RGPD et données de santé: zones d’ombre et interrogations demeurent
publié le 29 juin 2021
Trois ans après son entrée en vigueur, le RGPD (règlement général européen sur la protection des données personnelles) fait toujours débat ou, à tout le moins, suscite des interrogations – sur les mesures à prendre, les processus à adapter, les finalités ou implications des règles…
Le média français TICpharma a récemment tendu son micro à une série de responsables – membres de la CNIL (Commission Nationale Informatique & Libertés), professionnels du secteur des soins de santé, juristes – afin de recueillir leur ressenti et leurs avis à propos de la manière dont le secteur de la santé s’est ou non approprié le règlement ou des attentes qu’il peut encore avoir.
Petit florilège…
Côté [et envers les] patients… “Problème de sensibilisation”. “Manque de pédagogie”.
Côté première ligne… “Une dichotomie s’est installée entre l’hôpital et la ville. A l’hôpital, le fait d’avoir instauré des agendas en-ligne, de la pré-admission en ligne ou d’avoir pris le pli de la téléconsultation pendant la crise sanitaire, a rendu ces questions de protection des données de santé obligatoires. Les directions des systèmes d’information sont acculturées à ces sujets. En ville, rien n’a bougé. Tout cela les dépasse et malgré le travail des ordres, il y a encore une méconnaissance du sujet.”
Côté “notion de données de santé”… “Pour le secteur de la santé, l’un des apports importants du RGPD a été de préciser la définition juridique des données de santé, ce que nous n’avions pas avant.”
“Il y a un manque de définition de la notion d’intérêt public concernant les données de santé. […] Il y a un principe d’interdiction sauf lorsqu’il y a consentement ou lorsqu’il y a une dimension d’intérêt public pour de la recherche, par exemple. Or, la définition est très large et juridiquement elle n’est pas assez claire. Les enjeux sont majeurs, il faut l’’xpliciter. »
Côté acteurs et fournisseurs… “Nous payons aujourd’hui 30 à 40 ans de retard sur la législation. Nous le ressentons chez tous les acteurs de santé: les hôpitaux, les industriels dont certains sont encore des passoires informatiques et c’est encore pire du côté des structures associatives ou médico-sociale.”
Du côté des responsables Data… “Les DPO [data protection officers] ne sont pas forcément des juristes et ils ne connaissent pas le code de la santé publique ou le code de l’action sociale et des familles. Ils ne savent pas concilier les textes car ils n’ont pas le bagage juridique. Pour contrer cela, il faut une formation juridique pour les DPO et une formation technique et organisationnelle pour les juristes purs.”