dépêche

 - 

RGPD: trois ans après, le monde de la santé cherche encore l'équilibre

(Par Wassinia ZIRAR)
PARIS, 25 juin 2021 (APMnews) - Trois ans après son entrée en vigueur, le règlement général européen sur la protection des données personnelles (RGPD) s'applique bien aux acteurs traitant des données de santé mais soulève encore des questionnements qui s'expliquent par "un démarrage difficile", "des niveaux d'exigence parfois trop importants" ou "un manque de sensibilisation des acteurs", ont analysé plusieurs experts auprès d'APMnews.
Entré en vigueur le 25 mai 2018 et inscrit dans la loi dite "Cnil 2" (cf dépêche du 21/06/2018 à 09:29), le RGPD encadre le traitement des données à caractère personnel, renforce les droits des personnes notamment par la création d'un droit à la portabilité de ces données et responsabilise tous les acteurs traitant des données.
Il a renforcé les prérogatives de la Commission nationale de l'informatique et des libertés (Cnil) (cf dépêche du 25/05/2018 à 12:24), devenue l'autorité de contrôle chargée d'accompagner les responsables des systèmes d'information, d'établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel.
"Peut-être que toute la population ne comprend pas encore l'ensemble du texte, qui peut parfois être difficile à appréhender mais le RGPD est avant tout un texte de bon sens. Tout le monde est conscient aujourd'hui de ces grands principes que sont la loyauté, la transparence, du fait que les personnes disposent de droits sur leurs données et que celles-ci doivent être protégées", a expliqué à TICpharma début juin Hélène Guimiot-Bréaud, cheffe du service santé de la Cnil.
"Il a été le point de départ d'une prise de conscience collective sur des principes qui préexistaient. Pour le secteur de la santé, l'un des apports importants du RGPD a été de préciser la définition juridique des données de santé, ce que nous n'avions pas avant", a-t-elle complété.

L'acculturation inégale des acteurs de santé

Du côté des professionnels de santé, responsables de traitement au sens du RGPD, la cheffe du service santé de la Cnil reconnaît qu'il peut encore y avoir "un problème de sensibilisation" mais elle souligne que les professionnels sont "conscients de manipuler des informations sensibles au sujet des personnes qu'ils prennent en charge".
"Il peut y avoir un problème de formation: le RGPD prévoit des obligations qui ne se limitent pas au respect de la confidentialité des informations du patient. Par ailleurs, peut-être est-ce aussi une question d'organisation pour les professionnels de santé? Le temps dont ils disposent pour informer les personnes est essentiel", a analysé Hélène Guimiot-Bréaud.
Pour pallier ces problématiques de formation et de sensibilisation, la Cnil "travaille beaucoup avec les ordres professionnels" et produit des "guides pratiques" relatifs à la mise en place du RGPD.
"Nous avons également publié un référentiel sur le RGPD qui s'applique dans le cadre de la gestion des cabinets médicaux et paramédicaux. L'objectif est de décliner les obligations du RGPD au niveau des professionnels de santé libéraux et de leur donner les outils", a-t-elle détaillé.
Pour former les professionnels de santé à ces enjeux, Nesrine Benyahia, docteure en droit public spécialisée en analyse des systèmes de santé, a fondé la start-up DrData en 2018. "Nous sensibilisons beaucoup les professionnels dans les maisons de santé pluriprofessionnelles [MSP] et dans les communautés professionnelles territoriales de santé [CPTS] car ce sont des acteurs qui s'engagent dans la coordination de soins et dans un exercice collectif impliquant tout de suite un traitement à grande échelle de données sensibles", a-t-elle expliqué à TICpharma début juin.
"Certaines MSP ou CPTS sont encore dans la découverte du RGPD. Trois ans après, nous faisons toujours de la sensibilisation et de la formation pour que les acteurs adoptent les bons réflexes sur le terrain. Nous n'attendons pas d'eux qu'ils deviennent des super-DPO [délégués à la protection des données] ou des super-juristes mais qu'ils sachent comment réagir", a-t-elle appuyé.
Concernant les professionnels de santé, la fondatrice de DrData a noté "une dichotomie entre l'hôpital et la ville". "A l'hôpital, le fait d'avoir instauré des agendas en ligne, de la préadmission en ligne ou d'avoir pris le pli de la téléconsultation pendant la crise sanitaire, a rendu ces questions de protection des données de santé obligatoires. Les directions des systèmes d'information [DSI] sont acculturées à ces sujets et le programme Hop'EN, par exemple, les a mis dedans. En ville, rien n'a bougé. Tout cela les dépasse et malgré le travail des ordres, il y a encore une méconnaissance du sujet", a-t-elle rapporté.
Du côté des industriels de santé, Nesrine Benyahia remarque une bonne acculturation chez les "gros acteurs" mais "plus importante encore dans les start-up". "Les acteurs les plus récents ont une réelle volonté de bien faire, ils s'engagent généralement plus que les gros industriels et ils le font d'emblée. Ils ont compris que cela pouvait aussi représenter un avantage concurrentiel."

