Article IT et données personnelles | 11/12/24 | 4 min. | Florence Chafiol Roxane Blanc-Dubois
La France fait figure d’exception parmi les pays de l’Union européenne en ayant conservé un mécanisme de formalités préalables obligatoires dans le domaine de la santé[1]. Ce régime contraint les organismes mettant en œuvre des traitements de données personnelles dans le domaine de la santé à procéder à des déclarations ou demandes d’autorisation auprès de la CNIL.[2]
Plus concrètement, la CNIL a élaboré des référentiels sur différentes thématiques en santé. Il existe, par exemple, un référentiel CNIL sur les traitements mis en œuvre aux fins de gestion des vigilances sanitaires ou encore des référentiels couvrant des traitements de données effectués à des fins de recherches, études et évaluations dans le domaine de la santé (appelés « méthodologies de référence »). Si le traitement tombe dans le champ d’application d’un référentiel de la CNIL et respecte en tous points ses conditions, alors une simple déclaration de conformité audit référentiel par le responsable de traitement concerné suffit. Dans le cas contraire, cela ne signifie pas que le traitement est nécessairement non-conforme au RGPD et à la Loi Informatique et Libertés, mais il revient à l’organisme concerné de demander et d’obtenir l’autorisation préalable de la CNIL pour pouvoir mettre en œuvre son traitement (faute d’autorisation, le traitement ne peut avoir lieu).
Recevant de nombreuses questions (voire réclamations) quant à ce régime et le contenu des référentiels parfois jugés mal adaptés ou contraignants par certains acteurs, la CNIL a lancé une consultation publique qui s’est achevée le 12 juillet 2024. Après plusieurs mois d’analyse des retours obtenus sur ces référentiels « santé », elle livre ses premières observations[3] parmi lesquelles :
La CNIL semble vouloir tenir compte des retours des acteurs pour mettre à jour/refondre les référentiels « santé » et coller au plus près des réalités des traitements mis en œuvre au quotidien par les organismes du secteur.
Pour cela, dès le premier trimestre 2025, la CNIL va constituer des groupes de travail dont l’objectif sera ainsi de construire collectivement les futurs référentiels « santé » de la CNIL. Pour être intégré à ces groupes de travail, un email peut être envoyé au service concerné de la CNIL (concertationsante@cnil.fr).
[1] Comme le lui permet l’article 9-4 du RGPD qui dispose que les Etats membres peuvent introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données concernant la santé.
[2] Sauf si le traitement tombe dans l’une des exceptions de l’article 65-1° à 6° de la Loi Informatique et Libertés.
[3] Par une publication en date du 9 décembre 2024 et un webinaire en date du 10 décembre 2024 auquel nous avons assisté.