Hoja de repaso: Protection des données de santé

📋 Plan du Cours

  1. Qualifier une donnée à caractère personnel
  2. Objectif et finalité du traitement des données
  3. Base légale du traitement des données
  4. Exactitude et mise à jour des données collectées
  5. Partage et échange licite des données de santé
  6. Gestion des habilitations et accès aux données de santé
  7. Utilisation de la messagerie sécurisée entre professionnels de santé
  8. Règles de conformité et violation des données à caractère personnel
  9. Cadre réglementaire des données à caractère personnel
  10. Principes réglementaires de la protection des données personnelles de santé
  11. Champs d’application et droits des patients
  12. Identification des usagers du système de santé

📖 1. Qualifier une donnée à caractère personnel

🔑 Notions clés & Définitions

  • Exemple : Les données stockées sur des serveurs hébergées par des entreprises privées restent des données à caractère personnel soumise à un cadre légal particulier B.
  • Données de santé : Informations qui concernent directement la santé physique ou mentale d'une personne, telles que les antécédents médicaux, diagnostics, traitements, résultats d’examens ou handicaps, ainsi que les données qui deviennent des données de santé par leur croisement avec d’autres données ou par leur utilisation à des fins médicales.
  • Donnée à caractère personnel : Information permettant d'identifier directement ou indirectement une personne physique, notamment par des éléments comme le nom, prénom, numéro d'identification, ou par des données qui, combinées avec d'autres, peuvent révéler l'identité de cette personne.
  • Mise en œuvre : Un traitement de données personnelles de santé 1.

📝 Points essentiels

  • Les données manipulées par les professionnels de santé incluent à la fois des données à caractère personnel et des données sensibles concernant la santé.
  • Les données concernant la santé sont définies comme celles relatives à la santé physique ou mentale d'une personne, et peuvent devenir des données de santé par leur croisement ou leur utilisation à des fins médicales.
  • Les niveaux d’identification des données varient du directement identifiant (nom, prénom) au non directement identifiant, nécessitant parfois des mesures pour éviter la ré-identification.
  • Les données non directement identifiantes peuvent nécessiter des mesures spécifiques pour garantir qu'elles ne puissent pas être ré-identifiées, notamment par pseudonymisation ou anonymisation.
  • En tant que professionnel de la santé, que ce soit en cabinet ou à l’hôpital, vous allez manipuler de nombreuses données (factures, ordonnances, autres documents administratifs) telles que :  Informations pour gérer un cabinet/structure o (ex : gestion des fournisseurs, des personnels, etc.)  Informations sur les patients o Données d’identification (ex : nom, prénom, adresse, numéro de téléphone…) o Informations sur la vie personnelle du patient (ex : nombre d’enfants, profession…) o Informations sur la couverture sociale (ex : assurance maladie obligatoire, complémentaire...) o Informations relatives à sa santé (ex : pathologie, diagnostic, prescriptions, soins, etc.) o Éventuels professionnels/correspondants (ex : les intervenants dans la prise en charge du patient) o Numéro de sécurité sociale des patients (Numéro d’Inscription au Répertoire des Personnes Physiques - NIR) pour la facturation Toutes ces informations que vous manipulez, à l’occasion de votre activité professionnelle, sont considérées comme des données personnelles = données à caractère personnel.
  •    Notion de « pseudonymisation » = consiste à remplacer les données directement identifiantes (noms, prénoms, etc…) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.)  « Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires »  Ces informations supplémentaires doivent être conservées séparément et soumises à des mesures techniques et organisationnelles  La pseudonymisation constitue une des mesures recommandées par le RGPD pour limiter les risques liés au traitement de données personnelles.

💡 À retenir

Comprendre précisément ce qui constitue une donnée à caractère personnel et ses sous-catégories est fondamental pour appliquer correctement les règles de protection.