Les "cow-boys" du RGPD

Tantôt jugée trop rigide, tantôt pas assez, la Cnil doit réguler et elle essuie régulièrement les critiques.
"Quoi que nous fassions, nous serons critiqués mais notre travail consiste avant tout à préserver l'équilibre. Dans ses avis et décisions, la Cnil vérifie que les garanties sont là et lorsqu'il y a un risque d'atteinte aux droits des personnes elle s'assure que ce risque est justifié et proportionné par rapport à la finalité poursuivie", a expliqué Hélène Guimiot-Bréaud.
"En réalité, nous marchons sur une ligne de crête. Nous ne sommes pas le législateur, nous sommes là pour contrôler que la balance ne penche pas plus d'un côté que de l'autre et c'est un exercice complexe. De façon générale, les avis de la Cnil sont toujours très suivis, nous l'avons vu avec tous les textes adoptés depuis le début de la crise sanitaire [cf dépêche du 03/06/2021 à 17:27]", a-t-elle fait valoir.
Pour Me Pierre Desmarais, avocat spécialisé en droit du numérique et des données également interrogé par TICpharma, "le texte fixe un niveau d'exigence trop important par rapport à notre retard initial".
"La principale problématique est que le droit français avait une loi qui datait de 1978 et nous avons l'impression que les gens ont à peine pris connaissance de cette législation en 2016 [le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 a adopté le RGPD, pour une entrée en vigueur au 25 mai 2018, NDLR]. Nous payons aujourd'hui 30 à 40 ans de retard sur la législation, nous le ressentons chez tous les acteurs de santé: les hôpitaux, les industriels dont certains sont encore des passoires informatiques et c'est encore pire du côté des structures associatives ou médico-sociale", a-t-il confié.
"Le texte est parfois interprété à vau-l'eau par certaines autorités et notamment par la Cnil en matière de santé", a-t-il noté. "Je pense, par exemple, aux méthodologies de référence en matière de recherche où la Cnil a demandé une analyse d'impact systématique mais elle a oublié de le notifier."
"Globalement, tous les acteurs sont à la ramasse. Soit, il y a une non-conformité assumée, soit nous rencontrons des DPO 'cow-boys' qui rigidifient l'interprétation du RGPD et nourrissent la défiance chez les industriels. C'est problématique!", a-t-il rapporté.
"Il y a un problème de connaissance du texte et dans son interprétation. Les DPO ne sont pas forcément des juristes et ils ne connaissent pas le code de la santé publique ou le code de l'action sociale et des familles, ils ne savent pas concilier les textes car ils n'ont pas le bagage juridique", a déploré Me Desmarais.
Pour contrer cela, il recommande "une formation juridique pour les DPO et une formation technique et organisationnelle pour les juristes purs".

