Le consentement à l’utilisation des données
Les données de santé constituent une catégorie particulière de données à caractère personnel, car il s’agit de données sensibles du point de vue des libertés et des droits fondamentaux. Elles sont ainsi protégées de manière accrue.
Il est totalement interdit pour des acteurs professionnels ou commerciaux de traiter des données de santé. Il est toutefois évidemment autorisé pour les professionnels de santé dont il s’agit du métier.
Selon l’Article 8 de loi 78-17 du 6 janvier 1978 modifiée, le consentement du patient à l’utilisation de ses données n’est pas requis pour les « traitements nécessaires aux fins de… de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé ». Dès lors, il ne semble pas nécessaire de demander le consentement du patient quant à la collecte de ses données, dès lors que celles-ci sont bien utilisées pour les soins au patient. Il semble évident que le patient comprend que les données qu’il fournit vont être utilisées dans le but de pratiquer des soins…
La suppression des données personnelles
Le RGPD impose que les données personnelles ne doivent être conservées que le temps nécessaire aux traitements de données prévus (par exemple dans le cadre d’une séquence de soins), et être ensuite supprimées sans délai. Le consommateur euorpéen possède également un droit à l’effacement de ses données numériques.
Il faut toutefois considérer que des réglementations supplémentaires s’appliquent sur le dossier médical, et il convient alors de distinguer deux types de données concernant les patients :
- Les données constituant le dossier médico-légal
Les radiographies, l’état physiopathologie du patient, son nom, prénom et date de naissance, la liste des soins réalisés, les correspondances… constituent le dossier médico-légal que le praticien doit conserver de manière particulièrement longue (20 ans). Le patient ne pourra d’ailleurs pas demander la suppression de ces données en application de son droit à l’oubli.
Pour ces données, la suppression imposée par le RGPD n’est donc pas à réaliser dès la fin des soins. - Les données personnelles non essentielles
Les coordonnées du patient, son numéro de sécurité sociale, sa photo d’identité… ne constituent pas des éléments essentiels du dossier patient. Ces informations devraient être totalement supprimées, dès lors que leur utilisation ne semble plus justifiable pour l’intérêt du patient (ex : un an après le dernier soin…) ou si le patient l’exige.