de conformité à la Cnil.
Ce régime est issu du référentiel de gestion des vigilances sanitaires élaboré par la Cnil pour encadrer leur traitement conformément aux principes du RGPD (délibération du 9 mai 2019) .
Contexte applicable aux référentiels publiés par le Cnil
Certains traitements de données de santé à caractère personnel visés à l’article 65 de la loi Informatique et libertés sont régis par des dispositions spécifiques.
Il s’agit notamment, sauf exceptions visées au même article, des traitements de données de santé à caractère personnel nécessaires :
- pour des motifs d’intérêt public important (RGPD, art. 9, 2) g) ;
- pour ces mêmes motifs dans le domaine de la santé (RGPD, art. 9, 2) i) ;
- à des fins de recherche scientifique ou historique ou à des fins statistiques (RGPD, art. 9, 2) j) ;
- aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable de traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale (RGPD, art. 9, 2) b).
Ces traitements ne peuvent être mis en œuvre que s’ils sont conformes à des référentiels. Le responsable du traitement doit adresser préalablement à la Cnil une déclaration attestant de cette conformité.
A défaut de se conformer à ces référentiels, ces traitements ne peuvent être mis en œuvre qu’après autorisation de la Cnil.
C’est donc dans ce cadre que s’inscrit le présent référentiel, accompagné de sa FAQ publiée par la Cnil.
Distinction avec les autres référentiels visés par la loi Informatique et libertés
Bien que la terminologie soit identique, la notion de référentiel, selon la loi de 78, apparaît polyforme et comprend :
- des référentiels visés à l’article 8 de la loi Informatique et libertés. Ils sont établis et publiés par la Cnil pour faciliter la mise en conformité des traitements de données à la loi. Ils permettent aux responsables de traitement et sous-traitants d’évaluer les éventuels risques ;
- des référentiels de certification de personnes, de produits, de systèmes de données et de procédures. Le but est de reconnaître leur conformité au RGPD et à la loi Informatique et libertés. Il existe aussi des référentiels d’agrément des organismes certificateurs (Loi IetL, art. 8) ;
- ceux comme le présent référentiel auquel il convient de se conformer en application du contexte susvisé.
Champ d’application du référentiel de gestion des vigilances sanitaires
Tout d’abord, ce référentiel concerne :
- les traitements de données de santé à caractère personnel liés à l’ensemble des vigilances sanitaires. Par exemple, pharmacovigilance, addictovigilance, biovigilance, cosmétovigilance, hémovigilance ; mais aussi toute autre vigilance figurant dans l’arrêté du 27 février 2017 qui nécessite une déclaration ou un signalement. Il peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables ;
- mis en œuvre par les acteurs suivants : fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit.
« Les professionnels et les systèmes ou services de soins de santé (établissement de santé, maisons de santé, centres de santé, agences sanitaires, etc.) ne sont pas concernés » par ce référentiel. En effet, ils ne sont pas concernés par les dispositions des articles 65 et suivants de la loi de 78 et ne requièrent, en principe, aucune formalité préalable (Cnil, FAQ, Le référentiel « vigilances sanitaires » en questions, 18 juillet 2019).
Traitements concernés par le référentiel de gestion des vigilances sanitaires
Ensuite, le référentiel énonce les finalités des traitements de gestion des vigilances sanitaires et leurs bases légales :
- le traitement est nécessaire au respect des obligations légales imposées par les dispositifs de vigilance sanitaire (RGPD, art. 6, 1) c)) ;
- le traitement est nécessaire pour des motifs d’intérêt public (RGPD, art. 9, 2) i)).
Les données personnelles concernées par le traitement, les destinataires et les durées de conservation des données sont aussi précisées.
Cela signifie que le responsable du traitement ne peut en bénéficier dans les hypothèses où :
- un traitement aux fins de vigilance sanitaire comporte d’autres données que celles listées,
- les données sont transmises à d’autres destinataires ou
- des durées de conservation non conformes au référentiel sont prévues,
En pareils cas, il ne peut donc les mettre en œuvre qu’après autorisation de la Cnil.
Information des personnes concernées
Les personnes concernées doivent être informées dès la collecte des données des modalités de leur traitement (RGPD, art. 13 et 14).
Il s’agit des :
- personnes exposées à l’événement sanitaire indésirable,
- personnes ayant notifié l’événement sanitaire indésirable et
- professionnels de santé ayant suivi la personne concernée par l’événement
Surtout, le référentiel relatif à la gestion des vigilances sanitaires précise :
- qu’en cas de notification de l’événement sanitaire indésirable par la personne qui y est exposée, une information particulière doit lui être fournie préalablement, afin de l’informer que le secret de son identité ne sera pas préservé ;
- que l’information doit également préciser la manière d’exercer les droits des personnes concernées.
Le support de l’information est libre et l’information peut être fournie par écrit ou à l’oral. Dans cette dernière hypothèse, la personne concernée peut obtenir la mise à disposition d’un support écrit.
Lorsque la notification de l’évènement est réalisée par une personne différente de celle exposée, l’information est fournie par le notificateur sur la base des éléments d’information écrits que lui a remis par le responsable de traitement.
A ce titre, il appartient au responsable du traitement de recueillir la preuve, le cas échéant auprès du notificateur, que l’information a été fournie.
Droits des personnes concernées
Au regard de la base juridique du traitement (respect d’une obligation légale), les personnes concernées ne disposent pas du droit :
- d’opposition,
- d’effacement des données,
- à la portabilité des données.
Ainsi, les personnes concernées disposent des droits suivants :
- droit d’accès aux données, dans les conditions de l’article 15 du RGPD ;
- droit de rectification des données, dans les conditions de l’article 16 du RGPD ;
- droit à la limitation du traitement, dans les conditions de l’article 18 du RGPD.
Sécurité et hébergement des données
Le référentiel relatif à la gestion des vigilances sanitaires prévoit une liste de mesures de sécurité à mettre en œuvre par le responsable du traitement.
A défaut, il doit être en mesure de justifier de mesures équivalentes ou du fait de ne pas avoir besoin ou de ne pas pouvoir y recourir.
Le responsable peut recourir à un prestataire extérieur pour le stockage et la conservation des données de santé. Ce dernier doit être agréé ou certifié hébergeur de données de santé.
Dans l’hypothèse où le responsable du traitement n’est pas établi en France, il doit démontrer que son prestataire présente des garanties de sécurité équivalentes.
A défaut, le responsable du traitement ne peut pas bénéficier du présent référentiel et le traitement doit donc faire l’objet d’une autorisation préalable de la Cnil.
Transfert de données hors de l’Union européenne
De même, seules certaines données peuvent faire l’objet d’un transfert hors de l’Union européenne. Il s’agit des données indirectement identifiantes des personnes exposées à un événement sanitaire indésirable ; ou encore des données indirectement identifiantes des personnes ayant notifié l’événement.
Ce transfert doit être strictement nécessaire à la mise en œuvre du dispositif de vigilance et être réalisé dans les conditions prévues aux articles 45 et suivants du RGPD.
Pour bénéficier des exceptions prévues à l’article 49 du RGPD (dérogations pour des situations particulières), le traitement ne doit être ni répétitif, ni massif, ni structuré.
Analyse d’impact
Enfin, pour bénéficier du référentiel relatif à la gestion des vigilances sanitaires, le responsable de traitement doit réaliser une analyse d’impact sur la vie privée.
La consultation de la Cnil s’impose si, à l’issue de l’analyse d’impact, il est difficile d’identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.
Marguerite Brac de la Perrière
Chloé Gaveau
Lexing Santé numérique