Panier Vide

03 juin 2019

Rappel sur le dispositif français de protection des données personnelles... Spécial

Évaluer cet article
(0 Votes)

Cela fait maintenant un an que le Règlement général sur la protection des données (RGPD), édicté dans le cadre de l’Union européenne, s’impose en France, comme dans l’ensemble des pays membres de l’Union européenne. Les professionnels de santé, qui manipulent des données personnelles sensibles, sont particulièrement concernés par le respect de ces règles européennes. Qui, en France, ont été complétées par des règles nationales. Rappel des éléments clés.

La loi française en plus du règlement européen

Le RGPD (Règlement général sur la protection des données) est d’application directe dans les États membres de l’Union européenne depuis le 25 mai 2018. Les législateurs de chaque État membre ont toutefois un peu de latitude pour compléter ou moduler un certain nombre de ses dispositions. La France ne s’en est pas privée. Le droit français sur les données personnelles comporte ainsi à la fois des stipulations de droit européen et d’autres de droit national. 

La France s’appuie aujourd’hui sur :

Sans revenir sur l’ensemble du dispositif à mettre en place pour respecter le RGPD (lire l'article de Biologie médicale 118 sur le RGPD), voici quelques points à rappeler. 

Des interdictions… et des exceptions

La loi du 20 juin 2018 relative à la protection des données personnelles énonce le principe d’une interdiction sui generis de « traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».

Néanmoins, dans la mesure où la finalité du traitement de ces données l’exige, certains cas, susceptibles de concerner les LBM, ne sont pas soumis à cette interdiction. En particulier :

  • les traitements pour lesquels la personne concernée a donné son consentement exprès (sauf dans les cas où la loi prévoit que ladite interdiction ne peut être levée par le consentement de la personne concernée) ;
  • les traitements nécessaires à la sauvegarde de la vie humaine mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;
  • les traitements nécessaires à des fins de médecine préventive, de diagnostic médical, d’administration de soins ou de traitements ou de gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel ;
  • les traitements nécessaires à la recherche publique (biomédicale ou autre) et justifiés par l’intérêt public ;
  • les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par l’Assurance maladie ainsi que la prise en charge des prestations par les complémentaires.

Consentement, action de groupe indemnitaire et territorialité

  • En France, l’âge de la majorité pour accepter un traitement informatisé de ses données de santé est de 15 ans, et non 16 ans comme mentionné du RGPD.
  • La législation française instaure la possibilité, pour une association de consommateurs, un syndicat représentatif, ou encore une association vieille de plus de cinq ans dont l’objet statuaire est la protection des données personnelles, d’initier une action dite de groupe indemnitaire. Et ce, sans qu’elle n’ait reçu de mandat pour faire cela, ni qu’elle ne soit forcément partie liée à l’affaire. 

À noter que l’ensemble de ces règles s’appliquent dès lors que la personne impactée réside en France quand bien même le responsable de traitement, lui, n’est pas établi en France.
 
ATTENTION. La période de tolérance de la CNIL semble terminée et le contrôle du respect du RGPD et des règles françaises a commencé, en particulier auprès de ceux qui manipulent des données sensibles. Et les sanctions vont commencer à tomber. 

Informations supplémentaires

  • Accès Restreint: non
Dernière modification le jeudi, 06 juin 2019