Ce document mis à jour en novembre 2021 s’adresse à tout organisme, privé ou public, amené à recueillir et exploiter des données de santé dans le cadre de leur activité, à des fins médicales ou de recherche scientifique.
En effet, les données relatives à la santé sont considérées par le règlement européen (RGPD, Art. 9) et la loi Informatique et Libertés (LIL, Art. 6) comme une catégorie de données sensibles (ou catégorie particulière de données, selon la définition du règlement) dont la collecte et le traitement sont par principe interdits, de nombreuses exceptions étant par ailleurs prévues (LIL, Art. 44).
Outre le règlement européen et la loi Informatique et Libertés précités, de nombreux textes ont également introduit des dispositions juridiques (code de la santé publique, code de la sécurité sociale, référentiel de sécurité, politique générale de sécurité des systèmes d’information…) sur le recueil et l’utilisation des données de santé, rendant complexes la compréhension du régime juridique applicable et donc le traitement de ces données.
Pour ces raisons, le présent document a pour objectif de permettre à toute personne amenée à traiter des données de santé d’appréhender, de manière pragmatique et accessible, la multiplicité et les spécificités des exigences légales et réglementaires applicables dans ce domaine.
Il a pour ambition de fournir les clefs de lecture du cadre juridique applicable dans ce domaine en matière de sécurité de l’information et de délivrer les points de vigilance afférents. Mais ce document ne prétend pas à l’exhaustivité et ne dispense pas de recourir à un conseil juridique spécialisé, qu’il soit interne ou externe à l’organisme.
Ce document est une déclinaison sectorielle de la série de fiches thématiques (FAQ) mise à disposition du Clusif visant à expliciter les grandes notions du règlement européen et à apporter des réponses concrètes dans le traitement des données à caractère personnel.