Comment protéger les données de santé du patient ?


journée mondiale de la protection des données


Ce Jeudi 28 Janvier a lieu la journée mondiale de la protection des données. Dans un monde où la data est devenue très précieuse, la protection des données est au cœur des préoccupations peu importe le secteur d'activité. Le domaine médical n'y échappe donc pas, d'autant plus que les données de santé présentent une confidentialité relativement importante. Quelles données sont concernées ? Que dit la loi ? Comment protéger les données des patients ? Apprenez en plus dans cet article.


Les données médicales font l'objet d'une protection particulière et sont concernées par plusieurs textes en termes de législation (RGPD, Loi Informatiques et Libertés, Code de la Santé publique...). La protection des données de santé est effectuée de manière particulière, car ces données sont considérées comme étant sensible. Ainsi, les protéger revient à garantir le respect de la vie privée des patients.


Qu'est ce qu'une donnée de santé ?



Comme l'indique la CNIL (Commission Nationale de l'Informatique et des Libertés) sur son site web, les données de santé sont les données qui ont un lien avec la santé mentale ou physique d'un patient, quelque soit leur temporalité. Ces données révèlent donc des indications sur l'état de santé passé, actuel ou futur de la personne physique qu'elles concernent. Il est important de noter que les données relatives à la prestation de services de soin de santé font partie des données de santé.


Les données concernées sont alors, entre autres, les suivantes:

  • Toute information relative au patient : Lors d'un 1er rendez-vous, plusieurs données sont collectées afin d'inscrire le patient dans le processus de soin: son numéro de sécurité sociale, ou encore toute autre information permettant d'identifier ce dernier dans un but médical (numéro d'hospitalisation, numéro ou symbole facilitant son identification, etc.)
  • Toute information recueillie lors d'un examen ou d'un test: Lorsque le patient passe un test ou un examen d'une partie de son corps ou d'une substance (analyse de sang, d'urine, etc.), les informations recueillies sont des données de santé.
  • Toute information concernant l'état de santé du patient: Les informations relatives à un handicap, à une maladie ou à un risque de maladie, l'utilisation d'un traitement médicamenteux, les antécédents médicaux ou l'état de santé physiologique du patient, peu importe la source de ces informations (médecin généraliste, professionnel de santé, hôpital ou établissement de soin...).


Pour résumer, une donnée de santé est une donnée à partir de laquelle il est facilement possible de déduire une indication sur l'état de santé physique ou mentale du patient.



Les 3 catégories de données de santé:



Après avoir identifié les données de santé, il est également important de prendre en compte le fait qu'il existe 3 catégories de données de santé bien distinctes:

  • Les données qui sont considérées comme des données de santé de par leur nature: A savoir, les résultats d'un examen ou d'un test, les traitements prescrits, les prestations de soin effectuées, etc.
  • Les données qui, lorsqu'elles sont croisées à d'autres, deviennent des données de santé: Certaines données telles que le poids, la taille, ne sont pas considérées comme données de santé car elles ne permettent pas directement de tirer des conclusions sur l'état de santé d'un patient. En revanche, lorsqu'elles sont croisées à d'autre données, elles peuvent donner des indications sur la santé et ainsi devenir des données de santé (croisement d'une données de poids avec la mesure du cholestérol, croisement d'une mesure de tension avec le rythme cardiaque, etc.)
  • Les données qui deviennent des données de santé de par leur finalité: Les données utilisées sur le plan médical deviennent ainsi des données de santé.

Les données ne permettant pas d'obtenir des informations sur l'état de santé d'une personne ne sont alors pas considérées, aux yeux de la CNIL comme des données de santé. Ainsi, les données obtenues par une montre connectée ou une application mobile en dehors d'un contexte médical, peuvent ne pas être des données de santé. Tout dépendra de leur nature, ou du croisement de ces dernières avec d'autres données.




Que dit le RGPD à propos des données de santé ?



Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 Mai 2018 a pour objectif de faciliter l'accès et les droits des personnes sur leurs propres données personnelles. Il impose alors de nouvelles obligations aux entreprises, collectivités, ou autres entités qui stockent et traitent des données personnelles. On entend par "Traiter des données" un ensemble d'actions comprenant la collecte, le stockage, le transfert ou l'utilisation de ces données personnelles.


