Santé numérique : le rôle crucial du Correspondant informatique et libertés

Éthique | 02 nov. 2015
Le Correspondant informatique et libertés, ou CIL, est le garant du respect par l’organisation dans laquelle il évolue de la loi Informatique et Libertés. Dans une société en pleine transformation numérique, cette maîtrise des risques liés à la confidentialité des données devient cruciale. De retour de la convention organisée par la CNIL le 13 octobre à l’occasion des 10 ans de cette fonction, la CIL et directrice du service juridique de l’ASIP Santé fait le point. 


Par Florence Eon, directrice du service juridique et CIL de l'ASIP Santé. 

 

Le CIL, bien plus qu’un passage obligé


La fonction de CIL confirme son importance et ses atouts pour sécuriser le volet « protection des données » des projets de e-santé. Il ne peut plus être perçu uniquement comme le moyen d’éviter « de passer par la case CNIL »  pour reprendre la formule employée par la Présidente de la CNIL, Isabelle FALQUE PIERROTIN. Il ne s’agit plus - il ne devrait plus s’agir ! -  de remplir les  formalités à la toute fin du projet. En effet, le CIL doit désormais être considéré comme un acteur de la conformité et de la sécurité juridique au sein des organisations mais également comme l’interlocuteur privilégié de la CNIL.

Pour simplifier la réalisation de ses missions, la CNIL met à sa disposition de nouveaux outils (« packs de conformité », label).  En matière de projets de e-santé, elle a déjà établi un guide à destination des professionnels de santé qui peut être lu de façon combinée avec, notamment, le Mémento de sécurité informatique pour les professionnels de santé en exercice libéral . On peut également citer pour illustrer ces outils facilitateurs le recours aux autorisations uniques qui permettent, même en présence de traitements de données sensibles, de réaliser des formalités simplifiées (cf. autorisation unique n°37 concernant la messagerie sécurisée de santé. ).

Les projets de e-santé nécessitent tous de tenir compte de la protection des données personnelles dès leur conception. Il est essentiel de tenir compte du renforcement des obligations consacré par le projet de règlement européen, qui maintient en outre la protection renforcée des données de santé en raison de leur sensibilité.
Parmi les nouveaux principes renforçant les responsabilités des porteurs de projets, on citera la nécessité de réaliser des études d’impact sur la vie privée, le principe d’accountability que l’on peut traduire par le principe d’engagement responsable des organismes, le principe de privacy by design qui recouvre l’ intégration des principes de protection des données dès la conception du traitement de données personnelles.

 


Une importance croissante du CIL à l’ère de l’ouverture des données de santé


Les nouvelles pratiques d’utilisation, et de réutilisation des données personnelles (big data, open data), invitent également à recourir au CIL pour veiller au respect des obligations de la loi Informatique et Libertés et des droits des personnes concernées, consacrées par les textes relatifs non seulement à la protection des données mais également, pour ce qui concerne les données de santé, inscrits dans le code de la santé publique.

Pour illustrer l’intérêt de disposer de cette ressource en interne qu’est le CIL pour éclairer et maîtriser les règles relatives à la protection des données personnelles, on attirera l’attention sur la récente décision de la Cour de justice de l’Union européenne qui vient d’invalider le Safe Harbor, décision qui va faire couler beaucoup d’encre en raison des conséquences sur le cadre juridique du transfert des données personnelles.

On peut également citer deux projets de loi qui vont avoir un impact sur l’encadrement juridique des projets de e-santé et la protection des données :
  • le projet de loi relatif à la modernisation de notre système de santé qui comporte plusieurs articles relatifs à la dématérialisation des données de santé et comporte également des dispositions qui peuvent encourager un recours au CIL mutualisé (Groupements hospitaliers de territoire auxquels doivent participer les établissements publics de santé) ;
  • le projet de loi relatif au numérique (définition des plateformes en ligne, droit pour toute personne de décider des usages qui sont fait de ses données à caractère personnel et de les contrôler, etc.).
Enfin, rappelons que le futur règlement européen relatif à la protection des données personnelles conforte le rôle de CIL dont il devra rendre la désignation obligatoire en application toutefois de critères qui peuvent encore évoluer dans le cadre du trilogue[1].
 

photo : © pressmaster - Fotolia.com
 
[1]
Initialement, la désignation du DPO était rendue obligatoire lorsque l’entreprise a un nombre d’employés supérieur à un seuil fixé dans le texte. Cependant, ce critère a été modifié par le Parlement au profit d’un critère fondé sur le nombre de personnes concernées par le traitement de données personnelles. Mais le Conseil renvoie aux Etats membres la détermination d’un critère.