La protection des données personnelles en laboratoire de biologie médicale
Le Règlement européen n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) organise l’encadrement de la protection des données personnelles et s’inscrit dans la continuité des principes déjà existants énoncés dans la loi Informatique et Libertés du 6 janvier 1978.
Le RGPD est entré en application dans tous les Etats membres de l’Union européenne le 25 mai 2018.
Depuis, de nombreuses formalités auprès de la Commission nationale de l’Informatique et des Libertés (CNIL) ont été supprimées, mais les acteurs ont vu leur responsabilité renforcée. Ils doivent s’assurer de la protection et de la sécurité des données qu’ils traitent et être en mesure de démontrer que les conditions de mise en œuvre de leurs traitements respectent strictement la réglementation applicable.
Les traitements de données personnelles mis en œuvre au sein des laboratoires de biologie médicale sont donc également concernés.
Qu’est-ce que la protection des données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
Le RGPD définit une donnée personnelle, comme toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom…) ou indirectement notamment par référence à un numéro d'identification (n° ordinal, n° de téléphone, n° RPPS…), ou à un ou plusieurs éléments qui lui sont propres (date de naissance, image…).
Qu’est-ce qu’une donnée personnelle de santé ?
C’est une donnée se rapportant à l'état de santé d'une personne concernée qui révèle des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée quelle que soit la source de production de la donnée (un professionnel de santé ou un dispositif médical par exemple).
Sont ainsi considérées comme des données de santé, toutes informations relatives à l’identification du patient dans le système de soin, le dispositif ou logiciel utilisé pour collecter et traiter des données de santé, toutes informations obtenues lors d’un examen médical y compris des échantillons biologiques et des données génomiques et toutes informations médicales (une maladie, un handicap, une donnée clinique ou thérapeutique, physiologique ou biologique).
Qu’est-ce qu’un traitement de données personnelles ?
On définit un traitement comme toute opération ou tout ensemble d'opérations portant sur des données personnelles quel que soit le procédé utilisé. Il peut s’agir de la collecte, de l'enregistrement, de l'organisation, de la conservation, de la modification, de l'extraction, de la consultation, de l'utilisation, de la communication, la diffusion ou toute autre forme de mise à disposition, de l'interconnexion, de la suppression de ces données…
Quels sont les traitements de données personnelles concernés au sein d’un laboratoire de biologie médicale ?
Le RGPD s’applique à tous les traitements de données personnelles, quel que soit le support papier ou informatique (logiciel, fichier Excel…) et qu’ils concernent les patients du laboratoire de biologie médicale, les salariés, les prestataires, les professionnels de santé avec qui le laboratoire est en contact…
Qu’est-ce qu’un responsable de traitement ?
Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement, c'est-à-dire l’objectif et la façon de le réaliser. Le responsable de traitement est donc responsable de tout manquement aux principes de protection des données personnelles.
Qui est responsable de traitement au sein d’un laboratoire de biologie médicale ?
Le ou les biologistes responsables du laboratoire de biologie médicale sont responsables de l’ensemble des traitements mis en œuvre au sein du laboratoire. Cette qualité ne peut être assumée par un salarié du laboratoire.
Qu’est-ce qu’un sous-traitant ?
Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Il agit donc sous l’autorité du responsable de traitement et sur ses instructions. Il doit présenter des garanties suffisantes en matière de sécurité et de confidentialité.
Qui peut-être sous-traitant d’un laboratoire de biologie médicale ?
Tous les organismes qui traitent des données personnelles pour le compte d’un laboratoire de biologie médicale, dans le cadre d’un service ou d’une prestation, sont considérés comme des sous-traitants au sens du RGPD.
Par exemple :
- lorsqu’il est fait appel à une société tierce pour gérer la comptabilité et la paie du personnel du laboratoire de biologie médicale,
- si des données patients sont hébergées chez un hébergeur.
