Manipuler des données de santé impose une responsabilité juridique et éthique maximale. Face aux risques de fuites ou d’accès illégitimes, le RGPD impose parfois la réalisation d’une AIPD (Analyse d’Impact sur la Protection des Données). Mais comment savoir si vos activités de soin ou de recherche médicale entrent dans ce cadre obligatoire ? Découvrez les critères et la liste des traitements de santé soumis à AIPD.

Ce qu’il faut retenir

  • L’AIPD est une analyse obligatoire pour les traitements de données de santé susceptibles d’engendrer un risque élevé pour les patients.
  • Les hôpitaux, cliniques, EHPAD et structures déployant des entrepôts de données de santé sont systématiquement soumis à cette obligation.
  • Le croisement de données sensibles et la vulnérabilité intrinsèque des patients justifient cette vigilance accrue.
  • À l’inverse, les professionnels de santé exerçant à titre individuel en sont généralement dispensés pour leur gestion quotidienne.

Choisir un DPO externe Lexagone, c’est vous assurer de confier votre conformité RGPD à un expert  qui connait les enjeux spécifiques des acteurs de la santé. Profitez de notre expertise juridique et sectorielle tout en optimisant vos coûts.

PARLER À UN EXPERT

Les traitements de données de santé soumis à AIPD

traitement de santé soumis aipd

L’AIPD est obligatoire pour tout traitement de données de santé présentant un risque élevé pour les droits et libertés des personnes

Une AIPD est une étude des risques visant à protéger la vie privée des individus. Le RGPD l’impose dès qu’un traitement de données est susceptible d’engendrer un risque élevé. Pour le déterminer, le CEPD (Comité Européen de la Protection des Données) a fixé neuf critères. Si un traitement en remplit au moins deux, il est concerné par l’obligation d’AIPD.

Les traitements de santé cumulent souvent les deux mêmes critères (voir même plusieurs):

  • La collecte de données sensibles (comme les antécédents médicaux).
  • La vulnérabilité des personnes (patients, personnes âgées, enfants, etc.).

Pour encadrer les usages, la CNIL (Commission nationale informatique et libertés) a publié la liste des types d’opérations de traitement pour lesquelles une AIPD est requise. Dans le secteur de la santé, trois grands domaines sont systématiquement visés par cette obligation légale.

La gestion des dossiers patients/résidents par les établissements de santé et médico-sociaux

L’AIPD est obligatoire dès lors que la prise en charge médicale s’effectue au sein d’une structure collective. Cela concerne les dossiers patients des centres hospitaliers, des cliniques privées, mais aussi le suivi des résidents au sein des EHPAD ou des CCAS.

Les technologies médicales innovantes et la télémédecine

Il est impératif de réaliser une AIPD en cas de déploiement de dispositifs de télémédecine, d’outils de surveillance médicale à distance ou en cas d’utilisation d’algorithmes d’aide à la décision et de prise de décision médicale.

La recherche médicale et la constitution d’entrepôts de données

Une AIPD est enfin requise pour toute recherche médicale impliquant le traitement de patients. De même, la création d’un entrepôt de données de santé ou d’un registre de pathologies exige une documentation rigoureuse des risques en amont, et ce qu’il soit géré par un établissement public ou une structure privée.

Les traitements de santé dispensés d’analyse d’impact

traitement de santé non soumis aipd

La gestion quotidienne est facilitée pour les professionnels de santé exerçant à titre individuel

Pour ne pas paralyser la médecine de proximité, il est prévu des dispenses spécifiques. L’exception principale concerne les professionnels de santé (généralistes, spécialistes, pharmaciens ou biologistes) qui exercent à titre individuel ou en cabinet de groupe, hors grande échelle.

Une AIPD n’est pas requise pour les traitements nécessaires à la gestion courante de leur activité :

  • La prise de rendez-vous
  • La tenue des dossiers médicaux
  • L’édition des ordonnances
  • Les communications entre professionnels identifiés participant à la prise en charge de la personne concernée

Mener une AIPD en santé pas à pas

mener aipd santé

En cas de doute, un audit de conformité permet de sécuriser juridiquement l’organisation

La réalisation d’une AIPD ne s’improvise pas. Au-delà de la rigueur qu’elle impose, le RGPD fixe un cadre strict. Une analyse d’impact doit ainsi obligatoirement contenir quatre éléments fondamentaux :

  • Une description détaillée des opérations de traitement envisagées et des finalités poursuivies.
  • Une évaluation de la proportionnalité notamment des données de santé collectées au regard de ces finalités.
  • Une évaluation des risques pesant sur les droits et les libertés des personnes concernées.
  • La liste des mesures envisagées (chiffrement, accès sécurisés, hébergement certifié HDS) pour faire face aux risques de violation, assurer la protection des données et apporter la preuve de votre conformité au RGPD.

Plusieurs méthodologies sont envisageables, le responsable de traitement restant libre de son choix. Néanmoins, quelle que soit la méthode retenue, elle doit respecter les critères définis par le CEPD.

Par souci d’efficacité, notre cabinet conseil RGPD recommande l’utilisation de la méthode EBIOS Risk Manager. Reconnue et plébiscitée par la CNIL et l’ANSSI, c’est la méthodologie de référence que nous déployons au quotidien pour sécuriser vos projets de santé les plus sensibles.

Questions fréquentes

Faut-il transmettre son AIPD à la CNIL ?

La transmission n’est pas automatique. L’AIPD est un document interne de conformité qu’il faut conserver précieusement, mais ne transmettre que dans deux cas précis :

  • La CNIL le réclame lors d’un audit.
  • Votre analyse montre un risque résiduel élevé que vous ne parvenez pas à atténuer techniquement.

Quelle est la différence entre AIPD et PIA ?

Il n’y en a aucune sur le fond. AIPD est le terme juridique officiel utilisé dans le texte européen du RGPD et PIA (pour Privacy Impact Assessment) est son équivalent anglophone.

À qui confier mon AIPD pour des traitements de santé ?

La responsabilité légale de l’AIPD incombe au responsable de la structure (directeur d’hôpital, par exemple). Toutefois, sa réalisation technique doit être pilotée par un expert en conformité. Un DPO externe santé, comme ceux proposés par Lexagone, vous offre un accompagnement personnalisé, adapté aux exigences de votre établissement ou GHT.

La conformité médicale ne tolère aucune approximation. Vous avez un doute sur la liste des traitements de santé soumis à AIPD au sein de votre établissement ? Lexagone vous accompagne de l’audit RGPD initial jusqu’à la rédaction de vos analyses d’impact les plus complexes.

PARLER À UN EXPERT

Auteur Mathilde STINES

Forte de plusieurs années d’expérience en protection des données, tant comme CIL/DPO interne que comme DPO externe, Mathilde accompagne aujourd’hui des organisations de tous secteurs — privé, médico-social et e-santé — dans leur mise en conformité et la structuration de leur gouvernance RGPD.

Plus d'articles de Mathilde STINES