Le respect du RGPD dans le secteur sanitaire

Il est important de préciser que les données de santé sont des données sensibles. Elles ont une importance majeur les données collectées sont soumises au secret médical et posent de véritables enjeux au niveau des assurances et des établissements financiers. Le règlement général impose des exigences strictes afin de protéger les citoyens sur les risques des traitements de données et d’assurer la mise en conformité de ces traitements.

Qu’entend-t-on par la gestion des données de santé ?

Ce sont les données à caractère personnel sur l’état de santé mental ou physique des personnes concernées. Nous faisons donc référence à toutes les données concernant un individu par rapport aux soins qu’il a reçu, les éventuels risques de maladie, ses caractéristiques physiques ou encore ses données génétiques. La sécurisation des données de ce type est importante et fait l’objet d’une attention particulière de l’Etat et la loi informatique. Afin de garantir la protection des données et leur traitement, il faut s’intéresser à la nature des dites données et à leur finalité. Utilisées à des fins médicales, on parle de données de santé.

L’interdiction de traitement des données de santé : Un principe de base

L’accès aux données de santé est très règlementé. La conservation des données de santé regroupe toutes les opérations portant sur les données d’une personne identifiée ou identifiable. Cela est interdit sauf quand la personne donne son accord ou que la finalité se veut d’être en conformité avec les exceptions établies dans le nouveau règlement européen.

  • Le consentement de la personne dans l’exercice des droits

Si la personne concernée par le traitement de données de santé donne son approbation, l’autorité de contrôle donne son accord pour le traitement. Pour que cela soit valable, il faut informer l’usager de la mise en conformité et de la finalité du traitement dépendamment de ce que disent les nouvelles obligations. Toutefois, les Etats membres peuvent mettre en place des règles plus strictes et un suivi régulier pour une meilleure protection de la vie privée.

  • Les exceptions à la demande d’approbation

Le traitement des données personnelles de santé est possible sans consentement si la finalité concerne la gestion des systèmes et services de santé ou la protection sociale ; la préservation d’une personne ne pouvant pas donner son approbation ; l’appréciation médicale ou encore la protection de la santé publique.

Les obligations de l’entreprise traitant des données de santé

Ce genre de collecte implique des obligations à la charge de la personne responsable du traitement et de tous les sous-traitants. Nous faisons référence à la nomination d’un délégué à la protection des données, la mise en place d’un registre des traitements ou encore une analyse d’impact des risques et d’une possible violation.

Le DPO assure un suivi régulier et systématique du traitement des données et va conseiller l’entreprise sur la mise aux norme de ses procédés de protection des données personnelles. Aussi, pour éviter d’être exposée aux amendes, l’entreprise doit mettre en place un registre vérifiable par la CNIL. Cela permettra de voir les finalités du traitement, la catégorie des personnes concernées et les coordonnées de l’entreprise. Seront ainsi indiqués, les délais prévus pour l’effacement des données et toute mesure relative à la protection.

Quid de l’analyse d’impact des risques ?

Le traitement des données de santé peut avoir une répercussion importante sur les droits et libertés fondamentaux des personnes. Pour démontrer sa conformité, des analyses d’impact sont à prévoir : le responsable du traitement doit faire une description des opérations de traitement et le but poursuivi ; une évaluation de l’intérêt si l’on se base sur les risques encourus en cas de vol ou de fuite de ces données ; et enfin, les mesures de protections établies pour faciliter la mise en conformité et pour réduire le risque des violations de données. Il est conseillé de  se renseigner ici pour en savoir plus.