En principe, les éditeurs de logiciels pour la gestion de l’application métier n’ont pas accès et ne traitent pas de données personnelles. Dans ce cas, ils ne sont pas considérés comme sous-traitants. Toutefois, si leur rôle ne se limite pas simplement à la conception, au développement et à la commercialisation du logiciel mais qu’ils accèdent à certaines données, les hébergent et/ou les intègrent dans le système informatique des laboratoires, dans ce cas, ils peuvent être considérés comme des sous-traitants.
Attention : s’il est fait appel à un organisme extérieur pour l’hébergement des données de santé que le laboratoire de biologie médicale traite, l’organisme doit être agréé ou certifié pour l’hébergement, le stockage ou la conversation de données de santé au titre de l’article L1111-8 du code de la santé publique.
Qui est destinataire ?
Est destinataire de données personnelles toute personne, physique ou morale, privée ou publique, qui reçoit communication des données personnelles, qu’il s’agisse ou non d’un tiers. Les destinataires peuvent donc être des personnes internes à l’organisation, comme par exemple le personnel habilité du laboratoire, ou extérieures à l’organisation, tels que le praticien prescripteur.
Qu’est-ce qu’un DPO ?
Le DPO (Délégué à la Protection des Données ou Data Protection Officer) est investi de plusieurs missions. En effet, il :
- Informe et conseille les organismes qui le désignent sur les obligations qui leur incombent au titre du RGPD.
- Contrôle le respect de ces obligations mais également des autres législations et des règles internes de l’organisme en matière de protection des données personnelles. Il participe également à la sensibilisation et la formation des membres de l’organisme.
- Coopère avec l’autorité de contrôle. En France, il s’agit de la CNIL.
- Est le point de contact pour les demandes d’exercice de droits des personnes concernées.
Quelle est l’autorité en France en charge de ces questions ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur français des données personnelles. La CNIL accompagne les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et les aide à exercer leurs droits. Elle dispose également de pouvoirs de contrôles sur place ou en ligne.
Quelles sont les principales missions de la CNIL ?
- Informer et protéger : la CNIL informe les particuliers et les professionnels et répond à leurs demandes. Toute personne peut s'adresser à la CNIL en cas de difficulté dans l'exercice de ses droits.
- Accompagner et conseiller : la CNIL accompagne tous les organismes dans leur mise en conformité avec le RGPD et leur propose plusieurs outils à ce titre.
- Contrôler et sanctionner : le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la réglementation applicable en matière de protection des données personnelles. A l'issue des contrôles, le Président de la CNIL peut décider de mettre en demeure le responsable de traitement de se mettre en conformité au terme d’un délai déterminé. La formation restreinte de la CNIL peut prononcer diverses sanctions à l'issue d'une procédure contradictoire notamment des sanctions pécuniaires dont le montant varie en fonction de la nature du manquement.
- Anticiper et innover : la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée, et contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les organismes le plus en amont possible.
Les 5 règles d’or de la protection des données personnelles
Pour chaque traitement de données personnelles, le responsable doit respecter les 5 règles d’or de la protection des données personnelles.
Quelles obligations en pratique pour les biologistes responsables ?
Les biologistes responsables de laboratoire de biologie médicale, en leur qualité de responsables de traitement, doivent respecter l’ensemble de la réglementation applicable en matière de protection des données personnelles (RGPD, loi Informatique et Libertés modifiée, code de la santé publique, code de déontologie…). Des poursuites disciplinaires peuvent être engagées à l’encontre des pharmaciens en cas de manquement aux règles professionnelles et déontologiques.
Avant l’entrée en application du RGPD, la CNIL avait adopté une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les biologistes à des fins de gestion du laboratoire d'analyses de biologie médicale (norme simplifiée n°53). Les biologistes responsables de laboratoires de biologie médicale pouvaient ainsi effectuer auprès de la CNIL une déclaration de conformité à la norme simplifiée n°53 s’engageant à respecter les conditions de protection des données décrites dans cette norme.
