En 2023, 520 dossiers concernant la santé et la recherche ont été examinés par la Commission nationale de l’informatique et des libertés (CNIL). En outre, 3% des plaintes reçues par l’instance portaient sur la santé, et 9% des appels qu’elle a reçus concernaient ce secteur ou celui du social (cf. Santé : la CNIL publie un bilan 2021 chargé).
Mauvaises gestion des habilitations
Des plaintes ayant dénoncé des accès non autorisés à des dossiers patient informatisé (DPI) dans certains établissements de santé, la CNIL en a fait une priorité pour ses contrôles. Onze établissements de santé, surtout des CHU, ont été contrôlés depuis 2022. La CNIL a « constaté que les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées, en permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier » (cf. Données de santé : l’hôpital de Cannes visé par une cyberattaque). La présidente de la commission a établi des mises en demeure afin d’obtenir des mises en conformité.
A la suite d’un signalement, deux organismes procédant à des recherches médicales ont également été contrôlés entre janvier et juillet 2022. « Des manquements aux règles sur la protection des données, notamment en matière de données de santé » ont été relevés, les organismes contrôlés n’ayant pas réalisé d’analyse d’impact sur la protection des données et ayant délivré une information incomplète aux personnes participant aux recherches. Un rappel à l’ordre a été adressé à ces organismes, « les traitements de données concernés ayant cessé ».
Absence de consentement au recueil de données
La CNIL indique aussi avoir sanctionné des organismes ne recueillant pas le consentement des personnes pour traiter des données de santé. « Le simple fait pour une personne de livrer spontanément de telles informations ne peut pas être considéré comme un consentement explicite » souligne la commission (cf. Données de santé : vers la suppression des procédures d’autorisation préalable ?).
Enfin, la CNIL a été saisie concernant quatre professionnels de santé n’ayant pas répondu à des demandes de communication de données de santé (cf. Données de santé : Votre dossier médical est comme une empreinte digitale de votre vie entière). « La non-communication du dossier médical porte atteinte aux droits des personnes et aux principes fondamentaux de la protection des données personnelles » rappelle l’autorité. Ce manquement est « d’autant plus grave qu’il peut nuire à la prise en charge médicale du patient ».
Accès simplifié au SNDS
En octobre dernier, la CNIL a par ailleurs simplifié l’accès à la base principale du système national des données de santé (SNDS) à des fins de recherche pour permettre aux organismes publics et privés, à l’exception des assureurs, « de traiter l’ensemble des données de la base principale du SNDS » (cf. Système national des données de santé : la CNIL déplore un manque de clarté). Il faut désormais pour cela « obtenir un avis préalable expressément favorable du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, d’élaborer une expression des besoins préalables, de préciser les conditions spécifiques de mise à disposition des données et de réaliser un bilan ».
Le 16 mai, la CNIL lancera une consultation sur les traitements de données personnelles dans le domaine de la santé.
Source : Hospimedia, Géraldine Tribault (13/05/2024)
