Données de santé: la Cnil liste les traitements pour lesquels une analyse d'impact est obligatoire

Plusieurs traitements de données dans les secteurs sanitaire, médico-social et social font partie des opérations qui nécessitent la réalisation d'une analyse d'impact relative à la protection des données, listées par la Commission nationale de l'informatique et des libertés (Cnil) dans une délibération publiée le 6 novembre au Journal officiel.

Le Règlement général européen relatif à la protection des données personnelles (RGPD), entré en vigueur le 25 mai 2018, prévoit que les traitements d'informations "susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées" doivent faire l'objet d'une analyse d'impact relative à protection des données (AIPD), rappelle-t-on (voir dépêche du 29 mai 2018).

Le Comité européen de la protection des données (CEPD), qui réunit les chefs des Cnil de chaque Etat membre et le contrôleur européen de la protection des données, a identifié neuf critères qui caractérisent "un traitement susceptible d'engendrer un risque élevé", parmi lesquels figurent les traitements de données à grande échelle, de données sensibles comme celles liées à la génétique et à la santé, de données concernant des personnes vulnérables comme des patients, personnes âgées et enfants.

Le croisement et la combinaison de données, l'évaluation et le scoring, la prise de décision automatisée avec un effet juridique ou similaire, la surveillance systématique des personnes, les traitements pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat et l'utilisation innovante l'application de nouvelles solutions technologiques ou organisationnelles, sont également des critères de risque élevé.

Les traitements qui recoupent "au moins deux des critères" mentionnés par le CEPD doivent faire l'objet d'une analyse d'impact, a considéré la Cnil dans sa délibération publiée le 6 novembre.

Les responsables qui estimeraient que leur traitement, bien que réunissant deux des critères, ne présente en réalité pas de risque élevé, devront "expliquer et documenter" leur décision de ne pas procéder à une analyse d'impact "en incluant, s'il a été désigné, l'avis du délégué à la protection des données personnelles" (DPO), est-il précisé.

Traitements concernés et conditions de réalisation de l'analyse d'impact
Dans sa délibération, la Cnil précise le périmètre des traitements soumis à la réalisation de cette analyse, les conditions de réalisation et les obligations de transmission de l'analyse à la Cnil.

Conformément aux dispositions du RGPD, la commission a adopté dans une seconde délibération une liste non exhaustive de 14 "types d'opérations" pour lesquels une analyse d'impact est requise. Les traitements de données dans le secteur de la santé y occupent une place importante.

La Cnil mentionne notamment:

  • Les traitements de données de santé mis en oeuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes
  • Les traitements portant sur les données génétiques de personnes dites "vulnérables", dont les patients et les personnes âgées
  • Les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
  • Les traitements de données de santé nécessaires à la constitution d'un entrepôt de données ou d'un registre
  • Les traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites "vulnérables"
  • Les traitements ayant pour finalité l'accompagnement social ou médico-social des personnes.

Cette liste est appelée à être "régulièrement revue par la commission selon son appréciation des 'risques élevés'", a indiqué la Cnil. La commission établira également une liste des traitements qui, "en tout état de cause, ne présentent pas de risque élevé, et ne sont donc pas soumis à la réalisation d'une AIPD".

Le contenu minimal d'une analyse d'impact, énoncé par le règlement européen, comprend "une description systématique des opérations de traitement envisagées et de ses finalités", "une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités", " une évaluation des risques pour les droits et libertés des personnes concernées" et "les mesures envisagées pour faire face aux risques".

Les traitements mis en oeuvre avant l'entrée en vigueur du RGPD, "c'est-à-dire ayant fait l'objet d'une formalité auprès de la Cnil, en ayant été dispensés, ayant été autorisés par un acte réglementaire ou encore ayant été inscrits dans le registre d'un correspondant informatique et libertés (CIL)" n'auront pas à faire l'objet d'une analyse d'impact "dans un délai de trois ans à compter du 25 mai 2018, à moins que ceux-ci n'aient fait l'objet d'une modification substantielle depuis leur mise en oeuvre", a précisé la Cnil.

Dans un document mis en ligne le 5 novembre sur son site internet, la Commission a donné des exemples de modifications considérées comme "substantielles" dans le traitement de données ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé, et les procédures à suivre en fonction des cas.

(Journal officiel, mardi 6 novembre 2018, textes 81 et 82)