Connectez-vous S'inscrire

Le magazine de l'innovation hospitalière
SIS

Données personnelles et consentement : que dit la loi ?


Rédigé par Rédaction le Lundi 13 Juin 2022 à 12:16 | Lu 1178 fois


Depuis que les technologies numériques se sont imposées comme la colonne vertébrale des établissements de soins, le recueil du consentement des patients afin d’autoriser le traitement informatique de leurs données personnelles de santé peut devenir un véritable casse-tête – et plus encore depuis l’entrée en application du RGPD, le règlement général pour la protection des données, qui exige que ce consentement soit « libre, spécifique, éclairé et univoque ». Décryptage.



©DR
©DR
En France, dès lors qu’il s’agit de données personnelles, le recueil du consentement de la personne était déjà inscrit dans la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Informatique et Libertés ». Le 1er juin 2019, celle-ci a fait l’objet d’une nouvelle rédaction, qui en simplifie la lecture et précise « les différents régimes applicables en fonction de la nature des traitements concernés », note la Commission nationale de l’Informatique et des Libertés (CNIL). Il faut dire qu’un an auparavant, le 25 mai 2018, le RGPD entrait en application.

Parmi les objectifs poursuivis par ce nouveau règlement européen sur la protection des données personnelles, le renforcement du droit des personnes figure en haut du podium. Comme le rappelle la CNIL, le RGPD impose en effet la mise à disposition d’une information « claire, intelligible et aisément accessible » aux personnes concernées par les traitements de données. Positionnant le consentement comme l’une des six bases légales* autorisant la mise en œuvre de traitements de données à caractère personnel, il indique que « les utilisateurs […] doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe ».

Quatre critères cumulatifs

Le RGPD précise en outre les modalités d’expression du consentement, qu’il définit comme étant « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou pas un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Les termes employés ici sont importants.

Ils représentent quatre critères cumulatifs, qui doivent être remplis pour que le consentement soit considéré comme ayant été véritablement recueilli. La CNIL apporte ici des clarifications utiles : (1) Un consentement « libre » ne doit être ni contraint ni influencé. La personne doit donc se voir offrir « un choix réel », sans avoir à subir de conséquences négatives en cas de refus ; (2) Un consentement « spécifique » doit correspondre à un seul traitement, pour une finalité déterminée. Si le traitement comporte plusieurs finalités, la personne doit pouvoir consentir librement et « indépendamment » pour l’une ou l’autre de ces finalités ; (3) Un consentement « éclairé » doit être accompagné d’un certain nombre d’informations communiquées en amont à la personne. Il complète mais est à différencier des obligations liées à la transparence, qui portent, elles, sur l’identité du responsable du traitement, les finalités poursuivies, les catégories de données collectées, ou encore l’existence d’un droit de retrait du consentement ; (4) Un consentement « univoque » doit être donné par une déclaration ou un acte positif clair, ne laissant aucune part d’ambigüité quant à son expression. Par exemple, « des cases pré-cochées », ou la demande d’un seul consentement pour plusieurs traitements distincts, ne permettent pas de considérer le recueil du consentement comme univoque.

Le RGPD a également assorti le consentement de plusieurs droits et garanties, parmi lesquels l’on trouve la notion de preuve : « le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides », relève la CNIL. Les conditions du recueil du consentement doivent donc être dûment documentées, et cette documentation doit permettre de démontrer le respect de chacun des quatre critères évoqués ci-dessous. Pour ce faire, il peut être utile de « tenir un registre des consentements », indique la Commission.
 

Quid des entrepôts de données ?

Ces exigences sont applicables à tout procédé de recueil de données personnelles. Les entrepôts de santé, habituellement constitués pour une longue durée – plus de dix ans – et visant à disposer de données massives alimentées par plusieurs sources, constituent toutefois un cas à part. Le principe prédominant a longtemps été celui du consentement explicite de la personne à la collecte, l’enregistrement et la conservation des données la concernant au sein d’un entrepôt, ou, par défaut, de l’obtention d’une autorisation « Santé » de la CNIL sous réserve que la finalité de l’entrepôt revête un caractère d’intérêt public. Ces deux mesures ont été assouplies en octobre 2021, avec l’adoption d’un référentiel relatif aux traitements de données à caractère personnel mises en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé.

Si l’entrepôt est constitué dans le cadre d’une mission de service public, pour l’usage exclusif du responsable du traitement et en vue de finalités spécifiques (réalisation d’études de faisabilité, fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge, production d’indicateurs et pilotage stratégique de l’activité, amélioration de la qualité de l’information médicale ou optimisation du codage PMSI), et sous réserve d’une conformité totale avec les exigences du référentiel, il n’est plus obligatoire de recueillir le consentement du patient ou d’obtenir l’autorisation de la CNIL. Mais l’information du patient demeure de mise.

Ainsi, les personnes concernées par la conservation de leurs données doivent « disposer d’une information individuelle complète, claire et lisible spécifiquement relative à la constitution de l’entrepôt », souligne la CNIL. Elles doivent également « être informées individuellement de chaque projet de recherche mené sur la base de l’entrepôt ». Le respect de ces mesures, qui peut être chronophage pour les établissements de santé, pousse la Commission à préconiser la mise en œuvre, « dès la constitution de l’entrepôt », de mesures permettant de garantir la protection des droits des personnes conformément au RGPD, soit une « protection des données par défaut », mais aussi à encourager les responsables de traitement à mettre en place « des dispositifs innovants permettant l’information des personnes et l’exercice de leurs droits ».

Article publié dans l'édition de mai 2022 d'Hospitalia à lire ici.

* Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des bases légales prévues par le RGPD, et mentionnées dans son article 6 : le consentement, le contrat, l’obligation légale, la mission d’intérêt public, l’intérêt légitime, la sauvegarde des intérêts vitaux.
 






Nouveau commentaire :
Facebook Twitter