LE  CADRE  JURIDIQUE  POUR  L’EXPLOITATION    DES  DONNÉES  DE  SANTÉ  

 Maître  Marie-­‐Pierre  L’HOPITALIER  du  Cabinet  LANGLAIS-­‐MPL  

 

Les  données  de  santé    

DE  QUOI  PARLE-­‐T-­‐ON  ?        

Les  données  de  santé  relèvent  du  secret  médical  :      

Ø  Le  secret  couvre  l’ensemble  des  informa6ons  concernant  la  personne    (art.  L1110-­‐4  du  Code  de  la  santé  publique)    Ø  Il   ne   peut   être   dérogé   au   secret   médical   que   par   la   loi   :   déclara6on   de  

naissances,  de  décès,  maladie  à  déclara6on  obligatoire,  etc.    Ø  Même   entre   médecins,   le   secret   ne   se   partage   pas   dès   lors   qu’ils   ne  

par6cipent  pas  à  la  prise  en  charge  d’un  même  pa6ent  (art.  L1110-­‐4  CSP)      

   

 

Principe    au  traitement  des  données  de  santé  

 Interdic6on    

 de  collecte  et  de  traitement    

des  données  de  santé    (art.  8  Loi  Informa6que  et  Libertés)  

ExcepIons    

Ø  Consentement  exprès  de  l’intéressé    Ø  Sauvegarde   de   la   vie   humaine,   lorsque   la   personne   est   dans   l’incapacité   de  

donner  son  consentement    Ø  Suivi  médical   des   personnes,   préven6on,   diagnos6c,   administra6on  de   soins  

ou  traitements,  ges6on  de  services  de  santé  (art.  8  II  6°)    Ø  Sta6s6ques  réalisées  par  un  service  sta6s6que  officiel    Ø  Recherche  dans  le  domaine  de  la  santé    (chap  IX  de  la  loi  de  1978)    Ø  Evalua6on   ou   analyse   des   pra6ques   ou   des   ac6vités   de   soin   de   préven6on  

(chap  X  de  la  loi  de  1978)    Ø  Anonymisa6on    Ø  Intérêt  public  (autorisa6on  par  décret)  

ObligaIons  à  respecter  

Une  fois  le  traitement  dûment  déclaré  ou  autorisé,  il  convient  de  respecter  :  

 

-­‐  sa  finalité,  la  per6nence  des  données  recueillies,  le  droit  à  l’oubli,  la  sécurité  

et  la  confiden6alité    

-­‐  une   informa6on   claire   des   personnes   concernées,   leur   droit   d’accès   et   de  

rec6fica6on,  leur  droit  d’opposi6on  pour  mo6fs  légi6mes  

 

Quelques  rappels  

q  Pas   de   cession   ni   d’exploitaIon   commerciale   des   données   médicales  

concernant  les  pa6ents    

q  AnonymisaIon   :   technique   permeZant   de   faire   disparaître   les   informa6ons  

faisant   référence  à   la  personne   (nom,  numéro  de  sécurité  sociale,  adresse,   sexe,  

âge,  téléphone,  courriel,  iden6fiants  biométriques,  etc.).    

•  Irréversible  :  CNIL  contrôle  la  technique  d’anonymisa6on  

•  Réversible  :  contrôle  de  la  CNIL,  hébergement  par  hébergeur  agréé.  

Sécurité  des  informaIons  

En  praIque  En  praIque:    

Postes  de  travail  :    

Ø mot  de  passe  et  CPS  pour  accéder  au  disposi6f  

Réseau  :  

Ø poli6que  d’habilita6on  et  charte  informa6que  

Ø chiffrage  de  la  communica6on  (SSL  clé  128  bits)  

Ø chiffrage   des   données   (lecture   grâce   à   une   clé   de   déchiffrement,  

contrôle  CNIL  et  hébergement  agréé)  

Ø Messagerie  interne  chiffrée,  à  défaut,  données  dans  PJ  chiffrée  

 Hébergement  des  données  de  santé  (procédure  actuelle)  

 Ø  Procédure  d’agrément              

 

   Ø  Sanc6on  en  l’absence  d’agrément  

•  3  ans  d’emprisonnement,  45  000  euros  d’amende  (art.  L1115-­‐1  CSP)  •  Mesures  complémentaires  :  interdic6on  d’exercer,  fermeture,  etc.  (art.  L1115-­‐2  CSP)  

Dossier  d’agrément  à  remplir  

Dépôt  du  dossier  

Avis  de  la  CNIL  

Avis  du  comité  d’agrément  des  hébergeurs  

Décision  du  ministre  de  la  santé  

Hébergement  des  données  de  santé  (projet  de  loi)    

 

Ø Projet  Loi  de  Santé  2015  :      

•  Modifica6ons  de  l’ar6cle  L1111-­‐8  du  CSP    •  consentement  préalable  vs  droit  d’opposi6on    •  Accrédita6on  à  la  place  de  l’agrément  ministériel  

Le  DMP  

 

Ø dossier  médical  personnel  vs  dossier  médical  partagé    Ø les  droits  du  pa6ent    Ø le  contenu  des  informa6ons  de  santé    Ø les  différents  accès  autorisés  au  DMP    Ø la  sécurité  de  l’ou6l  

ExploitaIon  des  données  de  santé    à  des  fins  de  recherche  médicale  

 

q Levée  du  secret  médical  La   levée   du   secret   médical   est   possible   à   des   fins   de   recherches   médicales.   Sous  condi6ons  strictes,  les  données  de  santé  peuvent  donc  être  u6lisées  dans  ce  cadre.        

q CondiIons  Ø  Informa6on  claire  de  la  personne  Ø  Données  directement  iden6fiantes  :  u6lisa6on  rare,  doit  être  jus6fiée  Ø  Assurer  la  sécurité  et  la  confiden6alité  des  données  

ExploitaIon  des  données  de  santé    à  des  fins  de  recherche  médicale  

q  Procédure  d’autorisaIon  Ø  Données  directement  ou  indirectement  iden6fiantes  (dont  NIR)  

 

 

è   Dossier   CCTIRS   :   dossier   avec   iden6té   des   responsables,   protocole   de  recherches,  avis  antérieurs  d’instance  scien6fiques  ou  éthiques.  

è Dossier   CNIL   :   demande   d’autorisa6on,   dossier   et   avis   du   CCTIRS,  modalités  d’informa6on  des  personnes.  

è Codage  des  informa6ons  avant  transmission    

Avis  du  CCTIRS  

Autorisa6on  de  la  CNIL  

ExploitaIon  des  données  de  santé    à  des  fins  de  recherche  

Projet  de  loi  de  santé  2015      

Ø Harmonisa6on  des  disposi6ons  concernant  les  traitements  à  des  fins  d’évalua6on  et  d’analyse  :  même  régime  que  pour  recherche  médicale.  

Ø Excep6ons      

Ø L’avis   du  CCTIRS   est   remplacé  par   l’avis   d’un  Comité   de  protec6on  des   personnes   en   cas   de  recherche  sur  l’être  humain  ou  du  Comité  d’exper6se  scien6fique  pour  la  recherche,  les  études  ou  l’évalua6on  dans  le  domaine  de  la  santé.  

Ø Les  informa6ons  iden6fiantes  devront  être  anonymisées  avant  transmission.  

Ø L’Ins6tut  Na6onal  des  données  de  Santé  (INDS)  éclairera  la  CNIL  dans  sa  prise  de  décision.  

ExploitaIon  non  commerciale    des  données  de  santé    

Objets  connectés  et  applicaIons  «  santé  »  

Ø Dès  lors  que  les  objets  et  applica6ons  traitent  et  collectent  des  données  de  santé,  la  loi  Informa6que  et  Libertés  est  applicable.  

 è  Assimila6on  des  données  de  «  bien-­‐être  »  à  des  données  de  santé  ?  Si  oui,  la  plupart   des   applica6ons   et   objets   connectés   devront   respecter   la   loi   en  ma6ère   de  données  de  santé.    

Ø Sécurité  des  données  sur  les  applica6ons  et  les  objets  (éviter  piratage)  Ø Informa6on  des  u6lisateurs  (men6ons  légales,  accord,  etc…)  Ø Déclara6on,   voire   autorisa6on   CNIL   surtout   que   dans   la   plupart   des   cas,   transfert  données  hors  UE  Ø Hébergeur  agréés  (accrédités)      

Le  projet  de  Système  naIonal  des  données  de  santé  (SNDS)  

                                     

       

SNDS  

OPEN  DATA  Données  anonymisées  sans  aucune  

iden6fica6on  possible  

DONNEES  PERSONNELLES  Poten6ellement  iden6fiantes  (sans  

prénom,  nom,  NIR)  

Mission  des  autorités  publiques  

Accès  direct  autorisé  par  décret,  y  compris  pour  recherche,  étude  

et  évalua6on  

MoIf  d’intérêt  public  

Organisme  à  but  non  lucraIf  (ac6vité  d’étude)  Accès  direct  sur  autorisa6on  

Entreprise  et/ou  organisme  à  but  lucraIf  (i.e.  labo  pharmaceu6ques)  

Accès  par  intermédiaire  avec  garan6es  de  protec6on  des  DP,  sur  autorisa6on  

33,  rue  de  Strasbourg  -­‐  44000  Nantes  Tél.  :  33  (0)2  51  84  28  05  Fax  :  33  (0)2  40  93  65  89  www.langlais-­‐mpl.com