Aide à l'orientation en matière de protection des données pour les données médicales

Pour qui l'aide à l'orientation a-t-elle été conçue et en quoi vous aide-t-elle ?

L'économie de la santé est l'un des secteurs économiques les plus grands en Allemagne. La numérisation joue un rôle de plus en plus important dans son développement. Les entreprises établies développent de nouvelles solutions numériques et les jeunes start-ups promeuvent des idées créatives et des modèles d'activités novateurs. Dans le même temps, l'entrée réussie sur le marché de la santé est considérée comme difficile en raison des exigences réglementaires et ne s'effectue pas toujours dans la mesure souhaitée. Dans ce contexte, la numérisation de l'économie de la santé offre un potentiel particulier, dont l'exploitation doit être activement soutenue par le ministère fédéral de l'Économie et de la Protection du Climat (BMWK).

L'un des défis particuliers auxquels se heurtent les produits numériques sont les exigences de la législation en matière de protection des données. Cela vaut, à plus forte raison, depuis que le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. La protection des données est particulièrement importante dans le secteur de la santé puisque les données médicales sont sensibles et doivent donc être largement protégées. Les développeurs de produits numériques devraient prendre en compte le plus tôt possible ces exigences de la législation en matière de protection des données afin que leurs produits ne doivent pas par la suite être adaptés de manière coûteuse.

L'aide à l'orientation en matière de protection des données pour les données médicales doit donc faciliter l'entrée des développeurs et fournisseurs de produits médicaux numériques dans ce secteur important. Elle présente tant les exigences générales de la législation en matière de protection des données que les dispositions pour certains domaines tels quel par exemple la prise de décision automatisée, les applications big data et le développement d'applications. Afin d'assurer la proximité nécessaire avec la pratique, l'aide à l'orientation a été le fruit d'un travail concerté avec des entreprises du secteur numérique. Elle contient aussi des références à des diagrammes, check-lists et modèles de formulaires fournis gratuitement par des autorités et d'associations.

Outre la description détaillée contenue dans « l'aide à l'orientation en matière de protection des données pour les données médicales » (en allemand) (PDF, 3 MB)et l'introduction sur cette page, vous trouverez des informations complémentaires sur les notions centrales relatives à la législation sur la protection des données dans l'économie de la santé dans les FAQ (en allemand) ainsi que dans le glossaire.

Cette description s'adresse à toutes les entreprises collectant et traitant des donnés médicales. La notion de données médicales y est entendue au sens large afin de réserver aux données médicales sensibles la meilleure protection possible (partie 1 de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Exigences Générales

Exigences concernant la gestion de données médicales

Motifs justifiant le traitement de données médicales

Le traitement de données à caractère personnel est seulement autorisé si des motifs particuliers le justifient. En cas de données médicales sensibles, des conditions supplémentaires s'ajoutent aux exigences générales de la protection des données. L'aide à l'orientation présente les motifs de justification pertinents pour la pratique et de possibles dérogations à l'aide d'exemples concrets (partie 2 A.I de l'aide à l'orientation (en allemand) (PDF, 3 MB)). Elle décrit en particulier les exigences relatives au consentement de la personne concernée, qui est extrêmement importante dans la pratique, et présente les bonnes pratiques correspondantes.

Mesures organisationnelles concernant la protection des données médicales

Les entreprises gérant des données médicales sensibles doivent assurer des mesures organisationnelles afin de garantir la protection de ces données. Les employés doivent s'engager à respecter la confidentialité des données et les entreprises doivent élaborer une liste de tous les processus de traitement des données. L'une des exigences essentielles est la nomination d'un délégué chargé de la protection des données qui conseille l'entreprise en matière de protection des données et entretient le contact avec les autorités de contrôle responsables (partie 2 A.II de l'aide à l'orientation (PDF, 3Mo)).
Une analyse d'impact relative à la protection des données fondée sur la prise en compte du risque doit permettre de décider des mesures spécifiques à prendre. L'aide à l'orientation présente la procédure nécessaire en la matière et fait référence à d'autres guides et exemples d'application pratiques (partie 2 A.VI de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Mesures destinées à préserver les droits des utilisateurs

Les utilisateurs concernés se voient garantis différents droits afin de protéger leurs données. Tout d'abord, ils doivent être informés par les entreprises sur le traitement de leurs données dans une déclaration sur la protection des données. Par ailleurs, les utilisateurs concernés peuvent demander des renseignements sur leurs données et/ou exiger la correction ou suppression de leurs données. Ils peuvent s'opposer (totalement ou en partie) au traitement ultérieur de leurs données et exiger leur transmission à un autre fournisseur. Lorsque des entreprises développent des produits, elles doivent donc veiller à ce que ces produits respectent aussi les droits des utilisateurs. En plus des explications sur les droits spécifiques des personnes concernées et de leur importance, l'aide à l'orientation contient à cet effet aussi des propositions de concepts correspondants (partie 2 A.III de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Prescriptions en matière de sécurité des données

Dans le domaine de la santé, la sécurité des données a une importance particulière. Les personnes concernées et le public réagissent d'une manière particulièrement sensible en cas de violations de données. Le règlement général sur la protection des données (DSGVO) concrétise de manière contraignante le niveau de protection nécessaire. L'aide à l'orientation explique de manière détaillée ces prescriptions et des exemples de mesures de sécurité adaptées et présente également une procédure et les exigences liées en cas de violations de données. Elle indique par ailleurs d'autres directives d'autorités et d'associations de protection des données (partie 2 A.IV et A.V de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Traitement des donneés fractionné

Traitement des données par plusieurs personnes

En raison de sa complexité croissante, le traitement des donnés est effectué dans de nombreux cas par plusieurs personnes.

