Protection des données de santé
Êtes-vous en règle ?
Depuis le 25 mai 2018, le règlement général sur la protection des données personnelles (1) remplace l’ensemble des règles européennes (2) et nationales (3) qui existaient en la matière au sein de l’UE. Les JIB 2019 seront l’occasion de revenir sur les enjeux du « RGPD » et de présenter aux retardataires les étapes clés pour s’y conformer.
Le sigle a fait flores en 2018. Pour rappel, le RGPD renforce les obligations pour les structures publiques et privées amenées à collecter et traiter des données à caractère personnel. Cela inclut, de fait, les laboratoires de biologie médicale et les établissements de santé, qui gèrent, dans le cadre de leurs activités, de nombreuses données personnelles concernant leurs patients, leurs personnels et leurs prestataires : éléments d’identification, informations relatives à la vie personnelle, données de santé, etc.
Des sanctions de taille
« Les conséquences en cas de non-respect sont lourdes », rappelle Bruno Gauthier (SELAS BIO86 à Poitiers), trésorier de la Société française d’informatique de laboratoire (Sfil). En effet, désormais, pour certains manquements, les structures contrevenantes s’exposent à des amendes pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires consolidé annuel du groupe auquel elles appartiennent. « Jusqu’ici, en France, la Commission nationale de l’informatique et des libertés (Cnil) était plutôt dans un rôle d’accompagnement, poursuit le biologiste médical, qui animera un atelier sur ce sujet lors des prochaines JIB (4). Désormais, alors que le règlement est en vigueur depuis près d’un an, elle sera plutôt dans un rôle de sanction vis-à-vis de ceux qui ne font aucun effort pour se mettre en conformité. »
Établir des priorités
« Pour y échapper, les structures ayant pris du retard doivent, en priorité, s’assurer qu’elles ont nommé un délégué à la protection des données (DPO), détaille Bruno Gauthier. Au sein des établissement de soins, il s’agit, bien souvent, de l’ancien Correspondant Informatique et Libertés (CIL), dont les pouvoirs ont été renforcés. Les laboratoires de ville, qui ne sont pas exemptés de cette obligation, peuvent opter pour un délégué en temps partagé. »
Le DPO est chargé de veiller à la conformité de la structure au RGPD. « Il doit justifier de compétences en matière de protection des données », pointe le trésorier de la Sfil. Des compétences juridiques mais aussi professionnelles et techniques : « il doit bien connaître l’environnement du laboratoire de biologie médicale et le fonctionnement des systèmes d’information en santé ».
Un registre de traitement des données
Depuis le RGPD, les laboratoires d’analyse de biologie médicale n’ont plus d’engagement de conformité à la norme simplifiée 53 à effectuer auprès de la Cnil. Ils doivent néanmoins être, à tout moment, en mesure de démontrer qu’ils respectent les principes de protection des données personnelles. « D’où la tenue d’un registre de traitement des données, désormais obligatoire, destiné à cartographier tous les traitements réalisés et toutes les mesures de sécurité prises pour protéger les données collectées », complète le biologiste médical, qui invite à raisonner en termes d’intégrité, de confidentialité, de disponibilité et de traçabilité des données. Pour aider les laboratoires, les conditions de la norme simplifiée 53 devraient être transformées en référentiel par la Cnil.
Une analyse d’impact
Enfin, les laboratoires doivent, dans les trois ans qui suivent l’entrée en vigueur du RGPD, réaliser une analyse d’impact des traitements (collectes de données, envois de comptes-rendus médicaux etc) sur la protection des données personnelles. La Cnil en précise les contours sur son site Internet (https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia).
En outre, « pour aider les laboratoires de biologie médicale à se conformer au RGPD, la Sfil est en train d’élaborer, en collaboration avec la Cnil, un recueil de bonnes pratiques », précise Bruno Gauthier, qui préside le groupe de travail constitué à cette fin. Il sera finalisé (ou en passe de l’être) pour les JIB 2019 et sera présenté à cette occasion. »
(1) Règlement européen 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive européenne 95/46/CE.
(2) Directive européenne 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(3) En France, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
(4) Le vendredi 22 novembre de 10h à 10h45.
Le Professeur Jean-Michel Halimi est néphrologue, Chef de service au CHU de Tours. Il travaille étroitement avec les biologistes médicaux hospitaliers et libéraux dans le cadre du dépistage et du suivi des patients atteints d’Insuffisance rénale chronique (IRC). Pour lui, l’innovation en biologie doit autant favoriser le dialogue entre le biologiste et le médecin que des rendus de résultats qui améliorent la fiabilité du diagnostic.
Le dépistage et la prise en charge des patients atteints d’Insuffisance rénale chronique (IRC) feront l’objet de deux rendez-vous lors du Congrès :
- L’un s’interrogera sur le fait de savoir si la créatinine plasmatique sera encore le gold standard demain ?
- Le second permettra de découvrir les dispositifs mis sur pied par les URPS de biologistes Centre-Val de Loire et PACA avec les médecins pour optimiser le dépistage et le suivi de l’IRC.
