Traitement de données de santé : comment informer les personnes concernées ?

04 avril 2018

Les personnes dont les données de santé sont collectées disposent de droits, dont celui d’être informées. Il peut s’agir de patients, de personnes participant à une recherche, etc. L’information permet à ces personnes de conserver la maîtrise des données les concernant. C'est une obligation prévue par le Règlement général sur la protection des données (RGPD).

Qui informe ?

Le responsable de traitement

doit prendre les mesures appropriées pour informer les personnes concernées.

Dans le secteur de la santé, les responsables de traitement sont multiples : professionnels de santé, structures de soins, fournisseurs de solutions techniques, etc.

En pratique, ce sont les acteurs opérationnels (professionnels de santé notamment) agissant au nom et pour le compte du responsable de traitement (établissement de santé, service de soins, etc.) qui délivrent l’information.

Quelles sont les caractéristiques de l’information ?

L’information doit être délivrée de façon concise, transparente, compréhensible et aisément accessible. Elle doit pouvoir être abordable par le « grand public ».

Pour répondre à cette exigence, il faut aller à l’essentiel tout en faisant figurer l’ensemble des mentions obligatoires dans le document d’information. Il est également recommandé de travailler sur un support rendant l’information la plus intelligible possible. A titre d’exemples, la compréhension de la personne peut être facilitée par l’utilisation de pictogrammes visuels, le surlignage des informations essentielles dans des documents écrits (ex : livret d’accueil, documents écrits d’information remis aux patients) ou encore le recours à la vidéo (ex : diffusion de vidéo dans les salles d’attente), etc.

L’information doit bien sûr également être adaptée, en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données. En particulier, une information destinée spécifiquement aux mineurs doit être donnée. De même, une information ciblée doit être faite aux personnes vulnérables (ex : personnes âgées, patients présentant des troubles cognitifs, etc.).

Quel est le contenu de l’information ?

Le contenu de l’information à délivrer varie selon deux hypothèses : les données de santé ont été collectées directement auprès de la personne concernée ou non (collecte indirecte des données).

	HYPOTHESE N° 1 Les données de santé sont collectées directement auprès de la personne concernée	HYPOTHESE N° 2 Les données de santé ne sont pas collectées directement auprès de la personne concernée (collecte indirecte)
*Informations communes*	L’identité et les coordonnées du responsable de traitement et, le cas échéant, du représentant du responsable du traitement Il s’agit de déterminer qui définit les moyens et les finalités du traitement. Le responsable de traitement peut être un professionnel de santé, une structure de soins, un fournisseur de solution technique, etc.
Le cas échéant, les coordonnées du délégué à la protection des données Il s’agit de mentionner qui est désigné délégué à la protection des données et comment le contacter.
Les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement Il s’agit de préciser ce pour quoi le traitement est constitué et sa base légale base légale La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d'utiliser des données personnelles. On peut également parler de « fondement juridique » ou de «&nb...> En savoir plus (consentement, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne, etc.). Cette information est importante car la base légale conditionne l’exercice de certains droits.
Le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si le traitement est nécessaire à la poursuite des intérêts légitimes du responsable du traitement ou du tiers) Il s’agit de mettre en perspective les intérêts légitimes qui justifient le traitement de données de santé avec les droits et libertés des personnes.
Le cas échéant, les destinataires (dont les sous-traitants) ou les catégories de destinataires des données à caractère personnel (s'ils existent) Il s’agit de mentionner quelles sont les personnes amenées à accéder aux données collectées dans le traitement.
Le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données transfert de données Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, pour certains transferts particuliers, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition
La durée de conservation des données ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée Il s’agit d’énoncer combien de temps les données sont conservées dans le traitement (cette durée doit être proportionnée à la finalité du traitement) ou, à défaut, les critères retenus pour déterminer la durée de conservation.
Le droit de demander l'accès aux données, la rectification ou l'effacement de celles-ci ou la limitation du traitement relatif à la personne concernée Il s’agit de préciser que la personne concernée par un traitement de données de santé peut demander l’accès, la rectification, l’effacement ou la limitation des informations figurant dans ce traitement.
Le droit de s'opposer au traitement et le droit à la portabilité des données Il s’agit de rappeler que la personne concernée par un traitement de données de santé peut s’opposer à la collecte d’informations, sauf si le responsable de traitement démontre qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, les droits et les libertés de la personne. Il faut également mentionner que la personne concernée peut également récupérer des données fournies à un responsable de traitement pour les transmettre à un autre responsable de traitement (droit à la portabilité).
Le droit de retirer son consentement à tout moment pour les traitements fondés sur le recueil de celui-ci Il s’agit de mentionner que la personne concernée par le traitement de données de santé peut retirer son consentement à la collecte de ses données.
Le droit d'introduire une réclamation auprès d'une autorité de contrôle Il s’agit de préciser que la personne concernée par le traitement de données de santé peut saisir la CNIL.
Le cas échéant, l’existence d'une prise de décision automatisée, y compris un profilage, et les informations utiles pour appréhender la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée Il s’agit de dire si le traitement de données de santé comporte un algorithme algorithme Un algorithme est la description d'une suite d'étapes permettant d'obtenir un résultat à partir d'éléments fournis en entrée. Par exemple, une recette de cuisine est un algorithme permettant d'obtenir un plat à partir de ses ingrédients! Dans le mond...> En savoir plus et d’expliquer quel est le raisonnement retenu pour le fonctionnement de cet algorithme.
*Informations spécifiques*	Informations pour savoir si l'exigence de fourniture des données de santé a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données Il s’agit de mentionner quelle est l’origine de la collecte des données de santé (obligation réglementaire, contrat, etc.) et les impacts de la non-transmission des données au responsable de traitement.	Les catégories de données à caractère personnel concernées Il s’agit de déterminer quel type de données de santé n’est pas directement recueilli auprès de la personne concernée.
La source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public Il s’agit notamment de définir auprès de qui les données ont été recueillies (ex : famille, proches, professionnels de santé, etc.).
Si le responsable de traitement souhaite effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, information au préalable de la personne concernée quant à cette autre finalité et toute autre information pertinente permettant de garantir un traitement équitable et transparent. NB : à titre d’exemple, il s’agira d’indiquer, si un médecin souhaite utiliser ultérieurement à des fins de recherche des données de santé qu’il aurait collectées à l’occasion de la prise en charge médicale du patient, que les données pourront être réutilisées dans le cadre d’une recherche. A noter que, pour la recherche, cette information devra être individuelle, préalable à la mise en œuvre de la recherche et spécifique à chaque projet, conformément aux dispositions de l’article 57 de la loi Informatique et Libertés.