📖 2. Objectif et finalité du traitement des données

🔑 Notions clés & Définitions

  • Finalité du traitement : domaine spécifique du traitement des données qui correspond à l’objectif précis poursuivi par le responsable du traitement lors de la collecte, de la conservation ou de l’utilisation des données. Elle doit être déterminée, explicite et légitime, afin de guider toutes les opérations effectuées sur les données. La finalité doit également être conforme aux exigences légales, notamment en matière de transparence et de respect des droits des personnes concernées.

📝 Points essentiels

  • Les données collectées doivent être adéquates, pertinentes et nécessaires au regard de la finalité du traitement : cela implique que chaque donnée recueillie doit avoir une utilité directe pour atteindre l’objectif déclaré. Toute collecte de données excessives ou non justifiée par la finalité est prohibée, afin d’éviter la sur-collecte et de respecter le principe de minimisation. La minimisation de la collecte des données constitue un principe méthodologique essentiel, qui impose de limiter la quantité de données recueillies à ce qui est strictement nécessaire pour la finalité poursuivie.

  • La durée de conservation des données doit être adaptée à la finalité : pour le traitement lié au soin, cette durée peut aller jusqu’à 20 ans, tandis que pour la recherche, elle doit être plus limitée, en fonction de la qualification de l’étude. La conservation prolongée doit rester justifiée par la finalité initiale, et toute durée doit respecter le principe de limitation dans le temps.

  • Le patient doit être informé au moment de la collecte : cela implique une obligation d’information claire et précise sur la finalité du traitement, les données collectées, leur durée de conservation, ainsi que sur les droits dont il dispose. Il doit également pouvoir exercer ses droits, notamment celui d’accès, de rectification, d’effacement ou d’opposition, conformément aux règles en vigueur.

  • Des mesures de sécurité doivent garantir l’intégrité et la confidentialité des données : cela comprend la mise en place de dispositifs techniques et organisationnels appropriés pour empêcher tout accès non autorisé, toute perte, altération ou divulgation des données. La sécurité doit être adaptée à la sensibilité des données traitées et à la finalité poursuivie.

💡 À retenir

La finalité du traitement conditionne la nature, la quantité et la durée de conservation des données collectées, en assurant que celles-ci soient pertinentes, nécessaires et protégées tout au long de leur cycle de vie.

📖 3. Base légale du traitement des données

🔑 Notions clés & Définitions

  • Base légale : La justification juridique qui autorise un organisme à traiter des données à caractère personnel, parmi les six bases légales définies par le RGPD, telles que le consentement, la mission d’intérêt public ou l’intérêt légitime.
  • Données collectées sont-elles : La conformité des données collectées à la finalité du traitement, évaluée selon leur adéquation, pertinence, nécessité, exactitude et mise à jour, en respectant les conditions méthodologiques et légales.

📝 Points essentiels

  • Le consentement doit être une manifestation de volonté libre, spécifique, éclairée et univoque, permettant le traitement des données.
  • Le consentement constitue une des six bases légales prévues par le RGPD pour autoriser le traitement des données personnelles.
  • Le traitement des données personnelles est interdit par défaut sans une base légale spécifique, sauf dérogations prévues par le RGPD ou la loi.
  • Des justifications particulières, telles que le consentement explicite ou des obligations légales, permettent de déroger à l’interdiction de traitement des données de santé.

💡 À retenir

Le traitement des données personnelles doit impérativement reposer sur une base légale claire, sans laquelle il est interdit, sauf dérogations spécifiques.

📖 4. Exactitude et mise à jour des données collectées

🔑 Notions clés & Définitions

  • Données collectées : Les données concernent toute information recueillie lors du traitement, qui doit être exacte, pertinente, nécessaire, et régulièrement actualisée pour garantir leur qualité.

📝 Points essentiels

  • La qualité des données est un enjeu majeur pour la pertinence des traitements et la sécurité des soins.
  • La non-actualisation des données peut compromettre la sécurité et la pertinence des soins, en affectant la qualité des traitements.

💡 À retenir

Maintenir l’exactitude et la mise à jour des données est crucial pour la sécurité et l’efficacité des traitements.

