Un règlement européen définit la notion de « données de santé » et renforce leur protection

Le règlement européen relatif à la protection des données personnelles publié le mercredi 4 mai instaure pour la première fois une définition commune des « données de santé » dans l’Union et prévoit de nouvelles obligations concernant leur traitement, a détaillé Délia Rahal-Löfskog, chef du service de la santé à la Commission nationale informatique et libertés (Cnil).

Le nouveau « règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » comprend 92 articles et remplace la directive 95/46/CE concernant la protection des données dans l’Union européenne.

Il a été adopté après quatre années de négociations entre la Commission et le Parlement européens.

Son statut de « règlement », contrairement à celui de « directive », le rend directement applicable à l’ensemble des Etats membres de l’Union européenne (UE) à compter du 25 mai 2018, sans nécessité de transposition du texte dans les législations nationales, note-t-on, alors que la directive de 1995 avait été transposée plus ou moins harmonieusement.

Dans le domaine de la santé, il propose dorénavant une définition des données de santé à caractère personnel à l’échelle européenne.

En l’absence de définition légale, il fallait jusqu’ici se reporter à la jurisprudence française et européenne pour déterminer ce qui relevait du champ des données de santé. Le nouveau règlement européen prévoit désormais qu’il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Il précise qu’elles comprennent « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ».

Il définit aussi les « données génétiques », « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé », et les données biométriques, « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique ».

NOUVEAUX DROITS

Le texte reprend les principes déjà existants en matière de traitement des données personnelles. S’agissant des données sensibles, le règlement reprend dans son article 9 le principe d’interdiction de traitement déjà présent dans la directive de 1995 et l’assortit de plusieurs exceptions (consentement explicite de la personne, traitement pour motifs d’intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail, etc.).

Il renforce la protection des personnes en instaurant le droit à l’oubli (article 17), le « droit à la portabilité des données » (article 20), le droit d’être informé en cas de piratage des données (articles 33 et 34) et le droit d’être informé « de façon compréhensible et aisément accessible » sur l’utilisation de ces données (articles 12, 13 et 14).

Il précise les modalités du « consentement clair et explicite » des personnes pour le traitement des données à caractère personnel (article 7), limite le recours au profilage (article 21) et prévoit une protection spéciale pour les mineurs (article 8).

Le règlement européen rend la désignation d’un « délégué à la protection des données » (DPO) obligatoire pour les responsables du traitement des données à caractère personnel et leurs sous-traitants lorsqu’il s’agit d’autorités ou d’organismes publics (article 37).

En ce qui concerne le renforcement des obligations relatives à la sécurité et à la confidentialité des informations, le règlement européen prévoit la protection de la vie privée dès la conception du traitement, aussi appelé le « privacy by design » (article 25). Il instaure également le recours obligatoire à une « analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel » pour une liste de traitements qui doit être publiée par l’autorité de contrôle (article 35).

« Nous conseillons aux responsables de traitement des données personnelles, qu’ils soient du secteur public ou privé, d’anticiper dès aujourd’hui l’impact de l’application du règlement européen sur leurs activités pour être prêt le jour de l’entrée en vigueur », a fait valoir Délia Rahal-Löfskog.

Selon elle, « les entreprises qui intègreront le plus rapidement les dispositions du texte pourront faire de la protection des données de leurs utilisateurs un avantage concurrentiel », alors que le marché des éditeurs de logiciels et des fabricants d’objets connectés se caractérise par une grande diversité de l’offre.

SOurce: APM news. Lire l’article dans son intégralité ici.
Publicités
Cet article, publié dans Evolutions numériques, Evolutions sociétales, GE, International, Juridique, Politique de santé, Risques et menaces, Système de santé et gouvernance, Techniques médicales, Technologies, UK, est tagué , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s