Les formalités préalables relatives aux données de santé sont-elles simplifiées par le règlement européen ?
Le règlement européen sur la protection des données à caractère personnel (1), adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.
Protection des données, analyse d’impact et consultation préalable
L’article 35 du règlement européen met en place, dans l’optique d’une responsabilisation des responsables de traitement et des sous-traitants, une « analyse d’impact relative à la protection des données ».
Cette analyse doit être menée au préalable par le responsable de traitement pour tout type de traitement qui, « en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
L’autorité de contrôle, en France la Cnil, doit publier une liste de types d’opérations de traitement pour lesquels une analyse d’impact est requise et a la possibilité de publier une liste de types d’opérations de traitement pour lesquels aucune analyse d’impact n’est requise.
Les traitements opérés en application d’une obligation légale, en exécution d’une mission d’intérêt public, ou relevant de l’exercice de l’autorité publique, si la base juridique est issue du droit de l’Union ou d’un Etat membre, ne sont pas soumis à une analyse d’impact préalable.
L’article 36 du règlement européen impose une consultation préalable de l’autorité de contrôle par le responsable de traitement « lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».
Le règlement laisse la possibilité aux Etats membres d’exiger que le responsable de traitement consulte l’autorité de contrôle et obtienne son autorisation préalable en ce qui concerne le traitement effectué dans le cadre d’une mission d’intérêt public, y compris dans le cadre de la protection sociale ou de la santé publique.
Ainsi, le droit national pourra maintenir un régime d’autorisation en matière de santé.
Difficultés d’interprétation
La Cnil a lancé le 16 juin 2016 une première consultation (2) sur quatre thèmes inscrits au plan d’action 2016 du G29 (3), dont les « études d’impact sur la vie privée ».
Les diverses contributions doivent permettre d’alimenter le travail du G29, chargé d’établir des lignes directrices. Le 19 juillet 2016, la consultation fut close avec 225 contributeurs, 540 contributions, 994 votes (4).
En effet, ces exigences de réaliser une analyse d’impact ou une consultation préalable ont suscité et suscitent toujours de nombreuses interrogations de la part des responsables de traitement.
Que signifie « un risque élevé » ? Comment comprendre « traitements à grande échelle » ? Quels critères, quelle méthode appliquer pour réaliser l’analyse d’impact ? Est-ce que le caractère sensible des données (ex. données de santé) serait un critère déterminant pour décider de réaliser une analyse d’impact ? Une consultation préalable de l’autorité de contrôle serait-elle nécessaire ? Quels rôles jouent les différents acteurs dans cette analyse d’impact ?
L’établissement de listes répertoriant les types d’opérations de traitement nécessitant ou non une analyse d’impact facilitera sans doute la tâche des responsables de traitement, notamment pour les données de santé à caractère personnel.
Impact sur les formalités
En outre, au fil des ans, des formalités simplifiées ont été mises en place par la Cnil avec notamment des normes simplifiées, pour les pharmacies ou les opticiens, mais également des méthodologies de référence dans le cadre de recherche dans le domaine de la santé.
Une simple déclaration de conformité était nécessaire au responsable de traitement pour réaliser ces traitements. Avec le règlement, une analyse d’impact pourrait être sans doute nécessaire, ce qui représenterait une charge plus lourde.
Autant de questions, de précisions, d’interprétations, sur lesquels devra se pencher le G29 afin de permettre une application harmonisée du règlement en matière de santé.
Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique
(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Cnil, Consultation sur le règlement européen : aidez-nous à construire le mode d’emploi opérationnel, 16-6-2016.
(3) WP29, Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR), 2 February 2016 (anglais).
(4) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.