📖 5. Partage et échange licite des données de santé

🔑 Notions clés & Définitions

  • Partage licite des données : opération par laquelle des informations relatives à la santé sont transmises ou échangées entre différentes personnes ou entités dans le respect des règles légales en vigueur, garantissant la protection de la confidentialité et des droits du patient.

  • Échange dans l’équipe de soins : transmission ou partage des données de santé entre les professionnels ou membres d’une même équipe de soins, dans le but d’assurer une prise en charge cohérente et efficace du patient, tout en respectant les règles de confidentialité et d’autorisation.

  • Information préalable du patient : obligation d’informer le patient, avant toute opération de partage ou d’échange de ses données, de la nature, de la finalité, des destinataires et des modalités de cet échange, afin de respecter son droit à l’information et à l’autodétermination.

📝 Points essentiels

  • Le partage ou échange des données doit être licite et respecter le cadre légal : cela implique que toute opération de transmission ou de communication de données de santé doit se faire dans le respect strict des lois en vigueur, notamment en matière de protection des données et de confidentialité. Le cadre légal encadre notamment les conditions dans lesquelles ces données peuvent être partagées, en précisant les situations autorisées, les destinataires habilités, ainsi que les modalités de sécurisation.

  • Le patient doit être informé en amont du partage ou de l’échange de ses données : cette information doit précéder toute opération de transmission, permettant au patient de connaître la nature des données concernées, leur finalité, les personnes ou entités qui y auront accès, ainsi que ses droits en matière d’accès, de rectification ou d’opposition. L’information doit être claire, compréhensible et adaptée à la situation.

  • Le partage peut intervenir dans le cadre de l’équipe de soins ou en dehors, avec des règles spécifiques : au sein de l’équipe de soins, le partage doit respecter la nécessité de garantir la continuité et la qualité de la prise en charge. En dehors de cette équipe, notamment avec des partenaires ou organismes extérieurs, des règles particulières s’appliquent, notamment en matière d’habilitations et de sécurisation des données.

  • Les personnes accédant aux données doivent être autorisées : seules les personnes disposant d’une habilitation spécifique, en fonction de leur rôle et de leur besoin d’accès, peuvent consulter ou manipuler les données de santé. Cette habilitation doit être conforme aux règles en vigueur et justifiée par la nécessité de la mission.

  • Une procédure de gestion des habilitations doit être mise en place : pour assurer un contrôle rigoureux, une procédure doit définir les modalités d’attribution, de suivi et de retrait des habilitations. Elle doit également prévoir des mesures pour garantir la traçabilité des accès et des opérations effectuées sur les données, afin de prévenir tout usage non autorisé ou abusif.

💡 À retenir

Le partage des données de santé est strictement encadré par la loi pour garantir la confidentialité et respecter les droits du patient, en imposant notamment une information préalable et une gestion rigoureuse des accès.

📖 6. Gestion des habilitations et accès aux données de santé

🔑 Notions clés & Définitions

  • Données de santé : Informations personnelles relatives à la santé d’un individu, incluant des identifiants professionnels et coordonnées sécurisées, qui peuvent être classées en données en libre accès ou en accès restreint dans l’annuaire de santé.
  • Gestion des habilitations : Une procédure de gestion des habilitations et des accès̀ est-elle mise en place ?
  • Protection des données : Délégué à la protection des données (DPD ou DPO)
  • “DPD” ou “DPO” (data protection officer, en anglais)
  • « chef d’orchestre » de la conformité en matière de protection des données au sein d’un organisme : o informe et conseille l'organisme ainsi que ses employés, o contrôle le respect du règlement et du droit national en matière de protection des données, o conseille l’organisme (et le RT) sur la réalisation d’une analyse d'impact relative à la protection des données (AIPD) et en vérifie l’exécution, o est l’interlocuteur des personnes concernées pour les questions relatives à la protection des données personnelles, o coopère avec la CNIL dont elle est le point de contact.

