Question :
Est-ce que la nouvelle loi Européenne sur la protection des données à un impact sur les messageries sécurisées ?
Réponse :
Le RGPD impacte effectivement les messageries sécurisées en santé, mais surtout leurs utilisateurs finaux : les professionnels de santé.
Le RGPD apporte plus de clarté concernant les traitements de données de santé en proposant notamment, et pour la première fois, une définition de la donnée de santé. En effet, la notion de donnée de santé n'était, jusqu'au RGPD, pas expressément définie par les textes. Seules les jurisprudences fran?aise et européenne procédaient à cette précision. Cette nouvelle définition de la donnée de santé englobe une part plus large des données personnelles (par exemple, certaines données de mesure).
Le RGPD, dans son article 4, donne la définition suivante des données à caractère personnel concernant la santé : "les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne."
La donnée de santé est donc toute donnée permettant d'aboutir à des conclusions en rapport avec la santé de la personne concernée. Les capteurs de marche ou cardiaque sont, par conséquent, des dispositifs de collecte de données de santé.
Par ailleurs, le RGPD a pour objectif de renforcer les droits des personnes et de responsabiliser les acteurs. Il s'agit surtout d'apporter plus de clarté pour les propriétaires des données personnelles quant aux modalités de collecte de ces données ainsi qu'aux traitements effectués sur ces données par les personnes qui les ont collectées : les responsables de traitements. Ainsi, les responsables de traitements devront dorénavant faire preuve de transparence concernant les modalités de collecte et les finalités des traitements. Ils devront, par ailleurs, mettre en place des procédures organisationnelles et/ou techniques afin de pouvoir satisfaire les demandes (droits) des personnes auprès desquelles les données personnelles sont collectées.
Aussi, pour les responsables de traitements de données de santé, les démarches nécessaires à la mise en œuvre d'un traitement de données de santé seront désormais facilitées. Les messageries sécurisées de santé, par exemple, bénéficiaient déjà du régime d'autorisation unique de la CNIL (AU-37).
Cependant, depuis la date d'entrée en vigueur du RGPD, les dispenses ainsi que les normes simplifiées ou les autorisations uniques adoptées par la CNIL n'ont plus de valeur juridique. Dans l'attente de la production, par la CNIL, des référentiels dérivés du RGPD dans le domaine de la santé, il convient de se rapporter aux documents existants et en particulier l'Autorisation Unique AU-37 concernant les messageries sécurisées en santé.
De plus, toute messagerie sécurisée en santé, existant à la date d'entrée en vigueur du RGPD, se devait déjà d'être conforme avec des réglementations très précises.
En tout état de cause, l'APICEM respectait déjà l'ensemble des réglementations concernant les échanges de données de santé. Il est donc compliqué de déterminer, aujourd'hui, l'impact réel du RGPD sur les messageries en santé ou sur ses acteurs (éditeurs et utilisateurs finaux).
L'APICEM effectue, quant à elle, et depuis plusieurs mois, une veille continue sur ce sujet afin de prendre en compte dans les plus brefs délais toute évolution réglementaire et notamment tout référentiel de la CNIL adaptant le RGPD aux exigences françaises.
En attendant, soyez vigilants. Les prestataires de services ou de conseils peu honnêtes sont prêts à vous proposer des offres d'accompagnement inutiles en prétextant que la mise en conformité était obligatoire au 25 mai 2018. La CNIL alerte les professionnels de santé et propose en cas de doutes de contacter la ligne directe dédiée (01 53 73 22 22 ).
Par ailleurs, l'APICEM a, d'ores et déjà, nommé son Délégué à la protection des données (Data Protection Officer ou DPO), vous pouvez le contacter par mail via l'adresse suivante : dpo@apicem.fr