Depuis le 25 mai 2018, date d’entrée en application du RGPD, de nombreuses formalités auprès de la CNIL ont été supprimées. Il n’y a donc plus d’engagement de conformité à effectuer auprès de la CNIL et les normes simplifiées n’ont plus de valeur juridique.
Toutefois, dans l’attente de la production de référentiels ou autres outils de conformité adoptés par la CNIL en remplacement des normes simplifiées, la CNIL a décidé de maintenir ses normes accessibles afin de permettre aux responsables de traitement d’orienter leurs actions de mise en conformité.
Dans cette attente, un laboratoire de biologie médicale pourra donc continuer à se référer aux conditions de la norme simplifiée n°53, ainsi qu’à tout autre outil d’aide à la conformité mis en ligne sur le site de la CNIL afin d’être en mesure de démontrer à tout moment la conformité de ses traitements aux principes de protection des données personnelles.
Désigner un DPO ?
Au regard des critères posés par le RGPD , seuls les laboratoires qui exercent leurs activités à grande échelle ont l’obligation de désigner un DPO, tels que par exemple des laboratoires de biologie médicale de taille importante ou encore lorsque les dossiers sont partagés entre plusieurs laboratoires.
Attention :
- Le DPO doit posséder des connaissances spécialisées en matière de protection des données.
- Le DPO ne doit pas avoir de conflit d'intérêt avec ses autres missions. Par exemple, le biologiste responsable du laboratoire de biologie médicale ne peut pas être désigné DPO de son laboratoire.
La désignation d’un DPO s’effectue en ligne sur le site de la CNIL en complétant le formulaire à cet effet.
Tenir ou mettre à jour un registre
Le biologiste responsable doit tenir et mettre à jour un registre dans lequel il recense et décrit l’ensemble des traitements de données personnelles mis en œuvre au sein du laboratoire. Le registre doit notamment préciser les données collectées, la finalité de cette collecte, les personnes concernées, la durée de conservation des données, les destinataires des données, les mesures de sécurité mises en œuvre pour protéger ce traitement, les modalités d’exercice des droits des personnes…
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des modèles vierges de fiches de registre.
Mettre en place des mesures de sécurité
En tant que responsable de traitement, le biologiste responsable doit mettre en place toutes les mesures pour préserver la sécurité des données personnelles traitées au sein de son laboratoire et prendre toutes les précautions pour empêcher que les données soient modifiées, endommagées ou que des tiers non autorisés y aient accès.
Afin d’accompagner les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide en matière de sécurité .
L’activité de biologiste, dans sa diversité d’exercice, doit également prendre en compte les référentiels d’interopérabilité et de sécurité dont le respect est rendu obligatoire par le code de la santé publique (L.1470-5 du code de la santé publique).
Informer les personnes du traitement de leurs données et de leurs droits
Le biologiste responsable doit informer les personnes dont il traite les données de l’existence de ces traitements et des droits dont elles disposent à l’égard de leurs données (selon les cas, droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition…).
Il est conseillé de :
- Utiliser un vocabulaire simple, des phrases courtes et un style direct
- Ne pas noyer l’information dans un document de 20 pages ou en bas de page dans une taille de police illisible
- Faciliter l’accès aux mentions pour que les personnes puissent voir immédiatement comment et où accéder à l’information
- Penser toujours à mettre à jour ces mentions en cas de changement
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide à la rédaction des mentions, ainsi que sur les modalités d’exercice des droits des personnes.
Déterminer des durées de conservation
Les données personnelles ne peuvent être conservées que pendant le temps nécessaire à leur traitement. Le biologiste responsable doit donc définir des durées de conservation et d’archivage des données traitées au sein de son laboratoire.
Pour ce faire, quelques questions à se poser :
- Ai-je des obligations légales de conserver les données pendant un certain temps ?
- A défaut de textes, jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ?