📝 Points essentiels

  • Une procédure de gestion des habilitations et des accès est obligatoire pour contrôler l’accès aux données de santé.
  • Les données en accès restreint incluent des identifiants professionnels (RPPS, ADELI) et coordonnées sécurisées.
  • La gestion des habilitations garantit la sécurité et la confidentialité des données.
  • Des mesures de sécurité sont-elles mises en place pour garantir l’intégrité et la confidentialité des données ?
  • Le partage / l’échange des données est-il licite ?

💡 À retenir

Contrôler rigoureusement les accès aux données de santé est essentiel pour prévenir les violations et garantir la confidentialité.

📖 7. Utilisation de la messagerie sécurisée entre professionnels de santé

🔑 Notions clés & Définitions

  • Caractère personnel : La qualité d'une donnée qui concerne une personne physique identifiable, notamment dans le contexte de la santé ou de la sécurité des données.

📝 Points essentiels

  • Les professionnels de santé doivent utiliser une messagerie sécurisée pour échanger des données de santé.
  • La messagerie sécurisée garantit la confidentialité et l’intégrité des échanges.
  • L’annuaire de santé contient les adresses de messagerie sécurisée des professionnels habilités.
  • L’utilisation de la messagerie sécurisée est une exigence pour la conformité réglementaire.
  • Elle facilite la coordination et la continuité des soins.
  • Les professionnels de santé utilisent-ils la messagerie sécurisée pour échanger entre eux ?

💡 À retenir

La messagerie sécurisée est un outil clé pour assurer des échanges fiables et conformes entre professionnels de santé.

📖 8. Règles de conformité et violation des données à caractère personnel

🔑 Notions clés & Définitions

  • Violation de données à caractère personnel : Une atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel transmises, conservées ou traitées d'une autre manière.

📝 Points essentiels

  • Une violation de données à caractère personnel entraîne une destruction, perte, altération, divulgation non autorisée ou accès non autorisé, pouvant survenir accidentellement ou de manière illicite.
  • Le respect des règles de conformité est obligatoire pour protéger les données personnelles, incluant la mise en place de mesures de sécurité garantissant leur intégrité et confidentialité.
  • La CNIL est l’autorité de contrôle nationale chargée de veiller à la conformité au RGPD.
  • En cas de violation grave, la notification à la CNIL doit être effectuée dans les meilleurs délais, au plus tard 72 heures après la prise de connaissance de l’incident, conformément aux articles 33 et 55 du RGPD.

💡 À retenir

La conformité réglementaire et la gestion des violations sont fondamentales pour protéger les données personnelles, notamment par la mise en œuvre de mesures de sécurité et la notification obligatoire des incidents à la CNIL.

📖 9. Cadre réglementaire des données à caractère personnel

🔑 Notions clés & Définitions

  • CNIL : Autorité administrative indépendante française chargée de contrôler et de réguler la protection des données personnelles, avec pour missions d’informer, de protéger les droits, d’accompagner la conformité et de sanctionner en cas de non-respect.
  • DONNÉES A CARACTÈRE PERSONNEL : Informations concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par des identifiants tels que nom, prénom, date de naissance ou identifiants numériques.

📝 Points essentiels

  • Le RGPD est applicable depuis le 25 mai 2018 et protège les personnes physiques à l’égard du traitement de leurs données personnelles.
  • La LIL est la loi française relative à l’informatique, aux fichiers et aux libertés, adaptée au droit européen.
  • La CNIL est l’autorité administrative indépendante française de contrôle et de régulation des données personnelles.
  • La libre circulation des données personnelles au sein de l’Union européenne est garantie sous conditions, sans limitation ni interdiction pour des motifs liés à la protection des personnes.

💡 À retenir

Le RGPD est applicable depuis le 25 mai 2018 et protège les personnes physiques à l’égard du traitement de leurs données personnelles.

📖 10. Principes réglementaires de la protection des données personnelles de santé

🔑 Notions clés & Définitions

  • Données personnelles de santé : Données à caractère personnel relatives à la santé d’une personne, dont le traitement est en principe interdit par l’article 9-I du RGPD et l’article 6-I de la LIL, sauf exceptions justifiées.

