Le Conseil de l'Europe publie de nouvelles lignes directrices relatives aux données de santé

Le Conseil de l’Europe a publié de nouvelles lignes directrices à l’intention des pays membres, relatives au droit à la protection des données de santé.

Le phénomène croissant de la dématérialisation des données a donné lieu à une nouvelle recommandation adoptée par le Conseil des Ministres du Conseil de l’Europe le 27 mars 2019 CM/Rec(2019)2, (la « Recommandation »).

Dans la lignée des apports du récent Règlement européen sur la protection des données (RGPD) adopté par l’Union Européenne, la Recommandation du Conseil de l’Europe est plus restreinte dans son objet – elle se limite aux données de santé – mais bénéficie d’un champ d’application plus étendu que le RGPD. En effet la Recommandation s’adresse aux 47 pays membres du Conseil de l’Europe, présents sur tout le continent européen et au-delà, contrairement au RGPD qui ne s’applique qu’aux 28 Etats membres de l’Union Européenne. Ainsi des pays comme la Suisse et la Turquie, à qui le RGPD n’est pas applicable, sont directement concernés par la Recommandation.

Les pays membres sont invités à porter la Recommandation à l’attention des responsables des systèmes de santé. Ces derniers doivent en assurer la promotion auprès des différents acteurs qui traitent des données relatives à la santé (notamment les professionnels de santé et les délégués à la protection des données). Cette Recommandation s’applique aussi bien au secteur privé qu’au secteur public.

Parmi les conditions juridiques des traitements de données relatives à la santé posées par la Recommandation (Chapitre II), figurent notamment les exigences suivantes :

- le traitement des données doit être transparent, licite et loyal ;

- les finalités du traitement de données doivent être explicites, déterminées et légitimes ;

- le traitement de données doit être nécessaire et proportionné,

- le consentement des personnes concernées est obligatoire, à l’exception des cas prévus répondant à des bases « légitimes » de traitement des données (par exemple, à des fins de médecine préventive, pour des motifs de santé publique, aux fins de sauvegarde des intérêts vitaux de la personne concernée, pour des motifs d’intérêt public, etc.).

La Recommandation précise qu’une protection appropriée est nécessaire à certains cas spécifiques, comme celui des données relatives aux enfants à naître ou des données génétiques relatives à la santé.

Elle traite également des pratiques concrètes des professionnels de santé, par exemple dans le cadre du partage des données entre différents professionnels aux fins de prise en charge ; auquel cas elle insiste sur l’information préalable de la personne concernée et sur la stricte nécessité des traitements, limités aux périmètres d’activité des professionnels de santé concernés. La Recommandation vise le dossier médical électronique et la messagerie électronique, pour lesquels la protection des données de santé est un enjeu majeur.

La Recommandation évoque également les cas où les données seraient traitées en vue d’autres finalités que celles de la prise en charge ou l’administration des soins, comme par exemple le cas où les données seraient traitées par des compagnies d’assurance ou des employeurs. Elle précise que dans tous les cas, le traitement des données par un destinataire ne peut s’effectuer que lorsque celui-ci est soumis aux mêmes règles de confidentialité que celles qui s’appliquent aux professionnels de santé.

Enfin la Recommandation dresse la liste des droits des personnes concernées (Chapitre III). Elle précise les conditions de la transparence des traitements, de l’accès, de la rectification et de l’effacement des données, de l’opposition au traitement et de la portabilité des données. Elle explique comment assurer la sécurité et l’interopérabilité des données, et précise le cadre applicable aux dispositifs mobiles.

Cette Recommandation intègre les nouvelles dispositions de la Convention actualisée du Conseil de l’Europe relative à la protection des données, ouverte à la signature en octobre 2018 et nommée « Convention 108+ ».

S’agissant d’une recommandation, elle n’a pas la force obligatoire dont bénéficie le RGPD. Néanmoins elle témoigne d’une volonté croissante de protéger les données de santé à l’échelle internationale.

Lien vers le communiqué de presse : https://search.coe.int/directorate_of_communications/Pages/result_details.aspx?ObjectId=090000168093b57d

Lien vers la recommandation : https://search.coe.int/cm/pages/result_details.aspx?objectid=090000168093b26e

Retour