HYPOTHESE N° 1
Les données de santé sont collectées directement auprès de la personne concernée

HYPOTHESE N° 2
Les données de santé ne sont pas collectées directement auprès de la personne concernée (collecte indirecte)

Informations communes

L’identité et les coordonnées du responsable de traitement et, le cas échéant, du représentant du responsable du traitement

Il s’agit de déterminer qui définit les moyens et les finalités du traitement. Le responsable de traitement peut être un professionnel de santé, une structure de soins, un fournisseur de solution technique, etc.

Le cas échéant, les coordonnées du délégué à la protection des données

Il s’agit de mentionner qui est désigné délégué à la protection des données et comment le contacter.

Les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement

Il s’agit de préciser ce pour quoi le traitement est constitué et sa base légale

(consentement, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne, etc.). Cette information est importante car la base légale conditionne l’exercice de certains droits.

Le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si le traitement est nécessaire à la poursuite des intérêts légitimes du responsable du traitement ou du tiers)

Il s’agit de mettre en perspective les intérêts légitimes qui justifient le traitement de données de santé avec les droits et libertés des personnes.

Le cas échéant, les destinataires (dont les sous-traitants) ou les catégories de destinataires des données à caractère personnel (s'ils existent)

Il s’agit de mentionner quelles sont les personnes amenées à accéder aux données collectées dans le traitement.

Le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données

à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, pour certains transferts particuliers, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition

La durée de conservation des données ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée

Il s’agit d’énoncer combien de temps les données sont conservées dans le traitement (cette durée doit être proportionnée à la finalité du traitement) ou, à défaut, les critères retenus pour déterminer la durée de conservation.

Le droit de demander l'accès aux données, la rectification ou l'effacement de celles-ci ou la limitation du traitement relatif à la personne concernée

Il s’agit de préciser que la personne concernée par un traitement de données de santé peut demander l’accès, la rectification, l’effacement ou la limitation des informations figurant dans ce traitement.

Le droit de s'opposer au traitement et le droit à la portabilité des données

Il s’agit de rappeler que la personne concernée par un traitement de données de santé peut s’opposer à la collecte d’informations, sauf si le responsable de traitement démontre qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, les droits et les libertés de la personne. Il faut également mentionner que la personne concernée peut également récupérer des données fournies à un responsable de traitement pour les transmettre à un autre responsable de traitement (droit à la portabilité).

Le droit de retirer son consentement à tout moment pour les traitements fondés sur le recueil de celui-ci

Il s’agit de mentionner que la personne concernée par le traitement de données de santé peut retirer son consentement à la collecte de ses données.

Le droit d'introduire une réclamation auprès d'une autorité de contrôle

Il s’agit de préciser que la personne concernée par le traitement de données de santé peut saisir la CNIL.

Le cas échéant, l’existence d'une prise de décision automatisée, y compris un profilage, et les informations utiles pour appréhender la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée

Il s’agit de dire si le traitement de données de santé comporte un algorithme

et d’expliquer quel est le raisonnement retenu pour le fonctionnement de cet algorithme.

Informations spécifiques

Informations pour savoir si l'exigence de fourniture des données de santé a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données

Il s’agit de mentionner quelle est l’origine de la collecte des données de santé (obligation réglementaire, contrat, etc.) et les impacts de la non-transmission des données au responsable de traitement.

