Hébergement des données de santé

Selon l’article 1111-8 du code de la santé publique "l’ hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime".

— > Cela veut dire que le consentement de la personne pour que soit hébergé des données le concernant n’a plus à être recueilli : il est présumé.

La personne doit seulement être informée ( par voie d’affichage dans le service par exemple )

Traitement des données de santé

Concernant le consentement de la personne au traitement de ses données, il est toujours obligatoire.

Article 2 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Modifié par Loi n°2004-801 du 6 août 2004 ) :

"Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée"

Qu’entend-on par traitement de données ?
Article 2 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Modifié par Loi n°2004-801 du 6 août 2004 ) :

" Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction".

Qui est responsable du traitement des données ? :

Article 3 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Modifié par Loi n°2004-801 du 6 août 2004 ) :

"Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens".

—> Le responsable est donc celui qui a le pouvoir de décision sur le traitement de ces données, pouvoir de décision sur les fins et pouvoir de décision sur les moyens. Le recours à un sous traitant ( par exemple un data-manager) ne l’exonère pas de ses obligations légales. Dans notre cas, il me semble que le chef de service détient cette responsabilité. Cependant exerçant ses fonctions dans un établissement public, le centre hospitalier assumera la responsabilité de ses fautes ( via son représentant légal = directeur général).

Quelle responsabilité juridique en cas de traitement des données sans signature de consentement par le patient :
La CNIL adressera dans un premier temps des avertissements et des mises en demeure de faire cesser le manquement à la loi ;

Pour mémo : En cas de non signature du consentement la sanction pénale est la suivante ( article 226-16 du code pénal) :

"Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende".