Les évolutions dans le domaine de la protection des données personnelles de santé

Les nombreuses évolutions dans le domaine de la protection des données personnelles de santé obligent les acteurs du domaine à s’informer sur l’actualité et se former régulièrement. Vous retrouverez ces sujets d’actualité dans le cadre de notre formation « Conformité et sécurité des traitements de données de santé » animée par Ageris GROUP.

1- Qu’est-ce que le système national des données de santé (SNDS) ?

Toute personne ou structure souhaitant réaliser une étude, recherche ou évaluation présentant un caractère d’intérêt public, dans le domaine de la santé peut demander un accès aux données du SNDS (système national des données de santé). Unique en Europe, voire au monde, le SNDS a été créé par la loi de modernisation de notre système de santé (loi n° 2016-41 du 26 janvier 2016) pour développer l’usage des données de santé et constitue une avancée considérable pour analyser et améliorer la santé de la population.

Constitué par la Caisse Nationale de l’Assurance Maladie (Cnam), le SNDS se fonde sur le système national d’information interrégimes de l’Assurance Maladie (Sniiram) qui contient :

• les données de remboursement de l’Assurance Maladie ;
• les données des hôpitaux (base du programme de médicalisation des systèmes d’information – PMSI) ;

À cela s’ajoute de nouvelles composantes :

• les bases de données sur les causes médicales de décès (base du centre d’épidémiologie sur les causes médicales de décès de l’institut national de santé et de la recherche médicale – CépiDc de l’Inserm) ;
• les données relatives au handicap (en provenance des maisons départementales des personnes handicapées – MDPH – données de la caisse nationale de solidarité pour l’autonomie – CNSA) ;
• et les données relatives à la Covid-19 extraites des bases Vaccin Covid et SI-DEP (système d’information et de dépistage).

Ces composantes principales du SNDS sont mises à disposition par la Cnam sur son portail.

La loi relative à l’organisation et à la transformation du système de santé de 2019 (loi n° 2019-774 du 24 juillet 2019) a élargi le périmètre du SNDS à des catégories de données complémentaires comme : enquêtes dans le domaine de la santé, résultats de biologie médicale, de radiologie, données de protection maternelle et infantile.

Aujourd’hui, le SNDS est une base permettant d’avoir une vision complète du parcours de soins de l’ensemble de la population sur 20 ans de profondeur d’historique maximum.

2- Les GHT peuvent-ils être exemptés de l’obligation de certification HDS ?

Il résulte d’une interprétation des textes réalisée par le ministère chargé de la santé que les Groupements hospitaliers de territoire peuvent être exemptés de l’obligation de certification HDS s’ils respectent les trois conditions cumulatives décrites ci-après :

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur (cet établissement hébergeur peut être l’établissement support du GHT et/ou tout autre établissement membre du GHT en accord toutefois avec l’établissement support qui doit assurer la gestion commune du système d’information). En effet, dans une telle hypothèse, l’ensemble des établissements parties à la convention GHT peuvent être considérés comme co-responsables de traitement au sens du RGPD. Autrement dit, l’établissement hébergeur du GHT est exempté de l’obligation de certification HDS si et seulement si la convention constitutive du GHT établit la co-responsabilité et lui en confie l’hébergement.
• Un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD.  Si les modalités pratiques de cette délégation peuvent être prévues dans le règlement intérieur du GHT, elles doivent être détaillées dans une convention de co-traitance qui répartit les rôles et responsabilités de chacun. La co-responsabilité de traitement implique qu’en cas de manquements aux dispositions du RGPD sur l’activité d’hébergement, l’ensemble des membres du GHT sont susceptibles de voir leur responsabilité engagée.
• Des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD. Pour rappel, un palier de sécurité dit « hébergement de données de santé » est défini dans le cadre du dispositif de certification SI. L’établissement hébergeur peut garantir ce palier de sécurité soit en recourant à un hébergeur externe de données de santé certifié HDS, soit en assurant lui-même la conformité requise.

3- Echange et partage de données de santé

L’accès aux données de santé peut prendre la forme d’un échange ou d’un partage de données, et les conditions de l’article L1110-4 du CSP doivent alors être respectées. En complément de la notion d’équipe de soins, la loi clarifie donc les notions d’échange et partage de données de santé :

• l’échange de documents comportant des données de santé consiste dans un flux de données visant à communiquer des données de santé à un (des) destinataire(s) clairement identifié(s) – Exemple: envoi d’un mail par messagerie sécurisée de santé, envoi par fax, appel téléphonique.
• le partage vise à mettre à la disposition de plusieurs professionnels fondés à les connaître, des données de santé utiles à la coordination et à la continuité des soins, dans l’intérêt de la personne prise en charge – Exemple : informations disponibles dans le Dossier Pharmaceutique, Dossier Médical Partagé, ou les dossiers de réseaux de santé.

4- L’obligation de respecter le secret professionnel : un principe général

Le secret professionnel est l’interdiction faite à celui qui y est soumis, de divulguer les informations dont il a été dépositaire. La notion de « secret médical », souvent utilisée, désigne en fait le secret professionnel qui s’applique au médecin. La loi pose le principe fondamental que « Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins […], le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social […] a droit au respect de sa vie privée et du secret des informations la concernant. »

Le législateur a ainsi consacré un champ d’application matériel très large du secret professionnel, dont le non-respect est pénalement sanctionné. Ce secret couvre l’ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes.

L’obligation de secret professionnel s’impose à l’ensemble des professionnels des secteurs sanitaire, médico-social ou social ou exerçant au sein d’un établissement ou organisme régis par le code de la santé publique ou d’un établissement ou service social et médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles et intervenant dans la prise en charge d’une personne, et plus largement, dit la loi, à « tous les professionnels intervenant dans le système de santé ».