Fiche de cours n°3 Santé numérique PDF

2024-2025 UE7 – Santé, Société, Humanité Actualisation Fiche de cours n°3 Santé numérique Traitement des données de santé : Définitions, introduction au traitement des données et cadre réglementaire  Notion tombée 1 fois au concours  Notion tombée 2 fois au concours  Notion tombée 3 fois ou plus au concours Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 1 2024-2025 DEFINITIONS QUALIFIER UNE DONNEE A CARACTERE PERSONNEL EN SANTE  Informations pour gérer un cabinet/structure o Ex : gestion des fournisseurs, des personnels, etc.  Informations sur les patients o Les informations que vous recevez et/ou émettez, à l’occasion de votre activité professionnelle, sont considérées comme des données personnelles o Données d’identification Données Nom, prénom, adresse, numéro de téléphone, etc. o Informations sur la vie personnelle du patient manipulées Nombre d’enfants, profession, etc. par les o Informations sur la couverture sociale professionnels Assurance maladie obligatoire, complémentaire, etc. de santé o Informations relatives à sa santé Pathologie, diagnostic, prescriptions, soins, etc. o Eventuels professionnels et correspondants Les intervenants dans la prise en charge du patient o Numéro de sécurité sociale des patients Numéro d’Inscription au répertoire des Personnes Physiques (NIR), pour la facturation  Toute information se rapportant à une personne physique identifiée ou identifiable   Personne physique identifiable : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à « Données à o Un identifiant, tel qu’un nom, un numéro d’identification, des données de caractère localisation, un identifiant en ligne personnel » o Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale o Qu’elle soit confidentielle ou publique, de nature privée ou professionnelle, toute information qui correspond à cette définition est considérée comme une donnée à caractère personnel DEFINITIONS LES DONNEES SENSIBLES ET LES DONNEES CONCERNANT LA SANTE  Catégorie particulière des données personnelles  Correspond aux informations qui révèlent o La prétendue origine raciale ou ethnique o Les opinions politiques o Les convictions religieuses ou philosophiques  ou l’appartenance syndicale Notion de  Ainsi que le traitement donnée o Des données concernant la santé « sensible » o Des données génétiques o Des données biométriques aux fins d’identifier une personne physique de manière unique o Des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique  Données à caractère personnel  Relatives à la santé physique ou mentale d’une personne physique, y compris la Données prestation de services de soins de santé, qui révèlent des informations sur l’état concernant la de santé de cette personne santé  Données particulières car considérées comme sensibles o Protection particulière par les textes réglementaires (RGPD, CNIL, etc.) Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 2 2024-2025 Définitions : LES DONNEES SENSIBLES ET LES DONNEES CONCERNANT LA SANTE LES DIFFERENTES DONNEES CONCERNANT LA SANTE Données de  Antécédents médicaux, diagnostics, prestations de soins réalisés, résultats santé par nature d’examens, traitements, handicap… Données de  Du fait de leur croisement avec d’autres données, elles deviennent des données de santé par santé combinaison o Ex : poids + nombre de pas Données de  De part l’utilisation qui en est faite sur le plan médicale, elles deviennent des santé par données de santé destination o Ex : une photo DEFINITIONS LE CARACTERE IDENTIFIANT DES DIFFERENTS TYPES DE DONNEES (1/2)  Du niveau le plus fort vers le niveau le plus faible o Données identifiantes Les « niveaux » Directement identifiantes : données nominatives (nom, prénom), … d’identification des Non directement identifiantes : date de naissance, dates de RDV, données données codées ou pseudonymisées o Données anonymisées o Données agrégées  « Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique Notion de identifiée ou identifiable » « pseudonymisation »  La pseudonymisation constitue une des mesures recommandées par le RGPD pour limiter les risques liés au traitement de données personnelles  Elle est souvent utilisée dans le domaine de la recherche en santé  Elle consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.)  L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.  Conséquences : o La législation relative à la protection des données de s’y applique plus o Elle permet d’exploiter des données personnelles dans le respect des droits et libertés des personnes o Elle ouvre des potentiels de réutilisation des données initialement interdits Notion de « donnée o Elle permet de conserver des données sans limite de temps anonyme »  Le « groupe de travail de l’article 29 » (qui regroupe les autorités de protection des données européennes) a publié un avis sur les principales techniques d’anonymisation et propose trois critères suivants pour évaluer une solution d’anonymisation : o L’individualisation : est-il toujours possible d’isoler un individu ? o La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ? o L’inférence : peut-on déduire de l’information sur un individu ? Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 3 2024-2025 DEFINITIONS LE CARACTERE IDENTIFIANT DES DIFFERENTS TYPES DE DONNEES (2/2)  Il s’agit de nouvelles données calculées à partir du jeu de données source, généralement Notion de des données de nature statistiques (moyenne, médiale, quartiles, …) « données  Ces données agrégées ne comportent généralement pas de données à caractère agrégées » personnel mais il peut y avoir des exceptions  Données à caractère personnel contiennent les données directement identifiantes et les données indirectement identifiantes o Les données indirectement identifiantes contiennent le recoupement de données anonymes et les données pseudonymisées o Une donnée non directement identifiante peut être une donnée à caractère personnel o Une donnée pseudonymisée n’est pas une donnée « anonyme »   Une donnée « anonyme » n’est pas ou plus une donnée à caractère personnel  Points  Un processus d’anonymisation est un traitement de données à caractère personnel importants impliquant un appauvrissement des données brutes et une restriction du champ des exploitations possibles o Le processus inverse de re-identification n’est a priori pas possible  Pseudonymiser un jeu de données protège la vie privée (dé-identification) mais cela ne le rend pas anonyme. Il permet le chaînage et l’appariement des données personnels d’un individu. o Le processus inverse de re-identification est possible : la pseudonymisation est réversible INTRODUCTION AU TRAITEMENT DE DONNÉES PERSONNELLES  Traitement de données = toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des Notion de ensembles de données à caractère personnel o La collecte , l'enregistrement, l'organisation, la structuration, la conservation, « traitement » l'adaptation ou la modification , l'extraction , la consultation , l'utilisation, la de données communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion , la limitation, l'effacement ou la destruction  « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »  Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel  4 critères cumulatifs : libre + spécifique + éclairé + univoque o Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se Le voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de consentement refus selon le RGPD o Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée o Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente o Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 4 2024-2025 INTRODUCTION AU TRAITEMENT DE DONNÉES PERSONNELLES ACTEURS DU « TRAITEMENT » DES DONNEES  Les acteurs du traitement de données sont :  Le responsable du traitement (RT) : o « La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les Selon les moyens du traitement » RGPD o NB. C’est le RT qui est responsable en cas de contrôle ou d’infraction  Le sous-traitant : o « La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »  Le RGPD a permis un allègement des obligations en matière de formalités préalables auprès de la CNIL, en responsabilisant les acteurs : le RT  Le RT doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches entreprises, selon le principe d’accountability Rôles du  Ce principe d’accountability implique un certain nombre de dispositions responsable o La mise en place d’un registre des activités de traitements de o La conduite d’analyses d’impact pour les traitements considérés comme présentant « un risque élevé » pour les personnes traitement o L’encadrement de l’information des personnes concernées (patients, fournisseurs, (RT) étudiants, usagers, etc.) o L’assurance de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.). o La formalisation des rôles et responsabilités du RT et du sous-traitant o La documentation des actions menées pour garantir la sécurité des données  « DPD » ou « DPO » (data protection officer, en anglais)  « Chef d’orchestre » de la conformité en matière de protection des données au sein d’un organisme : Rôles de o Informe et conseille l'organisme ainsi que ses employés délégué à la o Contrôle le respect du règlement et du droit national en matière de protection des protection données des o Conseille l’organisme sur la réalisation d’une analyse d'impact relative à la protection données des données (AIPD) et en vérifie l’exécution o Est l’interlocuteur des personnes concernées pour les questions relatives à la protection des données personnelles o Coopère avec la CNIL dont elle est le point de contact Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 5 2024-2025 INTRODUCTION AU TRAITEMENT DE DONNÉES PERSONNELLES MISE EN ŒUVRE D’UN TRAITEMENT DE DONNEES PERSONNELLES DE SANTE (1/2)  Quel est l’objectif (finalité) de mon traitement ?  