Le saviez-vous ?
Depuis mai 2018, le règlement général de protection des données (RGPD) encadre le traitement des donnes à caractère personnel sur tout le territoire de l’Union européenne.
Mais alors …. Qui est concerné ?
Réponse : Tout le monde ! Le RGPD s’applique à « toute organisation, publique et privée, quels que soient sa taille » à partir du moment qu’elle traite des données à caractère personnel et qu’elle soit établie sur le territoire de l’Union européenne ou qu’elle traite des données de résidents européens.
Mais alors… Qu’est-ce qu’une donnée à caractère personnel ?
Réponse : C ! Effectivement, on appelle donnée à caractère personnel « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ». Il s’agit par exemple : du nom, du prénom, d’une adresse postale mais aussi d’une adresse IP, du numéro de sécurité sociale ou encore d’un identifiant patient.
Et les données de santé dans tout ça ?
Réponse : D ! Les données de santé regroupent l’ensemble des données relatives à un individu concernant sa « santé mentale ou physique, passé, présente ou future » et qui « révèlent des informations sur son état de santé »
En pratique il s’agit par exemple :
- D’une information sur le handicap
- De l’information sur un taux d’invalidité s’il révèle que la personne est atteinte d’un handicap
- L’information sur la prise en charge dans une structure de soins (ex. : admission dans un établissement ou service hospitalier spécialisé)
- Le codage CCAM (classification commune des actes médicaux) si cela conduit à délivrer une information sur l’état de santé ou sur une prise en charge en lien avec une pathologie particulière
- L’aptitude à l’exercice d’une activité sportive peut être une donnée de santé si elle est croisée avec d’autres données comme les circonstances de délivrance du certificat
En revanche, l’inaptitude à l’exercice d’une activité sportive est par nature une donnée de santé
Les données de santé sont qualifiées de « données sensibles » et à ce titre des législations particulières s’appliquent. Par exemple, et de façon non exhaustive :
- La loi Informatique et Libertés (art. 8 et chapitre IX)
- Les dispositions sur le secret professionnel (art. L1110-4 du Code de la santé publique)
- Les dispositions relatives à l’hébergement de données de santé (art. L1111-8 et R.1111-8 et s. du Code de la santé publique)
Pour plus d’information sur le traitement de données de santé, la Commission nationale de l’information et des libertés (CNIL) a publié plusieurs référentiels :