Voici un an, le 25 mai 2018, entrait en vigueur le Règlement Général sur la Protection des Données (RGPD)[1], modernisant et renforçant notre vieille Loi Informatique et Libertés[2]. Qu’apporte-t-il de nouveau aux citoyens européens ? Pourquoi encadre-t-il mieux le traitement des données de santé ? Comment le Diabète LAB s’en est-il saisi pour protéger les données personnelles des Diabèt’acteurs ? Résumé des épisodes précédents.
Dès son lancement, le Diabète LAB a fait de la protection de la vie privée une priorité absolue. En publiant une charte de confidentialité forte et claire, nous avons fait le choix d’une transparence absolue quant à la gestion de vos données à caractère personnel. Et nous disposons désormais, avec le RGPD, d’un outil juridique à la hauteur de nos exigences.
Une meilleure protection des patients participant à des études
Parmi les nombreuses avancées du Règlement européen, le renforcement de la protection des données de santé concerne évidemment au premier chef les patients qui participent à des recherches, des études, des expérimentations. En la matière, le législateur européen s’est fixé comme priorité de donner – enfin ! – une définition précise de ces fameuses « données de santé », qui se promenaient jusqu’alors dans un dangereux flou juridique…
On sait donc dorénavant qu’il s’agit des données nominatives (c’est-à-dire « permettant d’identifier une personne physique de façon directe ou indirecte ») qui « révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée » (considérant 35 du RGPD).
Dès lors que sont traitées de telles données, par exemple à l’occasion d’une étude du Diabète LAB sur le Syndrome d’apnées obstructives du sommeil ou sur une pompe à insuline, elles doivent être protégées de façon draconienne. Elles doivent notamment être conservées chez un hébergeur certifié de données de santé (HDS), et l’opérateur sous-traitant les données doit avoir préalablement réalisé une analyse d’impact relative à la protection des données pour chacun des traitements qu’il réalise pour notre compte (considérants 90 à 95, et art. 35 du RGPD).
Une double authentification à l’inscription
Mais les bienfaits du RGPD ne s’arrêtent pas à la définition des données de santé et à l’amélioration de leur protection ! Plusieurs dispositions du Règlement européen, si elles ne concernent pas directement les patients, donnent à tous les citoyens des droits nouveaux ou renforcent certains droits existants, permettant d’établir des relations de confiance plus naturelles avec les acteurs de la société de l’information – éditeurs de sites internet, d’applications, de plateformes numériques notamment…
Le RGPD grave d’abord dans le marbre la notion de consentement. Plus aucun traitement de données à caractère personnel, en dehors de certaines circonstances particulières (obligations légales, etc.), ne peut être réalisé sans l’accord volontaire, explicite et éclairé de la personne concernée. S’agissant de données de santé, ce consentement doit être incontestable, et doit se doubler d’une sécurité absolue quant à la validation de l’identité de la personne.
La confidentialité au cœur de l’éducation thérapeutique du patient
Le Diabète LAB a donc fait le choix, avec son partenaire hébergeur, de mettre en place une double authentification lors de l’inscription de chaque Diabèt’acteur – par l’adresse email et par le numéro de téléphone mobile. Cette démarche permet d’atteindre un très haut niveau de sécurité et de protection des données de nos Diabèt’acteurs, en prévenant notamment toute forme d’usurpation d’identité.
Cette approche vertueuse, encore trop rarement mise en œuvre à ce jour par les plateformes équivalentes, a permis au Diabète LAB d’obtenir en 2017 le Prix Blaise Pascal sur la protection des données personnelles de santé. Porté par le Ministère des Solidarités et de la Santé et décerné à l’occasion des Journées nationales de l’innovation en santé, est une référence en matière de qualité de la protection des patients. Il légitime l’action engagée en ce sens par la Fédération Française des Diabétiques : il est en effet fondamental qu’une association de patients s’implique dans une forme de pédagogie autour de ces questions de données personnelles, de respect de la vie privée et de confidentialité – qui constituent désormais un sujet à part entière dans l’éducation thérapeutique du patient (ETP), au même titre que les questions strictement médicales.
Des droits étendus pour les utilisateurs de solutions numériques
La nécessité de recueillir le consentement, telle qu’elle est posée par le RGPD, suppose par ailleurs que la personne concernée ait été préalablement informée notamment des finalités du traitement, des destinataires des données, de leur durée de conservation, et de l’ensemble des droits dont elle dispose.
Le renforcement et la facilitation de l’exercice de ces droits fondamentaux – droits d’accès, de rectification et d’opposition aux traitements de leurs données – se double aujourd’hui de la possibilité pour les utilisateurs d’une solution numérique de faire transférer les informations qui les concernent vers une autre plateforme équivalente (droit à la portabilité, art. 20 du RGPD).
Le droit à l’oubli, vraie nouveauté du RGPD
Mais la plus grande avancée du RGPD est sans doute la consécration du droit à l’oubli et à l’effacement (art. 17 du RGPD). Les conséquences en sont multiples : possibilité pour les personnes concernées de se faire déréférencer d’un moteur de recherche, sans avoir à justifier de raison particulière ; à faire effacer, partiellement ou totalement, les informations dont disposent les opérateurs ; à se retirer d’une recherche ; etc. Ce droit nouveau se double d’une disposition complémentaire, encore plus novatrice : le droit à la limitation du traitement (art. 18 du RGPD) – c’est-à-dire la possibilité de n’accepter qu’une partie de la collecte de données sollicitée par un acteur du numérique.
Cet ensemble de dispositions, extrêmement complet, unifie dans tout l’espace européen la protection des données du citoyen, du consommateur, de l’utilisateur de dispositifs numériques et connectés. Et le Diabète LAB, comme la Fédération Française des Diabétiques, est heureux d’être un maillon de cette chaîne de protection dont la vocation universelle ne fait désormais plus aucun doute.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Journal officiel de l’Union européenne, 4 mai 2016.
[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, puis le 6 août 2018 en application du RGPD.
La charte de protection des données de la Fédération.
Vous avez une question sur le RGPD ? N’hésitez pas à contacter notre Délégué à la Protection des Données. Vous pouvez vous adresser à lui en écrivant à dpd@federationdesdiabetiques.org