Page 254 - Trans-Num-V1

P. 254

CHAPITRE IX Numérique en santé, cadre médico-légal

du Système national d’information interrégime de l’assurance maladie (SNIIRAM) et les
données hospitalières du Programme de médicalisation des systèmes d’information (PMSI).
Ces données sont agrégées de manière pseudonymisées dans le Système national des
données de santé (SNDS) au sein de la plateforme des données de santé (Health data hub),
qui a vocation d’apparier les données issues des bases médico-administratives reflétant le
parcours de soins ainsi que les autres bases de données liées aux activités de soins.
Dans le cadre exceptionnel de la crise sanitaire de la Covid-19, l’ensemble des gendarmes
du numérique en santé, la Commission nationale informatique et liberté (CNIL), le Comité
pilote d’éthique numérique et le Comité européen de protection des données ont autorisé
une souplesse du cadre très strict de la protection des données personnelles instauré par
la réglementation européenne, notamment dans le cadre du déploiement de l’application
« StopCovid ».

Toutefois, en période hors crise, la collecte et le traitement des données personnelles
de santé font l’objet d’un encadrement juridique véritablement contraignant en France
et en Europe, reposant sur la loi informatique et liberté de 1978, ainsi que sur le Règle-
ment général sur la protection des données (RGPD) de 2016 et la directive ePrivacy de
2020 sur la protection de la vie privée dans les communications électroniques.

Ces textes posent les principes suivants :

➜ Obligation de consentement explicite et positif à la collecte de données personnelles. En
principe, il ne peut y avoir de collecte de données à l’insu des intéressés ni de collecte forcée,
hors intérêts pour la santé publique ou pour la recherche ;
➜ Interdiction du profilage au moyen de systèmes automatisés dans le but d’ouvrir ou de
restreindre des droits individuels ;

➜ Confidentialité du contenu des communications électroniques ;
➜ Droit à l’effacement des données personnelles collectées à l’échéance d’un certain délai ;
➜ Absence de publicité des données individuelles collectées, impliquant, lorsque ces
données sont mises à disposition des tiers, une exigence d’anonymisation des informations.

À ces règles s’ajoutent des exigences générales de proportionnalité de la collecte des
données aux finalités des traitements, de sécurité et de confidentialité des données ou encore
de non-détournement d’usages.
Rappelons que le règlement européen n° 2016/679 du 27 avril 2016 sur la protection des
données personnelles (RGPD) instaure pour la première fois une définition des données de
santé comme : « Les données à caractère personnel relatives à la santé physique ou mentale
d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent
des informations sur l’état de santé de cette personne ». Il précise que les données de santé
peuvent se rapporter à l’état de santé (passé, présent ou futur) d’une personne, par exemple
les données collectées dans un contexte médical (prestation de soins de santé, résultats de
tests…), ainsi que les données permettant d’identifier une maladie ou un risque de maladie,
un handicap, des antécédents médicaux, un traitement clinique, un état physiologique ou

254

18/03/2021 17:48
Trans_Num.indd 254 18/03/2021 17:48
Trans_Num.indd 254

249 250 251 252 253 254 255 256 257 258 259