C’est désormais un système sans précédent qui a été créé, sur le plan européen, par le règlement UE 2016/679 et la directive UE 2016/680 du Parlement européen et du Conseil en date du 27 avril 2016.
Ces textes, qui ont bâti un nouvel environnement juridique favorisant l’évaluation préalable des risques inhérents à de nombreux traitements numériques, ont pour effet de renverser complètement les logiques antérieures puisqu’ils invitent les responsables de ces traitements aux mises en conformité nécessaires et réduisent les dispositifs de déclaration et d’autorisation préalables, inadaptés à la généralisation et la banalisation des usages numériques.
Le champ des données à traiter ne comporte en effet plus que de rares prohibitions absolues et invite à raisonner en termes de risque d’atteinte aux libertés et aux droits fondamentaux.
Le DPO, pivot du respect des données
Ce n’est d’ailleurs plus le législateur qui définit a priori la charge de cette analyse en imposant des contrôles progressivement durcis. Cette mission incombe désormais aux responsables du traitement qui devront mener une analyse critique réalisée par un délégué à la protection des données (DPO), interne à l’organisation mais indépendant, lequel, en devant faire respecter le règlement, la directive et les textes pris pour leur application, est désormais le pivot de leur respect.
Chaque établissement de santé (ou chaque groupement hospitalier de territoire, dans le cas des établissements publics de santé) doit, au 25 mai 2018, disposer de l’expertise d’un DPO, dont le rôle consistera à piloter la préparation et la conformité de l’établissement au RGPD, et ce pour l’ensemble des traitements de données à caractère personnel (gestion médico-administrative du patient, recherche médicale, plate-forme de télémédecine, entrepôt de données, etc.). Sa désignation doit faire l’objet d’une attention toute particulière puisque le niveau d’expertise du DPO doit être proportionné, notamment, à la sensibilité des données traitées par l’organisme.
Il conviendra d’identifier la personne disposant des connaissances et des compétences nécessaires pour exercer cette fonction : connaissance de la législation en matière de protection des données personnelles, de la sécurité des SI et de la réglementation sectorielle. Pour asseoir sa légitimité et sa crédibilité, le DPO devra impérativement manifester une bonne connaissance de l’établissement (ou du groupement) et du secteur dès lors qu’il doit être en capacité d’interagir avec l’ensemble des métiers (professionnels de santé, informaticiens, directeurs, etc.) concernant les multiples projets impliquant des données de santé.
Il peut être mutualisé ou externalisé, avec les avantages et les inconvénients qui en découlent.
Il doit être associé, d’une manière appropriée et en amont, à tous les projets impliquant le traitement de données de santé (ou non) à caractère personnel de son employeur, lequel veillera à mettre à sa disposition des moyens matériels et organisationnels, des ressources et un positionnement au sein de l’organigramme lui permettant d’assurer ses missions.
À la recherche de la conformité
Dans le prolongement de ce complet renversement des logiques antérieures, les établissements devront être en mesure de démontrer, à tout moment, la conformité aux exigences du RGPD. Ils devront tracer toutes les démarches entreprises et conserver tous les documents supports attestant de cette conformité. Cette documentation nécessite notamment la tenue d’un registre recensant les traitements mis en oeuvre par l’organisme. La documentation devra en outre comporter les analyses d’impact menées, les procédures d’encadrement de l’information des personnes (patients, salariés, etc.) ainsi que les contrats qui définissent les rôles et les responsabilités des acteurs qui traitent des données (sous-traitants, responsables conjoints). Chaque établissement doit pouvoir initier, au plus tôt, cette démarche de documentation de ses traitements (cartographie de l’ensemble des traitements, identification des points de difficulté potentiels, priorisation des actions à mener, etc).
Il s’agit d’un travail d’équipe dès lors que, dans le cadre des GHT, établissements parties au GHT et établissement support pourront être, selon les cas, responsables conjoints des traitements. Ils devront alors définir et formaliser ensemble leurs obligations respectives pour assurer la conformité au RGPD, en particulier en ce qui concerne l’exercice des droits des patients visés par un traitement.
De l’analyse du risque
Le RGPD impose la réalisation d’une analyse d’impact pour tout traitement susceptible d’engendrer « un risque élevé » pour les droits et les libertés des personnes. Comment, en pratique, identifier l’existence d’un tel risque ?
Pour répondre à cette question, le DPO devra examiner, en étroite collaboration avec les équipes hospitalières impliquées dans la création et/ou la mise en oeuvre d’un traitement, les critères suivants :
- Le traitement comporte-t-il une évaluation ?
- Y a-t-il une décision automatique avec effet légal ?
- Une surveillance systématique est-elle mise en place (exemple : géolocalisation) ?
- Le traitement contient-il des données sensibles ? l Est-ce un traitement à grande échelle ?
- Y a-t-il un croisement de données ?
- Le traitement concerne-t-il des personnes vulnérables (exemple : patients, personnes âgées, etc.) ? l Le traitement correspond-il à un usage innovant ou à une utilisation technologique nouvelle ?
- Le traitement empêche-t-il la personne concernée d’exercer un droit ou de bénéficier de l’accès à un service ?
Dès lors que le traitement de données de santé est concerné par au moins deux de ces critères, le DPO devra s’assurer de la réalisation d’une analyse d’impact. Autant dire que, en pratique, un traitement de données de santé sera nécessairement concerné par au moins deux des critères mentionnés… La réalisation d’une analyse d’impact sera donc une condition préalable incontournable. Aussi, au regard de la multitude de traitements comportant des données de santé, de nombreuses études d’impact vont devoir être menées, sauf à considérer que certains traitements sont inscrits sur la liste des catégories de traitements pour lesquelles la Cnil estime qu’il n’est pas utile de procéder à une telle analyse (cf. l’article 35 du RGPD). Cela étant, les traitements mis en oeuvre avant l’entrée en vigueur du RGPD n’ont pas à faire immédiatement l’objet d’une analyse d’impact s’ils ont déjà été déclarés auprès de la Cnil ou sont inscrits dans le registre du correspondant Informatique et Libertés.
Des contraintes aux opportunités
Même si a priori cela n’apparaît pas avec la force de l’évidence, cette vaste réforme correspondra pour les établissements à une véritable opportunité d’assainissement et de simplification dès lors que les obligations déclaratives à réaliser pour certains traitements (ex : PMSI, télémédecine, logiciels de gestion médicaux administratifs, etc.) seront supprimées. En revanche, certains traitements de santé, compte tenu du caractère particulièrement sensible des données (ex : recherche) et de la finalité poursuivie, continueront à relever du régime d’autorisation. À cet égard, le projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 (Informatique et Libertés) conserve un régime d’autorisation préalable pour les traitements mis en oeuvre qui porte sur trois types de données : pour le compte de l’État, les données biométriques et génétiques et, pour le compte de personnes publiques ou privées, les données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR).
De façon plus générale, il s’agit désormais de construire des traitements de données de santé plus respectueux de la vie privée, dès la conception du traitement, et surtout d’être en mesure de le démontrer à tout moment. Ainsi, en passant d’une logique de formalité préalable à une logique de responsabilisation des organismes, c’est toute la politique de protection des données de santé et la gouvernance en résultant qui devront être repensées dans leur ensemble par les dirigeants hospitaliers.
Le contexte de regroupement et de concentration des établissements de santé publics et privés représente un atout majeur, celui de pouvoir mutualiser les ressources, les connaissances et les compétences expertes exigées par la mise en conformité au RGPD.
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris