Article publié par notre nouvelle experte Laurie DUPONT-HORAUX, Juriste en droit de la santé, elle est consultante en protection des données et en e-santé. Elle est consultante en Protection des données et e-Santé / Consultant Data Protection & e-Health chez DrData SAS. . Elle est également certifiée en qualité et gestion des risques de l’EHESP et diplômée de l’Université de Montréal en Administration des services de santé.
N°1, Avril 2019
La protection des données personnelles entre progressivement et de façon positive dans les esprits des citoyens et des usagers depuis le 25 mai 2018, date médiatisée et retenue de tous : l’entrée en application du Règlement général à la protection des données à caractère personnel[1] (ci-après « RGPD »).
Ainsi, c’est tout l’écosystème de la santé qui se retrouve face à une nouvelle réglementation qui certes, harmonise dans une certaine mesure la gestion de la protection des données personnelles des personnes physiques sur le territoire européen, mais qui soulève néanmoins de nombreuses interrogations.
L’accompagnement quotidien d’un ensemble de structures diverses dans la santé (établissements privés, publics, sanitaires, sociaux ou médico-sociaux, start-ups de la e-santé), la sensibilisation des directions et des personnes concernées est une lourde tâche, d’autant que la compréhension du RGPD n’est pas mince affaire.
Comment accompagner les acteurs de santé concernés par le RGPD ?
De nombreux acteurs doivent investir du temps et de l’énergie et des budgets dans le développement d’outils et l’intégration de mesures organisationnelles et techniques. Interviennent alors, tant les membres des directions (direction générale, direction de l’information médicale, direction des systèmes d’information, direction des ressources humaines, direction qualité et risques etc.), mais également les prestataires techniques et autres sous-traitants identifiés[2]. Ils œuvrent ensemble pour que le patient soit accueilli de la meilleure façon possible.
Mon retour d’expérience me permet de constater une véritable volonté de la part de tous, d’agir de concert pour sécuriser, protéger et valoriser les données personnelles de santé.
A cet effet, les directions qualité et de gestion des risques sont très souvent sollicitées pour mettre en place ces procédures sans être nécessairement conseillées sur les aspects juridiques et techniques (informatiques) précis que requiert la mise en place d’un tel dossier de conformité.
Quels sont les sujets de prédilection des directions qualité concernant le RGPD ? L’exemple du « consentement »
Préoccupante et récurrente, la question du consentement, de l’information des patients et de la confidentialité des données personnelles de ces derniers, sur les déclarations et formulaires renseignés par le personnel de ces services, mérite d’être analysée au regard des dispositions du RGPD.
Etant précisé que le consentement aux soins et le consentement au traitement des données personnelles sont distincts, l’un reposant sur les dispositions du code de la santé publique[3], l’autre sur la loi informatique et libertés[4] modifiée et celles du nouveau règlement européen.
Cet exposé a ainsi vocation à accompagner les personnes en charge de la mise en conformité de la protection des données personnelles à se poser les bonnes questions pour savoir dans quelle direction avancer et pour répondre aux obligations « qualité/risques » – toujours dans une démarche d’amélioration continue, pas de grande surprise !
Pour n’évoquer qu’un seul cas concernant le consentement et l’information des patients, j’ai choisi de prendre comme exemple, le recueil des indicateurs de qualité et de sécurité des soins (IQSS).
Lors du recueil des IQSS, vous entrez dans le champ de l’article 9 i) du RGPD, relatif au traitement des données personnelles, et qui dispose que celui-ci est possible s’il est :
« nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ».
Quels sont les points de vigilance juridiques en matière de consentement et d’information des patients ?
Ainsi, tel que prévu par la Haute Autorité de Santé (HAS), les IQSS sont nécessaires et ne nécessitent pas de consentement. Toutefois, l’information du patient reste obligatoire. Celle-ci peut être réalisée dans le livret d’accueil.
Un décret[5] est en effet venu préciser les modalités de transmission de l’information relative au traitement des données personnelles (article R. 6113-7 du code de la santé publique[6]).
De nombreux cas pris en application de l’activité des responsables qualité et sécurité sont également à prendre en compte dans cette analyse et notamment la déclaration des événements indésirables, y figurant régulièrement des données personnelles de santé des patients.
De plus, une faille éventuelle de sécurité concernant les fiches d’événements indésirables porte atteinte à la confidentialité et au secret médical. L’application de mesures de sécurité technique et organisationnelle viendra inévitablement renforcer les boucliers déjà existants et y ajouter une couche supplémentaire en vue d’éviter au maximum les cyberattaques.
Les fiches de signalement d’événements indésirables du CHU de Toulouse avaient été rendues publiques en avril 2018. Si cet événement a fait couler plus d’encre sur la remise en cause de la qualité de ce CHU, qui répondait simplement à ses obligations en matière de qualité, toujours en vue d’améliorer les soins et le parcours de soins du patient, il n’en demeure pas moins que des données personnelles de patient ont également vu le jour via cette fuite d’informations.
La protection des données personnelles de santé reste l’affaire de tous, les chantiers prioritaires à mettre en place étant bien ceux pour lesquels cette catégorie de données sensibles, les données de santé, sont traitées par l’établissement.
- Le petit conseil juridique de plus : La désignation d’un Délégué à la protection des données (ou « DPO »), interne ou externe, sera bien entendu un avantage considérable dans l’application de cette nouvelle réglementation, celui-ci ayant un devoir de conseil, et étant au centre de la gestion de toutes les problématiques liées aux données personnelles. Le choix du DPO doit également prendre en compte sa maîtrise totale du secteur de la santé afin de conseiller au mieux le responsable de traitement dans ses décisions. Son rôle de communicant est primordial et accompagnera chaque direction sur ses propres problématiques.
Pour aller plus loin :
[1] Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[2] Le RGPD définit le sous-traitant comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »
[3] En application des dispositions des articles L.1111-2 et L.1111-4 de code de la santé publique.
[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
[5] Décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale.
[6] Article R. 6113-7 du code de la santé publique : « Les personnes soignées dans l’établissement sont informées par le livret d’accueil ou un autre document écrit :1° Que des données les concernant font l’objet d’un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; […] »
Nous remercions vivement le Laurie DUPONT-HORAUX,, Juriste en droit de la santé et consultante en protection des données et en e-santé. Elle est consultante en Protection des données et e-Santé / Consultant Data Protection & e-Health chez DrData SAS. , certifiée en qualité et gestion des risques de l’EHESP et diplômée de l’Université de Montréal en Administration des services de santé.
Elle propose de partager son expérience professionnelle Juridique pour nos fidèles lecteurs de www.managersante.com
Biographie de l’Auteure :
Laurie DUPONT-HORAUX est diplômée de l’Université de Montpellier en Droit et gestion de la santé avec un parcours de droit international et comparé de la santé.
Elle est également titulaire d’un M.Sc. en Administration des services de santé de l’Université de Montréal, et d’un certificat en qualité et gestion des risques dans le cadre d’un partenariat avec l’École des Hautes Études en Santé Publique.
Elle est actuellement consultante en protection des données et en e-santé (Data Protection & e-Health) chez DrData SAS.
Auparavant, elle a exercé entre 2017 et 2018 au Cabinet Houdart et Associés (Paris) en qualité de juriste, sur des missions d’accompagnement juridique relatives aux projets d’organisation et de restructuration de l’offre de soins auprès d’établissements et d’institutions des secteurs public et privé et dans le développement du pôle « Santé numérique ». Elle a accompagné principalement les organismes de santé au regard des enjeux de protection des données.
Aujourd’hui, elle participe au développement et à l’amélioration de la qualité des process pour un système de santé performant dans le domaine de la protection des données personnelles et particulièrement au service de l’ensemble des acteurs de la santé
Lors de son expérience au Canada, elle a participé à une étude de droit comparé entre la France et le Québec, et à la révision de processus à l’Hôpital Général de Montréal, établissement du Centre Universitaire de Santé de McGill.
Juriste à l’Institut Droit et Santé de l’Université Paris Descartes en charge de la revue de veille juridique bimensuelle, elle a collaboré à la préparation d’un rapport sur le respect des droits des usagers soumis à la Conférence Nationale de Santé, sensibilisant alors sur des problématiques stratégiques.
Chargée d’études relatives aux systèmes de santé et de protection à la Caisse Nationale d’Assurance Maladie (CNAM), elle a travaillé sur des dossiers relatifs à la prise en charge et la délivrance des médicaments et des dispositifs médicaux, mais aussi à des projets en biologie médicale.
Et suivez l’actualité sur www.managersante.com,
Officiel du Salon Européen Paris Healtcare Week 2019
Paris-Porte de Versailles [#PHW19] du 21>23 Mai 2019