Pour les données médicales, l'application de ce cadre réglementaire s'appuie sur 2 points bien distincts:


  • L'information du patient: Lors du recueil des données, il est primordial d'annoncer au patient quel sera le traitement destiné à ses données, qu'elles soient enregistrées dans un logiciel ou dans un dossier papier. L'information doit être précise, courte, transparente, facile à comprendre et aisément accessible. Elle doit être vulgarisée pour être comprise par tous. La CNIL recommande l'utilisation de pictogrammes, le surlignage des mots-clés ou encore la mise en place de vidéos pour rendre l'information compréhensible. L'information doit être adaptée en fonction du patient, de sa pathologie, de la finalité de la collecte de ses données, de son âge, etc. afin d'être la plus transparente possible. La CNIL n'impose aucun support d'information, celle-ci peut se faire à l'oral, par écrit, par le biais d'une documentation, d'une affiche...
  • La sécurisation des données: Dans le cadre du RGPD, il est nécessaire d'assurer la protection des données de santé des patients. A ce titre, la protection des données contre des accès illicites ou non-autorisés, la destruction d'origine accidentelle, la perte, etc. doit être prévue grâce à la mise en place de mesure de sécurités adaptées telles qu'un mot de passe personnel, l'utilisation d'un système de chiffrement fiable, etc. De plus, si les données médicales sont hébergées via un hébergeur de données santé certifié, il est essentiel de vérifier le niveau de sécurité garanti par ce dernier en concluant un contrat avec le prestataire.



Quelques conseils pour protéger les données de santé des patients:


Comme évoqué précédemment, la protection des données de santé est primordiale, tant pour respecter le Règlement Général sur la Protection des Données que pour garantir le respect de la vie privée des patients.

Que vous soyez médecin généraliste, spécialiste, établissement de soin ou tout autre professionnel de santé, vous devez mettre en place des mesures de sécurisation des données de santé.

Si vous ne savez pas comment procéder pour protéger vos patients, voici quelques conseils facilement applicables qui, pratiqués au quotidien vous permettront d'apporter un niveau de sécurité supérieur pour vos données.

Pensez toutefois à vous référer aux documentations fournies par la CNIL pour respecter au maximum les exigences en termes de protection de données de santé.




Nos conseils pour apporter un niveau de protection supplémentaire à vos données de santé:



1- Réaliser une analyse d'impact : L'analyse d'impact permet de comprendre quel type de données peut représenter un impact pour les droits et libertés des patients.


2- Informer le patient de la finalité de ses données: Cela permet la transparence et le patient comprend pourquoi certaines informations lui sont demandées.


3- Limiter au maximum les informations collectées: Que ce soit dans le cadre de la prise de rendez-vous ou de consultations, veillez à ce que les informations recueillies soient nécessaire à la finalité du recueil. Moins vous aurez de données à traiter, plus la sécurisation sera simple.


4- Supprimer les informations ayant dépassé la durée de conservation préconisée: Pour chaque type de données, la CNIL recommande des durées de conservation . Une fois la durée dépassée, supprimez les données qui n'ont plus d'intérêt afin de limiter au maximum le stockage de données. Si vous souhaitez garder les données à des fins statistiques, vous pouvez néanmoins les anonymiser.


5- Vérifier le niveau de sécurité garanti par l'hébergeur de données de santé: Au cas où vous utilisez un hébergeur de données de santé certifié, vous devez vous assurer que le niveau de sécurisation des données qu'il vous garantit est adéquat. Après vérification, pensez à signer conjointement un contrat en relation avec la sécurisation des données.


6- Utiliser un service de messagerie sécurisée de santé dans le cadre d'échange avec d'autres professionnels de santé: Si vous utilisez une messagerie électronique classique, assurez-vous que cette dernière soit sécurisée et adaptée à votre utilisation professionnelle. Dans ce cas, il est également nécessaire de chiffrer les pièces jointes afin de garantir la confidentialité des échanges.


7- Sécuriser l'accès à vos appareils digitaux (smartphone, tablette, PC): La sécurisation des appareils digitaux par le biais de mots de passe ou autre chiffrement, garantie une mesure de protection de données supplémentaires. Dans le cas de présence de logiciel de dossier patient sur votre téléphone, assurez-vous que l'accès est bien sécurisé. Il est également recommandé de ne pas stocker d'informations de santé relatives ou patients sur le téléphone portable ou la tablette.



8- S'assurer que les recherches menées avec des tiers soient conformes à la réglementation: Dans le cadre d'une recherche menée de façon conjointe avec des tiers, vous devez vérifier qu'ils mettent également en place des mesures de sécurisation des données de santé.


Bien évidemment, ces conseils, lorsqu'ils sont appliqués seuls, ne servent pas à effectuer une sécurisation complète de vos données de santé. Ils doivent être appliqués en complément d'une démarche de sécurisation et de respect du RGPD complète. Cependant, ils vous permettent d'être guidé dans les petits gestes à effectuer au quotidien pour apporter un niveau de sécurité supplémentaire quant au traitement de vos données. Pour une démarche de sécurisation et de mise en conformité du RGPD complète, veuillez vous rendre sur le site de la CNIL, catégorie "Santé".