Les catégories de données à caractère personnel concernées

Il s’agit de déterminer quel type de données de santé n’est pas directement recueilli auprès de la personne concernée.

La source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public

Il s’agit notamment de définir auprès de qui les données ont été recueillies (ex : famille, proches, professionnels de santé, etc.).

Si le responsable de traitement souhaite effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, information au préalable de la personne concernée quant à cette autre finalité et toute autre information pertinente permettant de garantir un traitement équitable et transparent.

NB : à titre d’exemple, il s’agira d’indiquer, si un médecin souhaite utiliser ultérieurement à des fins de recherche des données de santé qu’il aurait collectées à l’occasion de la prise en charge médicale du patient, que les données pourront être réutilisées dans le cadre d’une recherche. A noter que, pour la recherche, cette information devra être individuelle, préalable à la mise en œuvre de la recherche et spécifique à chaque projet, conformément aux dispositions de l’article 57 de la loi Informatique et Libertés.

A noter : lorsque que les données ne sont pas collectées directement auprès de la personne concernée, l’information est assurée par le responsable de traitement, en principe dans un délai raisonnable. Elle doit intervenir au plus tard dans un délai d’un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées. Si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, l’information doit intervenir au plus tard au moment de la première communication à la personne ou, s'il est envisagé de communiquer les informations à un autre destinataire
destinataire
Personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions.

, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

Il existe des hypothèses où le responsable de traitement peut être dispensé d’informer la personne concernée. Les cas de dispense dépendent selon que les données de santé ont été collectées directement auprès de la personne concernée ou indirectement.

	HYPOTHESE N° 1 Les données de santé sont collectées directement auprès de la personne concernée	HYPOTHESE N° 2 Les données de santé ne sont pas collectées directement auprès de la personne concernée (collecte indirecte)
*Cas commun de dispense d’information*	La personne concernée dispose déjà de l’intégralité des informations qui lui sont dues
*Cas spécifiques de dispense d’information*		La fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, notamment et, à certaines conditions, pour le traitement à des fins de recherche scientifique. Dans ce cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles (par exemple, information générale publiée sur un site web).
		L'obtention ou la communication des informations sont expressément prévues par un texte (droit de l'Union ou droit de l'État membre auquel le responsable du traitement est soumis)
		Les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée (droit de l'Union ou droit des États membres)

Comment informer ?

Le support d’information est libre : par oral, par écrit ou par tout autre moyen (affichage dans les lieux de soins, dans les secrétariats, remise de documents écrits d’information, etc.).

Questions / réponses

Qui doit-on informer lorsque la personne concernée par un traitement de donnés de santé est mineure ?

Les titulaires de l’autorité parentale sont informés des traitements de données de santé portant sur l’enfant mineur. L’enfant mineur reçoit également une information spécifique et adaptée.

Attention, dans certains cas de figure, des dispositions spécifiques auront vocation à s’appliquer. Exemples : art. L 1111-5 et L. 1111-5-1 du code de la santé publique sur la prise en charge des mineurs dans la confidentialité (qui permet à un mineur, sous certaines conditions, de s’opposer à l’information des titulaires de l’autorité parentale), art. 58 de la loi Informatique et Libertés pour la recherche médicale (qui permet à un mineur de 15 ans ou plus de s’opposer, sous certaines conditions, à l’accès des titulaires de l’autorité parentale aux données le concernant recueillies au cours d’une recherche, d’une étude ou d’une évaluation).

Quelle information donner s’agissant des traitements constitués dans le cadre d’unerecherche ?

Il convient de se référer aux dispositions particulières de l’article 57 de la loi Informatique et Libertés. Ces dispositions ont vocation à évoluer dans le cadre de la future loi Informatique et Libertés.

L’information délivrée à la personne concernée sous la forme d’un affichage est-elle suffisante ?

A l’exception des situations pour lesquelles il existe une obligation légale d’informer la personne concernée individuellement (exemple de la recherche médicale), l’information de la personne peut être réalisée par voie d’affichage.

Dans le cas des établissements de santé, l’information peut également se faire dans le livret d’accueil remis au patient à l’occasion de son hospitalisation. L’affichage doit être bien visible et comporter toutes les mentions obligatoires précisées ci-dessus. Une information individuelle est tout de même à privilégier.

Si la personne concernée a déjà été informée, doit-on l’informer de nouveau ?

Oui, dans certains cas de figure : modification substantielle du traitement, transmission des données de santé du responsable de traitement à un destinataire, utilisation des données de santé par le responsable de traitement pour une autre finalité, etc.

A retenir

Le RGPD renforce le droit à l’information
droit à l’information
Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’infor...> En savoir plus
des personnes, en particulier son contenu (coordonnées du délégué à la protection des données, durée de conservation, etc.). Dans le même temps, cette information doit être concise, transparente, compréhensible et aisément accessible.
Il faut donc, en perspective du 25 mai 2018, recenser les différentes mentions et documents d’information et vérifier qu’ils respectent bien les exigences du règlement sur le fond (contenu) et sur la forme (lisibilité).