La Cnil a publié un référentiel destiné à la gestion des cabinets médicaux et paramédicaux ; l’occasion de rappeler le cadre applicable à la réalisation des analyses d’impact sur la protection des données dans le secteur de la santé.
L’obligation de réaliser une analyse d’impact
Le RGPD prévoit la réalisation d’analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.
Par conséquent, des traitements particulièrement sensibles sont susceptibles de mettre en œuvre les acteurs du domaine de la santé. L’obligation de réaliser une telle analyse concerne donc directement plusieurs de ces traitements.
L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact s’impose dans le cas d’un traitement à grande échelle de catégories particulières de données.
Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD suivants :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
Ces principes sont eux-mêmes repris dans les publications de la Cnil.
Liste des traitements soumis à une analyse d’impact dans le secteur de la santé
La Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise ainsi qu’une liste des traitements pour lesquels une analyse d’impact n’est pas requise.
Il en ressort donc que :
- sont soumis à la réalisation d’une analyse d’impact les traitements :
- de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes : DPI, dispositifs de télémédecine, dispositifs de prise de décision médicale, etc. ;
- portant sur des données génétiques de patients : recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques, gestion de la consultation en génétique dans un établissement de santé ;
- de données de santé nécessaires à la constitution d’un entrepôt de données personnelles ou d’un registre ;
- ne sont pas soumis à la réalisation d’une analyse d’impact :
- les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet, d’une officine de pharmacie ou d’un laboratoire de biologie médicale : gestion des rendez-vous, des dossiers médicaux, édition des ordonnances, suivi des patients, établissements et télétransmission des feuilles de soins, communication entre professionnels, comptabilité, etc.
Par ailleurs, dans son référentiel destiné à la gestion des cabinets médicaux et paramédicaux, la Cnil précise que :
- « la réalisation d’une AIPD et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients ».
Les outils mis à disposition par la Cnil
La Cnil met aussi à disposition plusieurs outils participant à la réalisation d’une analyse d’impact sur la protection des données :
- les guides AIPD publiés par la Cnil ;
- le logiciel open source PIA disponible sur le site internet de la Cnil.
Les spécificités de l’analyse d’impact dans le secteur de la santé
L’analyse d’impact sur la protection des données comprend au minimum (1) :
- une description systématique des opérations de traitement envisagées et les finalités du traitement :
- les différents acteurs participant au traitement : responsables conjoints, sous-traitants et sous-traitants ultérieurs du responsable de traitement ;
- les catégories de données personnelles objet du traitement, leur cycle de vie et les supports associés.
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, en particulier :
- l’identification des fondements juridiques du traitement ainsi que les exceptions au principe d’interdiction de traiter les données ;
- la démonstration du respect des principes fondamentaux relatifs au traitement des données (2) ;
- la preuve du respect des droits des personnes concernées.
- une évaluation des risques sur les droits et libertés des personnes concernées en termes de vraisemblance et de gravité :
- il convient donc d’identifier les menaces, leurs sources ainsi que leurs impacts sur les personnes concernées ; s’agissant notamment de l’accès illégitime à des données, la modification non désirée de ces données ou la disparition des données ;
- dans le secteur de la santé, si la vraisemblance des risques peut être limitée par des mesures de sécurité robustes, il est difficile de contrôler et de minimiser la gravité de leur impact : atteinte à la vie privée et au secret médical résultant d’un accès illégitime, retard concernant la prise en charge médicale résultant de la perte des données, erreur dans la prise résultant d’une modification indésirée. Ces atteintes sont d’autant plus graves que l’impact sera difficilement réparable.
Mais surtout, elle comprend les mesures envisagées pour faire face aux risques ; en ce compris les garanties, mesures et mécanismes de sécurité permettant d’assurer la protection des données et d’apporter la preuve du respect du règlement.
Il convient donc de s’assurer que les mesures de sécurité mises en œuvre correspondent à l’état de l’art du secteur ; par exemple, l’hébergement certifié (3), le respect des PGSSI-S (4) et de la doctrine du numérique en santé.
Eric Le Quellenec
Lexing Informatique Conseil
Chloé Gaveau
Lexing Santé numérique
(1) conformément à l’article 35 du RGPD.
(2) Principes issus de l’article 5 du RGPD, en particulier s’agissant de la minimisation des données, leur exactitude ainsi que leur durée de conservation.
(3) Conformément à l’article L. 1111-8 du Code de la santé publique.
(4) Référentiels de sécurité des systèmes d’information de santé publiés par l’Agence du Numérique en Santé visés à l’article L. 1110-4-1 du Code de la santé publique.