Scroll Top
RGPD, transparence et santé : qui et comment informer ?
Partager l'article



*




La récente décision de la CNIL prise à l’encontre de la société GOOGLE LLC est une illustration des difficultés que peuvent rencontrer les responsables de traitement dans la mise en œuvre de l’obligation d’information et de transparence qui s’impose à eux. La situation est encore plus complexe en matière de données de santé. Quelles sont les obligations ? Comment les mettre en pratique ? Cas concrets commentés : la vidéosurveillance et le dossier patient ou résident informatisé.

 

Quelles sont les obligations en terme de transparence des données collectées ?

 

Comme rappelé (voir notre article précédent : RGPD : Ne pas confondre transparence et invisibilité ), dans le prolongement de l’article 5 du RGPD qui précise que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente, l’article 12 dispose qu’il appartient au responsable du traitement, c’est-à-dire à la personne qui collecte les données, de prendre des mesures appropriées pour fournir aux personnes concernées une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

 

Les catégories d’informations à fournir à la personne dont les données sont collectées sont listées aux articles 13 et 14 du RGPD[ii] ce dernier rappelant que sauf exception l’information doit être donnée dans un délai raisonnable, a minima dès que les données sont « utilisées » et au maximum 1 mois après la collecte des données.

 

La collecte des données concernant la santé n’échappe pas à l’obligation de transparence. Plus encore, ces données appartiennent aux catégories particulières de l’article 9 pour lesquelles le traitement est par principe interdit (article 9, 1 du RGPD[iii]).

 

Pour d’évidentes raisons médicales et sous réserve du respect de l’article 9, 2 du RGPD, les professionnels de santé, les établissements publics ou privés de santé ou même les EHPAD sont autorisés à y procéder mais en respectant de strictes conditions. En outre, selon la finalité du traitement mis en œuvre, des obligations renforcées existent, par exemple en matière de recherches scientifiques.

 

Comment mettre en pratique l’obligation d’information et de transparence de la collecte des données ?

 

L’article 12 du RGPD n’impose aucune forme particulière de support d’information : affichage, document papier, clauses contractuelles, page web dédiée et même explications orales selon les cas, tout peut être envisagé.

 

Mais en cas de contrôle, il sera bien plus difficile de justifier de la mise en œuvre de l’accomplissement de l’obligation d’information lorsque la politique d’information des personnes n’a pas été clairement organisée et surtout en l’absence de formalisation des supports choisis.

 

En outre, comme a pu en faire l’expérience la société GOOGLE LLC, il ne suffit pas de « délivrer de l’information » pour être conforme, encore faut-il que celle-ci soit accessible et intelligible par le lecteur.

 

En pratique, comme le suggère la CNIL[iv], plusieurs supports et plusieurs niveaux d’information pourront être mis en œuvre pour permettre l’information des personnes. En revanche, deux écueils sont à éviter :

  • délivrer une information incomplète,
  • et inversement délivrer un message d’information trop complexe ou trop éparpillé rendant sa compréhension difficile.

 

 

Deux cas concrets de collecte de donnée : la vidéosurveillance et le dossier patient ou résident informatisé

 

La vidéosurveillance

 

De nombreux établissements recourent à un dispositif de vidéosurveillance en vue d’assurer la sécurité des biens et des personnes. Pour les établissements de santé ou par exemple pour les établissements d’hébergement pour personnes âgées dépendantes (EHPAD) accueillant des personnes affectées de troubles de l’orientation telle que la maladie d’Alzheimer, la vidéosurveillance revêt une importance particulière car il s’agit alors d’un dispositif essentiel pour optimiser les opérations de recherche en cas de fugue de patient.

 

Souvent discrète, la présence de ces dispositifs doit néanmoins être obligatoirement portée à la connaissance des personnes. Plusieurs supports peuvent être utilisés par les établissements à cet effet et surtout plusieurs niveaux d’information peuvent être mis en œuvre, à condition d’être adaptés au destinataire.

 

Un affichage explicite et immédiatement visible dans le hall d’accueil de l’établissement sera une mesure incontournable. Le contenu de cet affichage peut cependant être général, à condition de renvoyer à un document plus complet.

