Vigilances sanitaires : la CNIL encadre le traitement des données personnelles

mercredi 21 août 2019, par Bruno Benque

Dans le prolongement du Règlement général sur la protection des données (RGPD), la CNIL vient de publier un Référentiel relatif au traitement des informations mises en œuvre à des fins de vigilance sanitaire. Ce document ne prend pas en compte, notamment, les informations traitées par un professionnel ou service de Santé.

La sécurité des données personnelles, à fortiori celles relatives à la Santé des personnes, fait l’objet d’une attention toute particulière des organismes de tutelle.

Un document encadrant la gestion des données de vigilance sanitaire

Ces informations, hautement confidentielles, sont aujourd’hui convoitées par différents acteurs du domaine sanitaire, pour des usages divers. Citons ici les chercheurs en Santé publique, les statisticiens, les agences sanitaires, les ARS, mais aussi les assurances pour lesquelles ces données ont une valeur importante. Elles sont d’autant plus précieuses que les progrès technologiques permettent, depuis l’émergence des outils d’intelligence artificielle, de les traiter en grand nombre et dans des délais records.

Les données traitées à des fins de vigilance sanitaire sont parmi les moins convoitées, mais elles viennent de faire l’objet d’un document encadrant leur gestion.

Un référentiel qui exclut les données mises en œuvre par les professionnels de Santé

Dans le prolongement du Règlement général sur la protection des données (RGPD), la Commission Nationale Informatique et Libertés (CNIL) a élaboré un Référentiel relatif aux traitements des données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires. Il couvre ainsi les vigilances sanitaires mentionnées dans l’Arrêté du 27 février 2017 fixant la liste des catégories d’événements sanitaires indésirables pour lesquels la déclaration ou le signalement peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables>. Il s’applique aux traitements mis en œuvre par des fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit de Santé. Il exclut donc toute action de ce type engagée par un professionnel ou service de Santé.

Des traitements de données transparentes vis à vis du patient lui-même

Dans ce cadre, la CNIL a mis à disposition des responsables de ces traitements une plateforme en ligne au sein de laquelle figure un formulaire de déclaration de conformité qu’ils doivent remplir, aidés en cela par des personnes que ces derniers habilitent à le faire. CE peut être, selon le Référentiel, « les personnels du service des audits, de manière ponctuelle et motivée, pour vérifier le respect des exigences réglementaires ; les personnels habilités en charge de la gestion des réclamations, en fonction des dossiers qu’elles ont à traiter », mais également les professionnels de santé participant au suivi du patient et pouvant apporter un complément d’information ou les ARS notamment.

Mais qu’en est-il du principal intéressé, le patient lui-même exposé à l’événement sanitaire indésirable ? Le Référentiel ne l’a pas oublié, puisque le traitement de données à caractère personnel dont il fait l’objet doit être mis en œuvre en toute transparence. Celui-ci doit être informé personnellement, de même que toute personne ayant notifié l’événement sanitaire indésirable ou le professionnel de santé ayant suivi la personne concernée par l’événement.

Bruno Benque
Rédacteur en chef
www.cadredesante.com
bruno.benque@cadredesante.com
@bbenk34


Partager cet article

Formation continue

Formations professionnelles en ligne pour les soignants : Alzheimer, transfusion, hygiène, douleur, calculs de doses...

Découvrir les formations

Vous recrutez ?

Publiez vos annonces, et consultez la cvthèque du site EMPLOI Soignant : des milliers de profils de soignants partout en France.

En savoir plus