Ce dossier technique, paru dans sa première édition en février 2020, a été enrichi et complété en septembre 2024 par le groupe de travail Protection des données du Clusif. Cette nouvelle version du document a bénéficié de la relecture de l’AFCDP.
Ce document est une déclinaison sectorielle de la série de fiches thématiques (FAQ, pour Foire aux questions) mise à disposition du Clusif et visant à expliciter les grandes notions du règlement européen d’une part et à apporter des réponses concrètes dans le traitement des données à caractère personnel relatives à la santé d’autre part.
La donnée de santé ne dispose pas en effet d’un régime juridique propre et se voit appliquer plusieurs réglementations sectorielles en complément du RGPD et de la Loi Informatique et Libertés (notamment, le Code de la santé publique, le Code de la Sécurité sociale…). Elle emprunte à différentes législations. De nombreux textes ont introduit des dispositions juridiques (Code de la santé publique, Code de la Sécurité sociale, référentiel de sécurité, politique générale de sécurité des systèmes d’information…) sur le recueil et l’utilisation des données de santé, rendant complexes la compréhension du régime juridique applicable et donc le traitement de ces données.
Sous forme de fiches pratiques, il contient les premiers éléments de réponse sur une thématique définie afin de permettre d’identifier les principales questions juridiques liées au traitement des données de santé et d’acquérir ainsi les bons réflexes en matière de gestion des exigences légales et réglementaires.
Il a pour ambition de fournir les clés de lecture du cadre juridique applicable dans ce domaine en matière de sécurité de l’information et de délivrer les points de vigilance afférents.
Cette actualisation concerne en particulier les chapitres suivants :
Chapitre 2 sur le traitement des données de santé
- Mise à jour et enrichissement des différentes parties (notamment celle sur la communication des données de santé) ;
- Mise à jour de la partie relative au transfert des données de santé en dehors de l’Union européenne avec le nouveau cadre juridique mis en place ;
- Ajout d’une nouvelle partie sur l’Espace européen des données de santé (EEDS) ;
- Ajout de nouvelles parties sur l’entrepôt de données et le contrôle de la CNIL ;
Ce chapitre a fait l’objet d’une relecture par le service santé de la CNIL.
Chapitre 4 sur les recherches dans le domaine de la santé
- Ajout des nouvelles méthodologies de référence (MR) publiées par la CNIL en 2023 ;
Chapitre 5 sur le Système national des données de santé
- Actualisation de la partie relative au dossier médical partagé (DMP).
- Nouvelle rédaction et ajout d’une nouvelle partie consacrée à l’hébergement des données de la plateforme et les recours juridiques associés ;
Chapitre 8 sur les échanges informatisés de données de santé
- Ajout d’un nouveau chapitre sur l’espace numérique de santé (ENS ou Mon espace santé) ;
Ce document est une déclinaison sectorielle de la série de fiches thématiques (FAQ) mise à disposition du Clusif visant à expliciter les grandes notions du règlement européen et à apporter des réponses concrètes dans le traitement des données à caractère personnel. Il ne prétend pas à l’exhaustivité et ne dispense pas de recourir à un conseil juridique spécialisé, qu’il soit interne ou externe à l’organisme.
Ce dossier sur le traitement des données de santé publié par le Clusif est à télécharger ici