 

Sous réserve de l’existence de circonstances particulières nécessitant une adaptation plus fine, l’affichage pourra ainsi se limiter à comporter une mention explicite précisant :

  • la présence d’un dispositif de vidéosurveillance et son motif (la sécurité des personnes et des biens),
  • la durée de conservation des images et la précision selon laquelle en cas d’incident les images pourront être visionnées par le personnel autorisé et par les forces de l’ordre,
  • une indication quant à la possibilité d’exercer un droit d’accès aux images et d’obtenir des précisions quant au dispositif installé,
  • les modalités de contact du délégué à la protection des données,
  • l’existence et les modalités de consultation d’un document plus complet.

 

Les établissements devront ensuite disposer d’un document communicable et accessible au public comportant l’ensemble des informations obligatoires visées par les articles 13 et 14 du RGPD. Ce document pourra par exemple être un document écrit disponible à l’accueil de l’établissement dédié à ce dispositif précisément ou bien être un document plus largement dédié à la protection des données dans l’établissement par exemple une Charte de protection des données.

 

La présence du dispositif de vidéosurveillance devra être rappelé dans le livret d’accueil des patients ou des résidents, auquel pourra être utilement jointe la Charte de protection des données de l’établissement lorsque ce document existe.

 

La mise à disposition de cette Charte sur le site internet de l’établissement sera également un élément de démonstration de la conformité, sous réserve bien évidemment que ce document soit facilement accessible.

 

Enfin, il conviendra de prévoir une information spéciale à destination des professionnels appelés à intervenir dans l’établissement : mention expresse dans un livret d’accueil des salariés (sans oublier les stagiaires et les prestataires intérimaires), dans le contrat de travail ainsi que dans le règlement intérieur de l’établissement et le cas échéant doublée de la remise de la Charte de protection des données si les mentions demeurent succinctes.

 

 

Le dossier patient ou résident informatisé

 

La très grande majorité des établissements de santé et des établissements accueillant des personnes en situation de dépendance sont équipés d’outils informatiques de gestion des soins : le dossier patient informatisé (DPI) ou dossier résident informatisé.

 

Moins visible qu’une caméra, ce dispositif est pourtant beaucoup plus intrusif dans la collecte des informations relatives aux personnes car concernant essentiellement des données de santé.

 

Ici encore, les établissements de soins auront tout intérêt à prévoir un affichage général dans les lieux d’accueil du public (accueil général, services d’admission et de paiement, urgences), informant les personnes de la gestion informatisée des informations administratives mais surtout des données de santé les concernant.

 

Le contenu de cet affichage sera à étoffer et à adapter en fonction de l’activité et de la capacité d’accueil (nombre de lits) de l’établissement, notamment lorsque celui-ci accueille un très grand nombre de patients ou regroupent des activités de soins variées. Pour ces établissements, la formalisation d’une Charte de protection des données est incontournable et l’affichage complet de cette Charte ne sera pas excessif.

 

L’information des patients et des professionnels par le biais de livrets d’accueil auxquels serait jointe la Charte de protection des données et la mention du chemin d’accès à une page internet dédiée seront indispensables si les patients peuvent effectuer des démarches en ligne (prise de rendez-vous par exemple).

 

Au-delà des supports d’information destinés à l’information du public mais également des professionnels de santé appelés à accéder au dossier patient ou résident informatisé, la formalisation d’une Politique de sécurité des systèmes d’information(PSSI) précisant toutes les mesures et procédures prévues par l’établissement pour garantir la sécurité des données traitées telles que les règles d’accessibilité et authentification,  les plans de sauvegarde, de continuité et de reprise d’activité prévues pour palier toute situation d’indisponibilité des outils informatiques est une garantie supplémentaire dont ne peuvent se dispenser les établissements de santé.

 

 


 

 

[i] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1

 

[ii] Globalement, celles-ci concernent :

– l’identité et les coordonnées du responsable du traitement,

– le cas échéant, les coordonnées du délégué à la protection des données,

– les motifs de la collecte (finalités du traitement actuel et le cas échéant à venir) ainsi que sa base juridique et les conséquences éventuelles de la non-fourniture de ces données,

– les destinataires des données collectées,

– la durée de conservation des données,

– l’existence d’une prise de décision automatisée et ses conséquences,

– l’existence du droit de demander l’accès aux données, la rectification, l’effacement de celles-ci, une limitation ou même le refus de l’utilisation des données et la possibilité de disposer de ses propres données (portabilité),

– l’existence du droit d’introduire une réclamation auprès d’une autorité de contrôle.

 

[iii] Article 9 Traitement portant sur des catégories particulières de données à caractère personnel

« 1.   Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

  1. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie: (…) »

 

[iv] https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence