Actus

Toutes les news

Retour
  • Compétence
  • Catégories
  • Secteur
  • Nos desks
  • Nos bureaux
    • Newsletter 29 octobre 2024

    Smart Alert | Traitement de données de santé : une complexité légale à ne pas sous-estimer pour les entreprises du secteur de la santé

    Smart Alert | Traitement de données de santé : une complexité légale à ne pas sous-estimer pour les entreprises du secteur de la santé

    Paris, le 29 octobre 2024

    La récente délibération de la CNIL du 5 septembre 2024 met en évidence la complexité croissante des exigences concernant le traitement des données de santé qui sont définies par le RGPD comme des données sensibles.

    Par cette délibération, la CNIL a infligé une amende significative de 800 000 euros à Cegedim Santé au titre de plusieurs manquements à la protection des données de santé. En particulier, elle sanctionne Cegedim Santé de ne pas avoir respecté l’obligation particulière de réaliser les formalités préalables prévues par l’article 66 de la loi Informatique et Libertés en traitant des données de santé non anonymes sans autorisation préalable, dans le but de produire des études et statistiques.

    Cette décision est l’occasion de souligner l’importance pour les entreprises du secteur de la santé, avant la mise en oeuvre de tout traitement de données de santé, de :

    • Distinguer l’anonymisation de la pseudonymisation des données ;
    • Identifier le régime juridique applicable au traitement de données de santé ayant une finalité d’intérêt public en déterminant notamment si ce traitement permettra la constitution d’un entrepôt de données de santé (EDS) ou s’il s’agit d’une recherche, d’une étude ou d’une évaluation ponctuelle ;
    • Se rapporter aux référentiels adaptés de la CNIL prévoyant les exigences et bonnes pratiques sectorielles ;
    • Identifier les formalités préalables obligatoires à effectuer auprès de la CNIL, à savoir la déclaration de conformité au référentiel adapté ou la demande d’autorisation lorsqu’il existe des points de non-conformité entre le traitement envisagé et le référentiel adapté.

    Dans le secteur de la santé, les obligations concernant le traitement de données de santé sont particulièrement strictes. Les entreprises de ce secteur doivent garantir la sécurité et la confidentialité des données de santé, en veillant à ce que toute opération de traitement soit conforme aux exigences du RGPD et aux obligations spécifiques aux données de santé. Le dispositif lié à la sécurité des données de santé a, d’ailleurs, été récemment endurci par la publication, le 16 mai dernier, de la nouvelle version du référentiel de certification des hébergeurs de données de santé (HDS) renforçant les exigences pour les acteurs du secteur de l’e-santé.

    Le cabinet LPA-CGR est à votre disposition pour vous accompagner dans la mise en conformité en matière de protection des données de vos projets impliquant le traitement de données de santé.