RGPD et traitement de données personnelles : les notions clés à retenir
Depuis le 25 mai 2018, le traitement des données personnelles de santé est soumis au RGPD. Maître Barbey nous explique les notions nouvelles définies par ce texte. Elle décrira, dans un second volet, les obligations induites pour les fabricants de DM.
Par Astrid Barbey, avocat en droit de la santé
De façon générale, on peut affirmer que le Règlement européen sur la protection des données (RGPD) responsabilise les personnes en charge des traitements dans leur gestion des données personnelles. Dans le domaine de la santé, ce Règlement définit deux nouvelles notions : les données génétiques et les données biométriques. Il précise également la notion de données de santé qui, jusqu’alors, n’avait pas été définie par les textes.
Une notion ancienne redéfinie : les "données concernant la santé"
Auparavant, la notion de données de santé n’avait pas été expressément définie par les textes européens. La Cour de justice des communautés européennes avait comblé ce vide et opté dans sa décision Lindqvist (CJCE, 6 novembre 2003, Bodil Lindqvist, affaire C-101/01) pour une définition large des données relatives à la santé. Elle avait considéré que constituait une donnée à caractère personnel relative à la santé, l’indication de la blessure au pied d’une personne et de son congé maladie. En France, le Conseil d’État avait statué que la mention permettant d’identifier immédiatement la nature de l’affection ou du handicap propre à une personne constituait une donnée personnelle relative à la santé (CE, 19 juillet 2010, n°317182).
Le rôle accru du sous-traitant
Une autre évolution importante apportée par le RGPD est la responsabilisation nouvelle du sous-traitant, qui traite des données personnelles pour le compte du responsable de traitement, et qui se voit dorénavant appliqué des obligations jusque-là limitées au responsable de traitement.
La possibilité d’avoir des co-responsables de traitement est également retenue par le RGPD, afin de refléter la réalité des interactions de différents protagonistes générant des bases de données personnelles dans le domaine de la santé.
L'un des apports majeurs du règlement est de définir la notion clé de "données concernant la santé". Ce sont celles « relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (art. 4.15). Cette définition doit être examinée à l’aune du préambule du règlement (considérant 35) qui est encore plus exhaustif puisqu’il inclut :
- « les informations collectées lors de l'inscription [d’une] personne physique en vue de bénéficier de services de soins de santé » ;
- « un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé » ;
- « des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques » ;
- « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical (…), indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro ».
Il convient de noter néanmoins que les précisions apportées par le considérant 35 donnent une orientation mais n’ont pas valeur de définition.
Cependant, on retiendra cette approche très large de la donnée concernant la santé.
Nouveau : les notions de données biométriques et génétiques
Le règlement élargit le champ des données dites sensibles, qui méritent une attention encore plus stricte, afin de prendre en compte pour la première fois les données génétiques et les données biométriques.
Les données génétiques sont définies comme « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’échantillon biologique » (art. 4.13).
Le considérant 34 du RGPD précise que les données génétiques résultent notamment d’une analyse d'un échantillon biologique portant sur les chromosomes, l’ADN ou l'ARN.
De leur côté, les données biométriques « résultent d’un traitement technique spécifique et sont relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (art. 4.14).
Si l’idée du règlement est de restreindre les formalités pour la mise en œuvre des traitements de données, le texte européen a laissé aux états membres des « marges de manœuvre » notamment pour les données du domaine de la santé et pour l’utilisation du « numéro d'identification national », plus connu en France sous le nom de numéro de Sécurité Sociale.
Le projet de loi relatif à la protection des données personnelles qui transpose le RGPD en droit français a été adopté le 14 mai dernier mais la loi n'est pas encore définitive et promulguée au jour de la rédaction de cet article.
Dans un second volet, nous aurons une approche plus pratique, en abordant les obligations à la charge des intervenants précités en matière de recueil du consentement.
Données de santé et consentement du patient : le RGPD en pratique