Responsabilité commune en matière de données

Les exigences générales de la protection des données doivent être respectées lorsque plusieurs personnes sont impliquées dans le traitement de données. L'aide à l'orientation explique la manière dont un accord de coopération peut être conclu et dont les personnes concernées peuvent être convenablement informées conformément aux règles générales (partie 2 A.VII de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Traitement par des prestataires spécialisés

La procédure est différente quand une entreprise a recours à des prestataires (techniques) spécialisés pour le traitement des données médicales. Cela peut notamment être le cas avec l'utilisation de services infonuagiques. Dans un tel cas de traitement de données par des prestataires, le RGPD prévoit certains privilèges et exceptions des conditions strictes pour l'échange de données médicales avec d'autres entreprises. Afin de bénéficier de ces exceptions, le prestataire doit être chargé comme sous-traitant soumis à des instructions en prenant compte de certaines prescriptions. L'aide à l'orientation présente à l'aide d'exemples concrets l'étendue du privilège ainsi que les conditions devant être remplies par ce type de traitement. Une attention particulière est accordée aux prestataires à l'étranger, en faisant une distinction entre l'UE, les pays tiers privilégiés, les USA et les autres pays tiers (partie 2 C de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Types de données particuliers

Exigences pour les types de données particuliers

Les exigences législatives en matière de protection des données peuvent varier pour les types de données particuliers. Des règles encore plus strictes sont en vigueur pour les données soumises au secret professionnel tandis que les prescriptions ne s’appliquent pas aux données correctement anonymisées.

Données soumises au secret professionnel

Des exigences particulières doivent être respectées pour les données des médecins et d’autres professions médicales. Celles-ci sont en effet soumises à des obligations de confidentialité particulières qui, en cas de non-respect, peuvent également entraîner des sanctions pénales. En plus des prescriptions relatives à la protection des données, il faut donc aussi examiner au cas par cas si les règles professionnelles autorisent le traitement des données médicales (partie 2 B de l’aide à l’orientation (PDF, 3 MB) (en allemand)).

Anonymisation des données

Les prescriptions du RGPD ne s’appliquent pas aux données anonymes ou anonymisées dans la mesure où aucun lien avec la personne ne peut être établi. Cependant, l’anonymisation n’est pas forcément garantie, en particulier pour les données médicales. La personne derrière les données ne doit plus pouvoir être identifiée moyennant des efforts raisonnables. L’identification reste toutefois possible si la personne physique peut être déterminée à l’aide d’informations de tiers. Les informations sur l’état de santé étant strictement individuelles, il est relativement facile d’identifier des personnes à partir de ces données. L’aide à l’orientation présente donc diverses méthodes permettant d’anonymiser avec succès les données médicales (partie 2 F.II de l’aide à l’orientation (PDF, 3 MB) (en allemand)).

Produits particuliers

Exigences concernant les applications, le profiling et le big data

Les exigences en matière de protection de données peuvent également varier selon les types de produits offerts.

Exigences pour les applications

Les applications représentent une part importante de l'économie de la santé numérique (mhealth). À l'aide d'appareils mobiles, l'utilisateur peut avoir recours à des services de santé fournis partout. Elles peuvent cependant entraîner des risques particuliers pour ses données médicales. L'aide à l'orientation présente les exigences en matière de protection des données auxquelles une attention particulière doit être accordée et les exigences juridiques supplémentaires devant être prises en considération (partie 2 D de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Exigences particulières pour le profiling et la prise de décision automatisée

Les produits de santé numériques novateurs utilisent souvent le profiling et la prise de décision automatisée pour établir plus facilement un diagnostic et recommander un traitement. Dans ce but, certains aspects personnels d'un individu sont examinés afin d'analyser son état de santé. En théorie, il est possible d'obtenir un diagnostic sur cette base sans que l'individu ne participe. Toutefois, de telles applications sont soumises à des conditions particulièrement strictes en vue des conséquences liées qu'elles peuvent avoir pour les individus concernés. L'aide à l'orientation explique les conditions sous lesquelles l'utilisation de tels moyens d'aide est autorisée et les mesures de sécurité devant être prises (partie 2 E de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Évaluations du big data

Des progrès considérables sont attendus dans le domaine de la santé grâce aux applications du big data. L'analyse d'une multitude de données permet d'identifier de nouvelles interactions. À part dans quelques rares cas de données anonymisées, de telles applications doivent respecter des exigences particulières en matière de protection des données. L'aide à l'orientation présente ce thème ainsi que des premières pistes de solutions (partie 2 F.I de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Conformité avec la protecion des données

Preuve de la conformité avec la protection des données

Il est essentiel pour les entreprises de pouvoir démontrer en cas de doute le respect des exigences de la législation en matière de protection des données. Dans ce but, une vaste documentation est nécessaire. Par ailleurs, différents organismes proposent une examination des exigences en matière de protection des données et délivrent des attestations et certificats correspondants. L'aide à l'orientation contient une liste de ces organismes (partie 3 de l'aide à l'orientation (en allemand) (PDF, 3 MB)).

Nécessaire d’un point de vue technique (ne peut être désactivé)

Statistiques

Consentement à la plateforme vidéo JW-Player

Consentement au service de vidéos Vimeo pour les conférences de presse en direct

Sujet

Principe directeur

L'Europe

Économie

Industrie

Énergie

Économie extérieure

Petites et moyennes entreprises

Tourisme

Formation & profession

Service

Services d’information, aide et conseil

Ministère

Bienvenue au BMWi

Espace multimédia

Contact