Quels axes d'amélioration?

Si Me Desmarais a regretté une interprétation parfois trop stricte du texte, sa consoeur Me Juliette Alibert, avocate au barreau de Paris et spécialiste des questions relatives à la protection des données de santé, pense que "les dispositifs de protection peuvent être améliorés".
"Avec le RGPD, nous avons responsabilisé les acteurs qui font le traitement des données et la sous-traitance et le problème généré est une 'sur-responsabilisation' des patients qui doivent se documenter, comprendre les enjeux et qui doivent quasiment faire la charge de la preuve lorsqu'ils ont besoin de faire valoir leurs droits opposables ou quand ils demandent des régularisations à la suite de mauvaises pratiques", a-t-elle expliqué, regrettant "un déséquilibre des forces en présence".
Elle a également déploré un problème "d'accessibilité aux droits" et "un manque de pédagogie" envers les patients. Pour inciter les acteurs à appliquer le texte et à respecter les droits des usagers, l'avocate a suggéré "des mesures plus contraignantes".
"Il y a un manque de moyens à la Cnil, elle est aujourd'hui sous-dotée", a d'abord préconisé Me Alibert. Un point de vue partagé par Hélène Guimiot-Bréaud, qui pointe en sus "une charge de travail importante".
En outre, l'avocate a proposé que soit mise en place "une procédure d'avis conformes de la Cnil" et un élargissement des procédures de class action "pour permettre aux associations spécialisées en protection des données qui ont moins de cinq ans, comme InterHop, de s'en saisir".
Plus largement, elle a préconisé qu'en matière de droit pénal, "il y ait des sanctions fortes".
"Il y a un dispositif pénal sur le RGPD mais il n'est pas assez connu des acteurs et il n'est pas forcément bien utilisé. Il faut absolument renforcer ce champ juridique et faire de la formation auprès des professionnels du droit, et notamment des magistrats, sur ces questions", a-t-elle poursuivi. "Il pourrait y avoir une chambre spécialisée au sein des juridictions."
Me Alibert a aussi pointé "un manque de définition de la notion d'intérêt public concernant les données de santé". "Il y a un principe d'interdiction sauf lorsqu'il y a consentement ou lorsqu'il y a une dimension d'intérêt public pour de la recherche, par exemple. Or, la définition est très large et juridiquement elle n'est pas assez claire. Les enjeux sont majeurs, il faut l'expliciter."
Un échelon au-dessus, au niveau européen, elle a fustigé "une divergence de positionnements". "Il y a un problème d'effectivité et d'application des décisions. Par exemple, si l'autorité de régulation portugaise décide qu'un modèle de sous-traitance par un acteur américain n'est pas conforme, pourquoi cette décision ne s'applique-t-elle pas de la même manière dans le reste de l'UE? Ne faudrait-il pas avoir une lecture uniforme du droit RGPD?", a-t-elle interrogé.
De son côté, la Cnil dit poursuivre son "travail de simplification".
"Dans le secteur de la santé, il y a encore des cas qui nécessitent des autorisations pour mettre en place des traitements de données et notre programme de travail, même s'il a été ralenti par la crise sanitaire, ne change pas: nous sommes toujours dans une démarche d'accompagnement des acteurs via la production de référentiels, par exemple en matière d'entrepôts de données de santé", a fait savoir Hélène Guimiot-Bréaud.
Dans le cadre de son chantier "bac à sable" données personnelles, la commission va, par exemple, accompagner 4 projets sélectionnés au printemps. Elle a reçu 62 candidatures "sur des cas d'usage variés" pour cette initiative destinée à "aller vers la conformité" (cf dépêche du 04/05/2021 à 12:22).
Prévenir plutôt que punir semble être le mantra de la Cnil, qui mise sur la pédagogie pour faire complètement entrer le secteur de la santé dans l'ère du RGPD.
wz/rm/nc/APMnews

[WZ2QV8YRX]

A lire aussi