On s’en doutait. Le journal officiel du 6 novembre 2018 l’a confirmé[1]. L’ensemble des traitements de données relatives à la santé mis en œuvre par les établissements de santé ou médico-sociaux pour la prise en charge des personnes doit désormais obligatoirement faire l’objet d’une évaluation d’impact sur la vie privée, plus connue sous l’acronyme anglo-saxon « PIA[2] ».
Pourquoi s’y attendait-on ? Vous vous rappellerez peut-être que le « Groupe de l’Article 29 », désormais appelé le Comité Européen de la Protection des Données, – qui rassemble l’ensemble des « CNIL européennes » – avait fait paraître des lignes directrices listant neuf critères pour déterminer les cas où une PIA serait obligatoire ou recommandée. Le Groupe avait alors considéré que l’obligation naissait lorsque deux de ces critères étaient remplis. Or, dans ces critères figuraient notamment les traitements :
– de données sensibles, dont les données relatives à la santé font partie ;
– de masse, pour lequel il était justement donné l’exemple d’un traitement concernant tous les patients d’un hôpital ;
– de données relatives à des personnes vulnérables, telles que les patients et usagers.
Pour considérer que les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes relevaient de l’obligation de réaliser une PIA, la CNIL a donc in fine retenu les critères « Données sensibles » et « Personnes vulnérables ». Conséquence logique : peu importe la taille de l’établissement ou du service. Seule compte la nature juridique de la personne morale.
Il fallait faire un choix, certes. Mais ce choix pourrait permettre à des cabinets d’imagerie multisites partageant le même système d’information d’échapper à l’obligation, là où le plus petit EHPAD y serait tenu. En effet, l’acception de la notion d’ « entrepôt de données de santé[3] » ne semble viser que des bases constituées à des fins de recherche, ce qui permettrait à un PACS partagé entre différents sites d’échapper à la PIA[4].
Qu’en est-il ailleurs en UE ? Le CEPD a vocation à harmoniser les pratiques des autorités de protection des données. Cette mission s’est traduite en l’occurrence par l’obligation pour chacune de lui soumettre la liste des traitements soumis à l’obligation de réaliser une PIA. Et lorsque l’on prend connaissance des avis rendus[5], on constate que le CEPD n’a pas craint de l’exercer à fond. La CNIL s’est ainsi vue adresser 6 « recommandations », dont certaines très précises à propos de l’utilisation des données biométriques, génétiques et de localisation. Partant de là, il y a fort à parier que la situation des hôpitaux, cliniques et établissements médico-sociaux du reste de l’UE ne sera pas plus souple, si cela peut en consoler certains…
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
[1] Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.
[2] Pour Privacy Impact Assessment.
[3] Ces entrepôts, ainsi que les registres, sont soumis à l’obligation de réalisation d’une PIA.
[4] L’usage du conditionnel est ici du au fait qu’il peut être obligatoire de réaliser une PIA en présence d’un risque élevé sur le traitement, et ce même si un seul critère est satisfait.
[5] https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fr.