Protection des données de santé : de quelles données s’agit-il ?
En matière de données de santé, il peut s’agir d’informations classiques d’identification comme les nom, prénom, adresse, adresse mail ou numéro de téléphone, mais aussi d’informations sur la vie personnelle du patient (âge, nombre d’enfants, situation maritale…), sa couverture sociale (assurance maladie obligatoire, assurance maladie complémentaire, etc.) mais surtout d’informations relatives à sa santé (pathologies, diagnostics, prescriptions, soins, etc.), et sur les éventuels professionnels qui interviennent dans sa prise en charge (médecins, kinés…). Parmi ces données les plus sensibles figurent les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique, autant d’informations pouvant provenir d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical, d’un laboratoire, etc.
Certaines de nos données personnelles sont collectées par l’Assurance maladie dans le cadre d’objectifs « précis, légitimes et proportionnés ». Il s’agit pour cet organisme, d’une part, d’exécuter des missions d’intérêt public prévues par la loi et la réglementation en vigueur et, d’autre part, de contribuer à des études statistiques sur la base du libre consentement des assurés, l’Assurance Maladie ne collectant pas de données personnelles à l’insu des personnes concernées.
Quels textes garantissent la protection des données ?
Le Règlement général sur la protection des données (RGPD) d’étendue européenne et la loi française sur la protection des données personnelles, promulguée en juin 2018, adaptant la loi Informatique et libertés, constituent désormais le socle de la nouvelle réglementation sur la protection de toutes les données personnelles et notamment celles qui concernent la santé. Tous ces textes sont aisément consultables sur différents sites internet, par exemple celui de la CNIL (Commission nationale de l’Informatique et des libertés)
La situation particulière due au COVID-19
Face à la pandémie, un système spécifique de traitement des données à caractère personnel, nommé « contact-tracing », a été mis en place, afin d’identifier les personnes infectées ou présentant un risque d’infection au Covid-19, de les tester, les tracer et les isoler. Ces traitements de données s’effectuent dans le cadre juridique d’une mission d’intérêt public, dictée par la situation d’état d’urgence sanitaire.
Ces données à caractère personnel sont gérées par un système d’information baptisé « SI-DEP » (Système d’Information et de Dépistage), qui est une plateforme sécurisée mise en œuvre par le ministère de la Santé, où sont enregistrés les résultats des laboratoires de biologie médicale de tests COVID. Ces données sont sécurisées et ne peuvent faire l’objet d’aucune divulgation ou exploitation.
Quel interlocuteur pour les particuliers ?
Chaque assuré dispose d’un droit d’accès aux données qui le concernent ainsi qu’un droit de rectification en cas d’erreur et, dans certaines circonstances, d’un droit à leur limitation ou leur effacement, sauf dans les cas que l’Assurance Maladie justifie de motif « légitime et impérieux ».
Pour assurer la protection et la confidentialité des données personnelles des assurés sociaux et se conformer à la réglementation, l’Assurance Maladie a désigné, au sein de ses différentes structures, des « délégués à la protection des données », baptisés aussi DPO (Data Protection Officers), chargés du respect des règles de protection des données. À ce titre, ils sont les interlocuteurs privilégiés, au sein des caisses régionales, des assurés désireux d’avoir accès aux informations les concernant ou s’interrogeant sur leur traitement. La demande alors doit se faire par écrit, en contactant ces DPO.
En cas de difficultés, si ces démarches n’aboutissent pas, toute personne peut introduire une réclamation auprès de la Cnil : Commission nationale de l’informatique et des libertés – 3, place de Fontenoy – TSA 80715 – 75334 Paris cedex 07.