Maitre Chawki GADDES: les Enjeux juridiques de la santé numérique
La santé numérique tourne autour des données personnelles des patients. Leur traitement est soumis à l’autorisation de la part de la personne concernée ainsi que des instances de contrôle. Ces traitements doivent se conformer aux obligations légales. Les données personnelles de santé sont celles de la personne. Elles donnent droit à La sécurisation et à la possibilité de choisir l’oubli.
1 / Les données de santé sont des informations très sensibles qui doivent de ce fait être traitées conformément à la loi et avec beaucoup de précautions.
2 / Cette obligation découle des règles déontologiques des professions médicales et de la législation nationale.
3 / L’introduction des TIC dans le traitement de ces données pose de nouvelles problématiques.
Quelles sont ces données ? Quelles sont les règles de leur traitement ? Quels défis se posent aujourd’hui ?
1 / Les données personnelles sont toutes les informations qui permettent d’identifier directement ou indirectement une personne
2 / Les données anonymes ne le sont plus, mais celles « pseudonymisées » le restent
3 / Les personnes morales ne bénéficient pas de protection pour leurs « données personnelles »
4 / Les données personnelles des individus ne sont pas la propriété du responsable du traitement
5 / La relation entre le responsable du traitement et la personne concernée est basée sur la confiance
6 / Le traitement doit se réaliser conformément à des obligations que dénombre la loi de 2004
Les obligations du responsable de traitement :
1 / Déclaration ou demande d’autorisation
2 / Obtention du consentement éclairé
3 / Respect de la finalité
4 / Sécurisation des données
5 / Mise à jour des données
6 / Vigilance pour la communication et le transfert
Les droits des personnes concernées
1 / Droit d’opposition
2 / Droit d’accès
3 / Droit de rectification
4 / Droit à l’oubli
En général :
1 / Les données personnelles font partie de la personnalité de l’individu
2 / Elles doivent rester en dehors du commerce
3 / Le traitement des données personnelles de l’individu se base sur la confiance
4 / La protection de la vie privée (privacy) est un mouvement qui s’universalise
Quels sont les problèmes qui se posent en relation avec le traitement des données personnelles de santé en Tunisie en recourant aux TIC ?
L’obligation d’obtenir une autorisation
Le paysage sanitaire en Tunisie comprend un nombre très important de structures de santé publiques et privées ainsi que de médecins de libre pratique et de pharmaciens
Les statistiques du ministère de la santé indiquent un total de 547 personnes responsables de traitement de données personnelles. A ce jour, l’INPDP n’a statué que sur 56 dossiers. L’INPDP a traité d’un seul dossier d’autorisation de santé avant 2015. Depuis elle traita 28 dossiers d’autorisation en 2015 et 27 en 2016. Le total de 56 dossiers est trop réduit au vu de la sensibilité des données traitées.
L’hébergement des données de santé
Les données de santé ne peuvent être hébergées que par des professionnels agréés. Il faut répondre à des référentiels
La carte de santé ?
La Tunisie a lancé le projet depuis quelques années de carte de santé à l’image de « vitale » en France. C’est une carte à puce qui doit, aux dires de la CNAM, qui a lancé l’appel d’offre, remplacer le carnet de la CNAM et permettre principalement d’authentifier les assurés. Quel est le contenu de la puce ? Si elle doit permettre d’identifier seulement la personne, elle ferait un double emploi avec la carte d’identité biométrique. Si elle doit comprendre d’autres données, des questionnements se posent :
1 / Est-ce qu’elle sera obligatoire ou facultative ?
2 / Quid du consentement de la personne concernée ?
3 / Quelle sécurisation des données ?
4 / Qui sera autorisé de consulter ces données ?
5 / Quel droit d’accès aux données ?
Quelles pratiques des structures ?
Certains établissements de santé en Tunisie collectent en vue de l’identification des patients leur empreinte digitale. Les données biométriques sont des données très sensibles qui sont soumises à une autorisation préalable. L’INPDP a considéré que cette collecte de données était disproportionnée par rapport à la finalité. Un logiciel de gestion est utilisé par 47 cliniques.
Des laboratoires d’analyse médicale mettent pour leurs clients les rapports sur leur site. Est-ce que ce site web est sécurisé ? A t-il été audité pour sa sécurité informatique ?
Toute la conférence de Maître Chawki Gaddes sur ce lien: