1. Accueil
  2. Le cadre légal

Le cadre légal

 

Télémédecine

La télémédecine est l’un des champs les plus encadrés de la e-santé. Après une première apparition de sa définition dans le loi HPST en 2009, le décret relatif aux actes et à son organisation est publié en 2010 et reste la référence : 

Depuis, de nombreuses expérimentations et études ont permis de démocratiser ses usages et de les étendre. La loi de Juillet 2019, reconnaît l’importance de la e-santé et ouvre le droit à chacun de bénéficier d’un espace numérique de santé : “Mon Espace Santé” verra le jour en janvier 2022 et comprendra un nouveau DMP à cet effet.

Les données personnelles 

Les données de santé

La CNIL définit les données de santé comme “Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.”

RGPD

Le Règlement Général sur la Protection des Données est applicable en France, et dans le reste de l’Europe, depuis Mai 2018. 

Il s’agit d’un ensemble de règles et de droits relatifs au recueil et aux traitements des données des personnes. 

Les grands principes du RGPD sont :

  • la licéité, la loyauté et la transparence. Il s’agit de recueillir et de traiter des données autorisées par des fondements juridiques. L’article 6 du RGPD reconnaît comme licite le traitement des données qui correspond à au moins une des 6 conditions définies dans son article 6 (consentement, nécessité pour la sauvegarde des intérêts ou l’exécution d’un contrat…). 

Dans le cadre de la loyauté, on entend que le traitement des données doit uniquement servir à ce qui a été énoncé à la personne concernée. La Transparence assure aux personnes concernées le droit d’obtenir des informations claires, notamment les coordonnées du responsable du traitement pour exercer ses droits. 

 

  • La limitation des finalités entends que les données recueillies et traitées doivent correspondre à une utilisation précise, prédéfinie et uniquement à ces fins spécifiques. 

 

  • La minimisation des données permet de mener une réflexion sur ce qui est strictement nécessaire “au regard des finalités pour lesquelles elles sont traitées”. Il s’agit donc de recueillir une quantité minimale de données.

 

  • Le principe d’exactitude s’attache à la qualité des données. Il s’agit de tenir ses données à jour, de les rectifier et de les supprimer si nécessaire en accord avec les droits des personnes concernées.

 

  • Le RGPD renforce les droits des personnes concernées par le traitement et en crée de nouveau : 
    • Le droit d’accès permet d’obtenir les informations personnelles concernant la personne,
    • Le droit de rectification, de modification ou de suppression des données lorsque ces dernières présentes des erreurs ou sont contraires aux principes énoncés précédemment. 
    • Le droit à la portabilité des données est créé par le RGPD, il permet de transférer des données personnelles à un concurrent. 

 

  • La limitation de conservation des données : il s’agit de déterminer un temps de conservation active et d’archivage des données afin d‘établir la suppression des données dont le traitement n’est plus utile.

 

  • Le responsable du traitement des données doit en assurer la sécurité, qu’il s’agisse de traitement non autorisé ou de perte de données (piratage) ou de destruction. Bien entendu, cela concerne également les sous-traitants. Le responsable de traitement doit informer dans les plus brefs délais la CNIL et les personnes concernées en cas de violation des données.

 

  • La responsabilité consiste à pouvoir prouver sa conformité, notamment grâce à la bonne tenue du registre de traitement des données et des études d’impact sur la vie privé. 

 

La réflexion sur la collecte et le traitement des données qui permet la mise en conformité avec le RGPD a également pour effet vertueux de réfléchir sur ses pratiques et de sensibiliser les acteurs en charge de la collecte et du traitement pour éclairer leurs pratiques. 

 

La 1ère action nécessaire est de réaliser l’inventaire des traitements de données réalisés par la structure. Ce travail va permettre d’alimenter le registre de traitements de données. Chaque traitement fait ensuite l’objet d’une fiche plus détaillée. Ce registre est simple à alimenter et à mettre à jour. La CNIL met à disposition un modèle de registre simplifié

 

Cette réflexion permet de passer à l’étape 2, et de faire le tri dans les données strictement nécessaires pour réaliser la finalité du traitement. Il permet de s’interroger sur la pertinence des données : ai-je besoin de la date de naissance ? ai-je besoin de l’adresse mail ? de l’adresse postale ? …

 

L’étape 3 consiste à mettre en œuvre les mesures qui permettent aux personnes concernées d’exercer leur droit. Cela passe par des process internes (comment effectue-t-on les mises à jours, le droit d’accès, les suppressions ? Comment assure-t-on les réponses aux demandes des personnes ? Comment recueille-t-on le consentement…). Cela passe notamment par la domination d’un DPO (Délégué à la protection des données).

 

La 4ème étape concerne la sécurité des données. Il peut s’agir des mesures organisationnelles, matérielles, du paramétrage des droits d’accès, des sécurisations logicielles,... 

Afin de mieux cartographier et prévenir les risques dans le cadre des traitements de données personnelles susceptibles d‘engendrer un risque élevé pour les droits et libertés des personnes concernées, il peut être utile de réaliser une analyse d’impact pour laquelle la CNIL a produit de nombreux outils. Vérifier dans la liste des opérations si votre traitement de données correspond à l’un des cas ou cette analyse est rendue obligatoire. 

 

Les documents de référence
Synthèse thématique : 
Esanté au service des seniors