Vous devez être connecté pour accèder à cette archive.

Se connecter
X
Dossiers > Réglementation

Données de santé et consentement du patient : le RGPD en pratique

Publié le 10 juillet 2018 par Patrick RENARD
Il est vivement recommandé aux fabricants de recueillir le consentement des patients relatif au traitement de leurs données de santé par une signature distincte de l’acceptation du contrat.
Crédit photo : ©vege - stock.adobe.com

Dans un précédent article, Maître Barbey a décrit les notions nouvelles introduites par le RGPD. Elle se concentre ici sur les contraintes spécifiques imposées aux fabricants de DM dans le cadre des traitements de données de santé, notamment en matière de recueil du consentement.

Auteur : Astrid Barbey, avocat en droit de la santé

Le règlement européen 2016/679 sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai dernier et la loi qui transpose le RGPD en droit français a été promulguée le 20 juin. Le RGPD confirme le principe antérieur de l’interdiction du traitement de données «sensibles» concernant la santé. Par exception, les textes autorisent le traitement de telles données lorsque la personne concernée (pour simplifier, désignée dans cet article comme « le patient ») a donné son consentement explicite (art. 9.1 du RGPD), terme qui devient consentement exprès dans la future loi Informatique et Libertés (art. 8.2).

RGPD et traitement de données personnelles : les notions clés à retenir Au-delà de cette question sémantique, quelles sont les caractéristiques du consentement du patient ?

Le RGPD définit strictement le consentement. Selon l’article 4, le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le RGPD donne des indications sur ce consentement (art. 7).

Il doit être obtenu distinctement d’autres consentements ou informations afin d’être considéré comme valable (art. 7.2). C’est pourquoi on recommande de recueillir le consentement au traitement des données de santé par une signature distincte de l’acceptation du contrat.

En outre, le fabricant responsable de traitements devra être en mesure de démontrer a posteriori pour d’éventuels contrôles que le consentement a bien été recueilli (art. 7.1). Si ce point ne devrait pas poser de difficultés en cas de signature d’un écrit, il faudra assurer une traçabilité d’un recueil du consentement à distance via des moyens télématiques.

Le patient aura par ailleurs le droit de retirer son consentement à tout moment, le RGPD précisant « Il est aussi simple de retirer que de donner son consentement » (art. 7.3).

Cabinet Barbey

Astrid Barbey a créé son cabinet d'avocats d'affaires en 2010 avec une équipe dédiée au secteur de la santé. Son objectif : aider les entreprises de la profession à se développer et à y voir clair dans la nébuleuse de la réglementation.

Enfin, le responsable de traitement de données de santé devra être encore plus vigilant que tout responsable de traitement sur la proportionnalité (art. 7.4) et répondre à la question : les données collectées sont-elles strictement nécessaires au traitement envisagé ? En effet, sous couvert de consentement du patient, le responsable de traitement ne devra pas imposer la collecte de données non pertinentes (art. 7.4).

Une fois le principe acquis qu’il est possible d’opérer des traitements de données de santé sous réserve du consentement du patient, se pose la question de savoir s’il existe, pour les fabricants de dispositifs médicaux, des formalités spécifiques au traitement des données de santé.

Des formalités préalables simplifiées

Alors que l’objectif du RGPD était de supprimer les formalités préalables au traitement des données, le législateur a fait usage des « marges de manœuvre » ouvertes par ce texte pour maintenir en droit français certaines formalités préalables pour les données de santé.

Ainsi le texte français en cours de promulgation prévoit des régimes de formalités préalables à la mise en œuvre de certains traitements de données de santé.

Les deux hypothèses les plus courantes de traitement des données de santé par un fabricant de dispositifs médicaux seront l’exécution d’un contrat avec un patient pour un produit ou un service de santé ou alors la mise en œuvre d’une évaluation clinique, soit afin de mettre sur le marché le dispositif médical, soit dans le but d'obtenir son remboursement.

Schématiquement, si l’on doit résumer les dispositions applicables aux fabricants de dispositifs médicaux dans les deux hypothèses ci-dessus, les solutions à retenir sont celles décrites ci-après.

En cas d’évaluation clinique d’un DM

La loi Informatique et Libertés à venir prévoit une procédure simplifiée. Il s’agit d’un système analogue au mécanisme antérieur des méthodologies de références. La CNIL élabore un référentiel que le responsable de traitement s’engage à respecter. Il peut alors se dispenser de formalités pour tous les traitements respectant le référentiel (art. 54 II de la future loi Informatique et Libertés). Si l’un des traitements à mettre en œuvre n’est pas compatible avec le référentiel, alors le responsable de traitement doit solliciter une autorisation de la part de la CNIL préalablement au traitement (art. 54 III de la future loi Informatique et Libertés).

En cas d’exécution d’un contrat avec un patient

Le traitement des données de santé est dispensé de formalités auprès de la CNIL dans la mesure où le patient a donné son consentement (art. 53 1° de la future loi Informatique et Libertés).

Dorénavant les fabricants de dispositifs médicaux vont disposer de facilités dans la mise en œuvre des traitements de données de santé. Fini les longs mois d’attente des autorisations de la CNIL. En contrepartie, ils devront documenter leurs traitements de données au travers des outils comme le registre des traitements ou l’analyse d’impact. Ils pourront ici bénéficier le cas échéant de l'aide du délégué à la protection des données.


www.cabinetbarbey.com

Partagez cet article sur les réseaux sociaux ou par email :
Mots-clés :

A lire aussi