Cette finalité est-elle déterminée, explicite et légitime ?  Quelle est la base légale du traitement ?  A quel titre puis-je déroger au principe d’interdiction de la collecte des données de santé ?  Les données collectées sont-elles adéquates, pertinentes et nécessaires au regard de la finalité du traitement ? o Aspect méthodologiques, minimisation de la collecte des données  Données collectées sont-elles exactes et mises à jour ? o Problématique de la qualité des données  Le patient est-il informé au moment de la collecte et peut-il exercer ses droits ? o Consentement ? non-opposition ? possibilité d’exercer ses droits : contact ?  La durée de conservation des données est-elle adaptée à la finalité du traitement ? o 20 ans pour le soin (plus dans le cas de la pédiatrie et de la génétique par exemple), « Checklist » plus limité pour la recherche (dépendant de la qualification de l’étude) avant le  Des mesures de sécurité sont-elles mises en place pour garantir l’intégrité et la traitement de confidentialité des données ? données o Enjeux de cybersécurité  Le traitement est-il dans le périmètre de la section 3 de la LIL ? o Dispositions particulières de la LIL pour les données de santé  Si je souhaite mener un projet de recherche, quelle est la qualification de mon étude ? S’il s’agit d’une recherche n’impliquant pas la personne humaine, je vérifie qu’il ne s’agit pas d’une étude interne. o S’agit-il de « RPIH » : recherche impliquant la personne humaine ? interventionnelle (1,2) ou non (3) ? o Ou « RNPIH » : recherche n’impliquant pas la personne humaine o La recherche interne n’implique aucune formalité auprès de la CNIL  Mon traitement est-il conforme à un référentiel homologué par la CNIL ? o La CNIL a adopté des méthodologies de référence (MR-001 à MR-006) qui offrent un cadre sécurisé pour la mise en œuvre des traitements de recherche dans le domaine de la santé o Sinon, une demande d’autorisation (DA) est nécessaire auprès de la CNIL  La finalité du traitement est l’objectif principal de l’utilisation des données collectées  Les données sont collectées pour un but bien déterminé et légitime et ne sont pas Finalité du traitées ultérieurement de façon incompatible avec cet objectif initial traitement  Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur  C’est la base « légale » ou « juridique » qui donne le droit à un organisme de traiter des Base données à caractère personnel « légale » ou  Le RGPD a définit 6 bases légales « juridique » o Consentement, mission d’intérêt public, intérêt légitime, … Dérogation  Indispensable, sinon la collecte des données n’est pas autorisée aux principes  Les motifs possibles de dérogation à l’interdiction de traitement des données d’interdiction personnelles sont définis par le RGPD (article 9-II) et la LIL (articles 6-II, 44 + section3) Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 6 2024-2025 INTRODUCTION AU TRAITEMENT DE DONNÉES PERSONNELLES MISE EN ŒUVRE D’UN TRAITEMENT DE DONNEES PERSONNELLES DE SANTE (2/2)  Le patient est-il bien informé en amont du partage/de l’échange de ses données ? Checklist en  Ce partage intervient-il dans le cadre de l’équipe de soins ou en dehors de celle-ci ? cas de  Le partage / l’échange des données est-il licite ? partage /  Les personnes sont-elles bien autorisées à accéder aux données de santé du patient ? échange des  Une procédure de gestion des habilitations et des accès est-elle mise en place ? données  Les professionnels de santé utilisent-ils la messagerie sécurisée pour échanger entre eux ?  « Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de Notion de « telles données. » violation de  = obligation d’information des instances de la CNIL données à  Selon article 33 du RGPD, en « cas de violation de données à caractère personnel, le caractère responsable du traitement en notifie la violation en question à l'autorité de contrôle personnel » compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. »  Risque de sanction pécuniaire en cas de défaut de sécurisation et d’information  Risque de sanctions disciplinaires et pénales en cas de copies des données de santé  Toute opération effectuée et appliquées à des données à caractère personnel constitue un traitement de donnée  Les intervenants dans un traitement de données sont le RT (et plus ou moins sous- Points traitant), le plus souvent aidé d’un DPO importants  Le consentement d’un patient, pour être valide, doit être libre, spécifique, éclairé et univoque. Le consentement s’accompagne d’un droit de retrait  Tout traitement de donnée à caractère personnel doit être inscrit au registre des activités de traitement de l’institution par le RT Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 7 2024-2025 CADRE REGLEMENTAIRE DES DONNEES A CARACTERE PERSONNEL  Le Règlement Général sur la Protection des Données – RGPD o Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des Un cadre données à caractère personnel et à la libre circulation de ces données réglementaire o Applicable à partir du 25 mai 2018 national et  La Loi Informatique et Libertés – LIL européen o Loi nᵒ 78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978. Création de la Commission nationale de l'informatique et des libertés (CNIL) o Dernier décret d’application de la loi, daté du 29 mai 2019 pour une adaptation au droit européen (« LIL3 »)  Chapitre I, Article premier – Objet et objectifs o Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles Règlement relatives à la libre circulation de ces données Général sur la o Le présent règlement protège les libertés et droits fondamentaux des personnes Protection des physiques, et en particulier leur droit à la protection des données à caractère Données personnel o La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel  « La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour La commission l'application du [RGPD]. » (Chap.2 de la LIL)  La CNIL est le régulateur français des données personnelles nationale de  Elle a quatre missions : l'informatique o Informer, protéger les droits et des libertés o Accompagner la conformité / conseiller o Anticiper et innover o Contrôler et sanctionner RGPD, CNIL et données de  Guide élaboré par le Conseil National de l’Ordre de Médecins (CNOM) et la CNIL santé : guide  Le RGPD vu par l’Ordre des Médecins pratique Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 8 2024-2025 CADRE REGLEMENTAIRE DES DONNEES A CARACTERE PERSONNEL PRINCIPE REGLEMENTAIRE DE LA PROTECTION DES DONNEES PERSONNELLES DE SANTE  Aux fins du présent règlement, on entend par « traitement », toute opération ou tout Leur ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées traitement à des données ou des ensembles de données à caractère personnel, … est interdit o Article 9-I du RGPD et article 6-I de la LIL  Article 9-II du RGPD  Articles 6-II, 44 + section 3 de la LIL  Quelles justifications à l’exception d’interdiction de traitement des données à caractère personnel de santé ?  Ce qui s’applique pour les données personnelles o Le consentement explicite de la personne (pour une finalité donnée) o Obligations liées au droit du travail, protection sociale, sécurité sociale o Sauvegarde des intérêts vitaux de la personne o Les traitements mis en œuvre par une fondation, une association ou autre organisme à but non lucratif si : Le traitement se rapporte exclusivement aux membres de l’organisme ou personnes entretenant des contacts réguliers ET la personne concernée a donné son consentement pour les données transmises hors de l’organisme o Données rendues manifestement publiques par la personne concernée o Constatation, exercice ou défense d’un droit en justice o Motifs d’intérêt public important Il existe o Médecine préventive, diagnostics médicaux, prise en charge sanitaire ou sociale ou des gestion des systèmes et services de soins en santé o Motifs d’intérêt public dans le domaine de la santé publique exceptions o Recherche scientifique, fins archivistiques ou statistiques à cette  Ce qui s’applique pour les données de santé interdiction o Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel o Etudes conduites à partir des données recueillies lors du suivi médical ou individuel par les personnels assurant ce suivi et pour leur usage exclusif (« étude interne ») o Traitements mis en œuvre pour l’exercice de leurs missions par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaire o Traitements effectués par les Médecins responsables de l’information médicale (DIM) dans les établissements de santé pour leurs missions o Traitements effectués par les ARS et par l’État sur l’activité des établissements de santé o Traitements mis en œuvre par l’État aux fins de conception, de suivi ou d’évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d’exploitation et de diffusion des statistiques dans ce domaine Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 9 2024-2025 CADRE REGLEMENTAIRE DES DONNEES A CARACTERE PERSONNEL CHAMP D’APPLICATION DU RGPD ET DROITS DES PATIENTS  Le RGPD s’applique à tout traitement de données à caractère personnel dès lors que : Où et à qui o Le responsable du traitement est dans l’Union Européenne (même si le traitement lui- s’applique le même est effectué en dehors de l’UE) RGPD ? o OU que les données sont relatives à des personnes qui se trouvent sur le territoire de l'Union (même si le responsable du traitement est en dehors de l’UE)  Il existe des exceptions, en particulier, le RGPD ne s’applique pas lorsque le traitement est effectué par une personne physique dans le cadre d'une activité strictement personnelle ou domestique Données du  Autres cas de non applicabilité : comme la sécurité publique, …  Tous les organismes qui utilisent des données personnelles