📝 Points essentiels

  • Le traitement des données personnelles de santé est interdit par principe selon l’article 9-I du RGPD et l’article 6-I de la LIL.
  • Des exceptions à cette interdiction existent, nécessitant une justification précise, comme le consentement explicite ou la sauvegarde des intérêts vitaux.
  • Le consentement explicite de la personne constitue une justification valable pour traiter les données de santé.
  • D’autres justifications incluent les obligations légales liées au droit du travail, la protection sociale ou la sauvegarde des intérêts vitaux.
  • Le respect de ces principes garantit une protection renforcée des données de santé, avec des conditions strictes pour leur traitement.

💡 À retenir

La protection des données de santé repose sur une interdiction de principe assortie d’exceptions strictement encadrées, notamment par le consentement explicite ou la sauvegarde des intérêts vitaux.

📖 11. Champs d’application et droits des patients

🔑 Notions clés & Définitions

  • Droits des patients : L'ensemble des prérogatives permettant aux personnes d'accéder à leurs données de santé, d'être informées, de consentir aux traitements, et d'exercer un contrôle sur l'utilisation de ces données afin de garantir leur autonomie et leur protection.
  • Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, notamment des éléments permettant d'établir son individualité, comme le nom, la date de naissance ou des données de santé.
  • Consentement : Il faut que cet intérêt justifie raisonnablement les atteintes aux droits et liberté des personnes) La sauvegarde des intérêts vitaux Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

📝 Points essentiels

  • Les citoyens ont le droit d’accéder, maîtriser et partager leurs données de santé électroniques.
  • La réutilisation des données de santé est permise pour la recherche, l’innovation et l’élaboration des politiques sous conditions.
  • Le marché unique des dossiers médicaux électroniques favorise l’utilisation primaire et secondaire des données.
  • La protection des données s’applique à tous les traitements dans le système de santé.
  • Les droits des patients incluent l’information, le consentement et la possibilité d’exercer leurs droits.
  • Rectification Droit de demander la modification de leurs données lorsque celles -ci sont incorrectes afin de limiter l’utilisation ou la diffusion d’informations erronées  peu ou pas applicable en l’état en matière de santé En cas de base légale d’exécution d’une mission d’intérêt publique, le responsable du traitement des données peut s’y soustraire Limitation du traitement Les personnes ont le droit de demander à ce que le traitement de leurs données soit bloqué (suspendu) pendant un certain temps, notamment dans le cas où vous contestez l’exactitude des données => la loi autorise l’organisme à procéder à une vérification et pendant laquelle l’organisme n’utilise plus vos données  peu applicable en santé ET en recherche En cas de base légale d’exécution d’une mission d’intérêt publique, le responsable du traitement des données peut s’y soustraire 14 3.
  • En santé on distingue deux domaines complémentaires dans l’identification des usagers :
    • Identification primaire : opération destinée à attribuer à un usager physique, de manière univoque, une identité numérique qui lui est propre dans un système d’information de santé  lorsque le patient arrive à l’hôpital, il donne ses pièces d’identités …
    • Identification secondaire : moyen mis en œuvre pour s’assurer que le bon soin sera délivré au bon patient  bracelets avec étiquettes et noms qui sont donnés aux patients, demande avant traitements invasifs, vérification de l’identité à plusieurs reprises...

💡 À retenir

Les droits des patients incluent l’information, le consentement et la possibilité d’exercer leurs droits.

📖 12. Identification des usagers du système de santé

🔑 Notions clés & Définitions

  • Assuré social  matricule INS : Personne enregistrée dans le système de sécurité sociale, identifiée par un matricule INS qui correspond au numéro de sécurité sociale figurant sur la carte vitale, permettant de référencer ses données de santé.
  • Système de santé : Ensemble des acteurs, structures, outils et référentiels impliqués dans la prise en charge, la gestion et la sécurisation des données de santé des usagers.
  • Identification : Notions importantes Différence entre identification et authentification :  Identification = permet de connaître l’identité  Authentification = permet de vérifier l’identité Authentification  fait intervenir deux entités distinctes :  Le prouveur cherche à prouver son identité  Le vérifieur doit être capable de s’assurer de la validité de l’identité du prouveur B.
  • ECPS : Cartes de professionnel de santé (CPS et eCPS) Carte CPS (carte à puce)

📝 Points essentiels

  • L’annuaire de santé contient des données en libre accès et en accès restreint permettant d’identifier les usagers et professionnels du système de santé.
  • Les identifiants RPPS et ADELI permettent d’identifier les professionnels de santé habilités, avec des données validées par des autorités d’enregistrement telles que les ordres professionnels ou les agences régionales de santé.
  • L’annuaire inclut les noms, prénoms, diplômes, spécialités, coordonnées professionnelles et adresses de messagerie sécurisée des professionnels de santé.
  • L’évolution vers RPPS+ vise à regrouper plusieurs bases de données pour une gestion unifiée et améliorée des identifiants des professionnels de santé.
  • L’accès aux données de l’annuaire est réservé aux utilisateurs habilités, notamment les professionnels de santé et du médicosocial en charge de l’usager, et non aux patients.

💡 À retenir

L’annuaire de santé contient des données en libre accès et en accès restreint permettant d’identifier les usagers et professionnels du système de santé.

📊 Tableaux de Synthèse

Comparaison des bases légales et finalités du traitement

Base légaleFinalité
ConsentementAutorise le traitement avec volonté claire et spécifique
Mission d’intérêt publicTraitement pour une mission légale ou d’intérêt général
Intérêt légitimeTraitement nécessaire à la poursuite d’un intérêt légitime

⚠️ Pièges & Confusions Fréquentes

  1. Confusion entre données à caractère personnel et données sensibles
  2. Mauvaise compréhension des conditions de licéité du partage de données
  3. Oublier la nécessité d’une information préalable au patient
  4. Négliger la mise à jour régulière des données pour garantir leur exactitude
  5. Ignorer les règles strictes de sécurisation lors du partage ou de l’échange de données
  6. Sous-estimer l’importance de la traçabilité des accès aux données
  7. Confondre identification et authentification des usagers

✅ Checklist Examen

  1. Vérifier la conformité du traitement avec la base légale choisie
  2. S’assurer de l’information claire et compréhensible du patient
  3. Mettre en place une procédure d’habilitation et de gestion des accès
  4. Garantir la mise à jour régulière des données collectées
  5. Utiliser une messagerie sécurisée pour les échanges entre professionnels
  6. Respecter les règles de notification en cas de violation de données
  7. Former le personnel aux règles de protection des données
  8. Vérifier la conformité des mesures de sécurité mises en place
  9. Documenter toutes les opérations de traitement et d’échange de données
  10. Respecter les droits des patients en matière d’accès, de rectification et d’opposition
  11. Mettre en œuvre un plan de gestion des incidents de sécurité

Pon a prueba tus conocimientos

Pon a prueba tus conocimientos sobre Protection des données de santé con 12 preguntas de opción múltiple con correcciones detalladas.

1. Quelle affirmation correspond au sujet « Qualifier une donnée à caractère personnel » ?

2. Quelle affirmation correspond au sujet « Objectif et finalité du traitement des données » ?

Realiza el cuestionario →

Repasa con tarjetas de memoria

Memoriza los conceptos clave de Protection des données de santé con 24 tarjetas de memoria interactivas.

Donnée à caractère personnel — définition ?

Information permettant d'identifier une personne.

Objectif du traitement — but ?

Atteindre un objectif spécifique et légitime.

Base légale du traitement — exemple ?

Consentement ou mission d’intérêt public.

Ver tarjetas de memoria →

Similar courses

Modernisation de l'administration française

Introduction au droit financier public

Introduction au Droit du Travail

Les limites et procédures de la révision constitutionnelle

Introduction à la Constitution et à la Révision

Les droits fondamentaux et leur protection

Crea tus propias hojas de repaso

Importa tu curso y la IA genera hojas, cuestionarios y tarjetas de memoria en 30 segundos.

Generador de hojas