- Quelles sont les règles de suppression des données ? Quelles sont les règles d’archivage des données ?
La CNIL donne des précisions quant à ces durées de conservation dans un référentiel relatif aux durées de conservation dans le domaine de la santé hors recherche.
Encadrer ses relations avec ses sous-traitants
En tant que responsable de traitement, le biologiste responsable doit déterminer parmi ses prestataires ceux répondant à la définition de sous-traitants au sens du RGPD (voir plus haut) et s’assurer avoir signé un contrat avec chacun de ses sous-traitants. Le biologiste responsable devra également vérifier que les contrats conclus avec ses sous-traitants comportent l’ensemble des mentions obligatoires au titre du RGPD.
Afin d’accompagner les biologistes responsables dans cette démarche, la CNIL a publié sur son site des clauses contractuelles types entre responsable de traitement et sous-traitant.
Encadrer les éventuels transferts de données en dehors de l’Union européenne
Le biologiste responsable doit identifier parmi ses prestataires ceux situés en dehors de l’Union européenne (UE) ou ceux transférant des données hors UE et s’assurer dans les contrats avec ces prestataires que les transferts de données sont encadrés conformément au RGPD (décision de la Commission européenne, clauses contractuelles types, règles internes d’entreprises, codes de conduite…).
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide en matière de transferts de données hors UE.
Réaliser une analyse d’impact relative à la protection des données
Le RGPD impose au responsable de traitement de réaliser, dans certains cas, une analyse d’impact relative à la protection des données (AIPD) dès lors que le traitement mis en œuvre est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.
L’AIPD est une analyse détaillée permettant d’évaluer la nécessité et la proportionnalité d’un traitement de données au regard du RGPD, ainsi que ses éventuels risques sur la sécurité des données.
En principe, la CNIL a expressément listé parmi les traitements pour lesquels il n’est pas nécessaire de réaliser une analyse d’impact, les " Traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un laboratoire de biologie médicale".
Toutefois, à l’instar de la désignation du DPO, la réalisation d’une AIPD reste en principe nécessaire pour les activités à grande échelle de laboratoires de biologie médicale.
Pour aider les responsables de traitement dans cette démarche, la CNIL met à disposition sur son site des outils d’aide à la réalisation d’AIPD.
A consulter : L'analyse d’impact relative à la protection des données (AIPD) - CNIL
Une vigilance accrue en période de crise sanitaire
Si les biologistes doivent être toujours vigilants, il convient de redoubler d’attention en période de crise sanitaire, propice à de nombreuses attaques de systèmes informatiques d’organismes traitant des données de santé.
Ce qu’il faut retenir
Les questions à se poser
- Avez-vous désigné un DPO ?
- Tenez-vous à jour un registre de vos activités ?
- Protégez-vous les données personnelles traitées au sein de votre laboratoire ?
- Informez-vous les personnes concernées par ces traitements et comment leur permettez-vous d’exercer leurs droits ?
- Avez-vous défini des durées de conservation ?
- Avez-vous encadré vos relations avec vos sous-traitants ?
- Avez-vous des traitements de données hors UE et comment sont-ils encadrés ?
- Avez-vous réalisé des analyses d’impact ?
Le biologiste responsable, en sa qualité de responsable de traitement, doit mettre en place les mesures techniques et organisationnelles nécessaires à la protection des données personnelles traitées au sein de son laboratoire et doit être en mesure de démontrer à tout moment que les traitements de données effectués sont conformes à la réglementation applicable.
Pour ce faire, le biologiste responsable doit pouvoir répondre à ces questions et documenter chacune de ses réponses. La conformité au RGPD reste un processus dynamique qu’il convient de réinterroger régulièrement.
Les biologistes peuvent s’aider de l’ancienne norme simplifiée n°53 dans l’attente de sa modification par la CNIL, ainsi que des différents outils précités mis en ligne sur le site de la CNIL.