ont l’obligation d'indiquer où et secteur comment les personnes peuvent exercer leurs droits relatifs à ces données public et  Pour les données personnelles ces droits sont les suivants : privé o Accès, effacement, opposition, portabilité, rectification, limitation du traitement o Pour l’effacement, l’opposition, la rectification et la limitation du traitement, en cas de base légale « d’Exécution d’une mission d’intérêt public », le responsable du traitement des données peut s’y soustraire  « Les personnes ont le droit d'obtenir une copie de toutes les informations que vous avez à leur sujet. Cela permet, entre autres, à une personne de savoir si des données la concernant sont traitées et d’en obtenir une copie lisible dans un format compréhensible. Il permet notamment de contrôler l’exactitude des données »  Droit d’accès aux données de santé o Section 3 : Traitements de données à caractère personnel dans le domaine de la santé Droit d’accès o Article 64 : Lorsque l'exercice du droit d'accès s'applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l'intermédiaire d'un médecin qu'elle désigne à cet effet, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique o « Toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels de santé, […] directement ou par l'intermédiaire d'un médecin qu'elle désigne… » article L. 1111-7 du CSP  Les personnes ont le droit de demander l’effacement de l'intégralité des données que vous détenez sur elles Effacement  Peu applicable en l’état en matière de santé dans le cadre du soin, mais tout à fait applicable dans le cadre de la recherche  Les personnes ont le droit de de s’opposer dans certains cas à ce que leurs données soient utilisées pour un objectif précis Opposition  Applicable en l’état en matière de santé dans le cadre de la recherche, sans objet dans le cadre du soin  Les personnes ont le droit de récupérer leurs données dans un format lisible par machine, pour leur propre usage ou pour les fournir à un autre organisme Portabilité  Totalement applicable dans le cadre du soin (et appliqué avec l’exemple du dossier médical personnel « DMP »)  Les personnes ont le droit de demander la modification de leurs données lorsque celles-ci sont Rectification incorrectes afin de limiter l’utilisation ou la diffusion d’informations erronées  Peu ou pas applicable en l’état en matière de santé  Les personnes ont le droit de demander à ce que le traitement de leurs données soit bloqué Limitation pendant un certain temps, par exemple le temps d’examiner une contestation de sa part sur du l’utilisation de ses données ou une demande d’exercice de droits traitement  Peu applicable en l’état y compris en recherche Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 10 2024-2025 CADRE REGLEMENTAIRE DES DONNEES A CARACTERE PERSONNEL LES DROITS DES PATIENTS DEPENDENT DE LA « BASE LEGALE » DU TRAITEMENT DES DONNEES  Le consentement, le contrat, l’obligation légale, la mission d’intérêt public, l’intérêt légitime, la sauvegarde des intérêts vitaux L’article 6 du  Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une RGPD propose des « bases légales » prévues par le RGPD 6 bases légales  C’est cette base légale (ou juridique) qui donne le droit à un organisme de traiter des données à caractère personnel Le  La personne a consenti au traitement de ses données consentement  Le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la Le contrat personne concernée L’obligation  Le traitement est imposé par des textes légaux légale La mission  Le traitement est nécessaire à l’exécution d’une mission d’intérêt public d’intérêt public  Le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui L’intérêt traite les données ou d’un tiers, dans le strict respect des droits et intérêts des légitime personnes dont les données sont traitées La sauvegarde  Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne des intérêts concernée, ou d’un tiers vitaux CADRE REGLEMENTAIRE DES DONNEES A CARACTERE PERSONNEL POINTS IMPORTANTS Double cadre  Pour le traitement des données personnelles : européen (RGPD) et français (LIL) réglementaire Traitement  Les données personnelles et les données personnelles de santé sont des données dont est interdit le traitement est interdit, sauf exceptions définies par la LIL et le RGPD sauf o Il existe des exceptions pour les données personnelles exceptions o Et il existe des exceptions pour les données personnelles de santé Application  Si le responsable de traitement est dans l’UE ou si les données concernent une du RGPD personne sur le territoire de l’UE Droits sur les  Les personnes (et les patients) ont des droits sur leurs données qui dépendent de la données base légale (ou juridique) du traitement de ces données Médisup Sciences 1 Rue Castex 75004 Paris – Tél : 01 48 04 90 50 11

Fiche de cours n°3 Santé numérique PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue