Professionnels de santé : Sécuriser et encadrer les données de santé

Pour la CNIL, cette fin d’année rime avec la protection des données de santé. Plusieurs communiqués ont été publiés afin de guider les professionnels de santé – OCAM, laboratoires et responsables d’entrepôts de données de santé, sur la manière dont ces données sensibles doivent être protégées et leur permettre que leurs traitements soient en conformité au RGPD.

Dans son communiqué publié le 14 novembre 2022, la CNIL est venue apporter des précisions sur la manière dont les organismes d’assurance maladie complémentaire (appelés OCAM), peuvent collecter des données de santé. Suite à de nombreuses plaintes (plus d’une centaine) reçues depuis 2020 à l’encontre d’une cinquantaine d’OCAM, la CNIL a été amenée à se pencher sur la possibilité pour ces derniers de collecter et traiter les données de santé transmises par les professionnels de santé pour le suivi des patients et le remboursement des dépenses de santé.

La CNIL considère que ces données (codes, ordonnances, prescriptions, …) sont des données de santé protégées par le RGDP et le secret médical. Toutefois, elle constate que le cadre juridique n’est pas suffisamment clair et que les textes applicables aux OCAM sont lacunaires compte tenu de la sensibilité des données collectées. La CNIL a donc adressé un courrier aux OCAM et au ministre de la Santé et de la prévention afin de leur faire part de son analyse et de son souhait qu’une loi soit adoptée afin de sécuriser et d’encadrer la transmission des données.

Les textes devraient en effet davantage encadrer la possibilité pour les OCAM d’utiliser les données de santé pour procéder au remboursement des assurés. De même concernant la dérogation au secret médical dans le cadre de la transmission des informations transmises par les professionnels de santé aux OCAM : cette dérogation est pour le moment implicite. Un cadre légal plus formel s’impose pour protéger les données des assurés.

La CNIL a publié le 28 septembre dernier une « check-list » de conformité au référentiel relatif aux traitements de données mis en œuvre à des fins de création d’entrepôts de données de santé paru en octobre 2021.

Cette « check-list » a pour objectif d’aider les acteurs concernés à évaluer leur conformité à ce référentiel dans la mise en place d’un entrepôt de données dans le domaine de la santé. Pour ce faire, il suffit de répondre vrai ou faux aux différents critères énoncés dans la « check-list ». Toute réponse négative à l’un de ces critères avertira le responsable de traitement que le traitement qu’il souhaite mettre en œuvre n’est pas conforme au référentiel.

Deux cas de figurent peuvent alors se présenter :

• Si l’on répond « vrai » à l’ensemble des critères, le traitement peut être mis en œuvre étant donné que celui-ci sera conforme au référentiel. Aucune autorisation spécifique à la CNIL ne devra être effectuée pour constituer un entrepôt de données dans le domaine de la santé.
• Si l’on répond « faux » à certains critères, la mise en œuvre du traitement nécessitera une autorisation spécifique préalable à la CNIL. Cette « check-list » peut également servir de base afin de déterminer un plan d’actions pour mettre en conformité au référentiel le traitement envisagé. La liste justifiant les écarts entre le traitement et le référentiel peut être jointe à la demande d’autorisation à la CNIL afin de constituer l’entrepôt.

Dans la même optique, la CNIL a publié le 16 novembre dernier deux nouveaux référentiels afin de simplifier les procédures d’accès précoce et d’accès compassionnel, ainsi que facilité l’analyse de conformité des laboratoires pharmaceutiques dans la mise en œuvre de leurs traitements.

L’objectif de ces référentiels est avant tout de guider les professionnels dans leur démarche de conformité mais également de leur permettre de mettre en œuvre les traitements concernés sans avoir besoin d’une autorisation de la CNIL (sous réserve d’avoir produit une déclaration de conformité). Ces référentiels peuvent également constituer une aide dans la réalisation d’une analyse d’impact, lorsque celle-ci est nécessaire.

Si le traitement n’est pas conforme aux dispositions du référentiel, le laboratoire devra adresser une demande d’autorisation à la CNIL pour mettre en œuvre ledit traitement, en justifiant, de préférence, dans un document joint l’écart entre le traitement et le référentiel.

Pour plus d’information sur ces différentes thématiques, n’hésitez pas à nous contacter afin que l’on vous conseille et vous accompagne dans la mise en conformité de vos traitements de données de santé.