Données sensibles et protection renforcée

Si les législations Informatique et Libertés s’appliquent à toutes les données à caractère personnel, certaines données font l’objet d’une protection renforcée en raison des risques d’atteintes aux droits et libertés des personnes concernées qu’elles comportent (discrimination, exclusion…). Le traitement de ces données « à risque », souvent appelées « données sensibles », est soumis à des conditions plus strictes que le traitement d’autres données à caractère personnel. Ces sont :

les catégories particulières de données mentionnées à l’article 9 du RGPD ;
le numéro de sécurité sociale (NIR) ;
les données d’infractions et de condamnations pénales figurant à l’article 10 du RGPD.

Catégories particulières mentionnées à l’article 9 du RGPD

Quelles sont les données concernées ?

Les données concernées sont celles qui font apparaître directement ou indirectement :

la santé (physique ou mentale) ;
les données génétiques ;
l’origine raciale ethnique ;
la vie sexuelle ou l’orientation sexuelle ;
les opinions politiques ;
les convictions religieuses ou philosophiques ;
l’appartenance syndicale ;
les données biométriques aux fins d’identifier une personne physique de manière unique.

C’est au responsable de traitement qu’il appartient de déterminer si les données qu’il traite sont ou non des catégories particulières de données.

Les règles plus strictes applicables à ces données « sensibles »

Le RGPD (art. 9) et la loi Informatique et Libertés (art. 6) soumettent ces données « particulières » à un principe d’interdiction de traitement sauf à pouvoir se prévaloir d’une des exceptions limitativement énumérées par les textes dont une concerne la recherche scientifique. Cette interdiction de principe n’interdit pas le traitement de ces données sensibles mais il faut pour pouvoir traiter ces données : pouvoir justifier d’une des exceptions légales à l’interdiction ; entourer le traitement de ces données sensibles de garanties appropriées (de fond et de procédure).

Ne sont pas soumis à l’interdiction de traiter des « catégories particulières de données » les traitements répondent aux conditions suivantes :

Consentement explicite de la personne concernée pour une ou plusieurs finalités spécifiques sauf lorsque le droit de l’UE ou de l’Etat prévoit qu’il ne permet pas de lever l’interdiction ;
Nécessité pour l’exécution des obligations et l’exercice des droits en matière de droit du travail, de la sécurité sociale et de la protection sociale (ex : déclaration à l’organisme d’assurance maladie compétent des accidents du travail).
Nécessité pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ;
Nécessité à des fins médicales (médecine préventive, médecine du travail, diagnostics médicaux, prise en charge sanitaire et sociale, gestion des systèmes et services sanitaires et sociaux) ;
Nécessité pour des motifs d’intérêt public dans le domaine de la santé publique (ex : protection contre les menaces transfrontières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux)
Nécessité à des fins archivistiques dans l’intérêt public, de recherche scientifique (recherche médicale) ou historique et à fins statistiques.

A noter

L’exception permettant le traitement de données sensibles à des fins de recherche scientifique est distincte de celle fondée sur le consentement explicite de la personne. Il en résulte que des traitements de données dites « sensibles » est permis à des fins de recherche scientifique sans le consentement explicite des personnes concernées, à condition que la qualification réglementaire de la recherche n’impose pas par ailleurs le consentement de la personne.

Les garanties appropriées à mettre en place si le traitement est autorisé :

1 – Réaliser une analyse d’impact sur la protection des personnes lorsque le traitement de données présente un risque élevé pour les droits et libertés des personnes. La réalisation d’une analyse d’impact est obligatoire pour :

les traitements à grande échelle de données sensibles (grande quantité de sujets) ;
les traitements de données sensibles portant sur des personnes vulnérables (salariés, patients, personnes âgées, enfants, etc.)

Pour savoir si votre traitement est soumis à l’obligation d’effectuer une analyse d’impact et s’il faut consulter la Cnil – cf. Les traitements concernés par l’analyse d’impact.

2 – Adapter les règles de sécurité aux risques inhérents à la sensibilité de ces informations.

Le cas particulier des données de santé

Les données de santé figurent toujours dans la liste des « catégories particulières de données » et les données génétiques, qui étaient considérées par la Cnil comme des données sensibles, y sont désormais expressément mentionnées (art. 9). Elles sont soumises aux règles précédemment énoncées :

Principe d’interdiction de traitement et exceptions énumérées par le législateur,
Mise en place de garanties appropriées pour leur traitement.

Le RGPD donne une définition très large des données de santé à l’échelle européenne et a laissé aux Etats membres le soin de prévoir des règles nationales spécifiques qui s’ajoutent au RGPD et renforcent la protection de ces données.

Une définition très large des données de santé

Les « données concernant la santé » sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (RGPD, art. 4).

L’état de santé s’entend de l’état de santé physique et mentale, présent, passé ou futur de la personne et comprennent très largement :

toute information sur l’identification du patient dans le système de soins,
toutes les prestations de services de santé,
des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques (données de santé « par destination ») ;
toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source (considérant 35).

Sont concernées :

les données qui permettent d’indiquer la pathologie dont peut être atteint un individu (données de santé « par nature ») ;
le croisement de données qui permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne (ex : croisement d’une mesure de poids avec l’âge, la taille, etc.) (données de santé par croisement) ;
les données qui deviennent des données de santé en raison de l’utilisation qui est faite au plan médical, y compris dans le cadre d’une recherche en santé portant sur des échantillons biologiques humains (données de santé par destination).

La notion de donnée personnelle de santé doit être appréciée au cas par cas.

Les données génétiques sont également définies comme « les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question » (art. 4.13).

Pour en savoir plus, voir la fiche thématique “Qu’est ce qu’une donnée de santé ?” disponible sur le site internet de la CNIL.

Application cumulative du RGPD et des législations nationales pour les traitements de données de santé

Le RGPD laisse d’importantes marges de manœuvre aux États membres pour maintenir ou adopter des spécificités nationales pour certains types de traitements sensibles parmi lesquels les traitements qui portent sur les données de santé et les données génétiques (art.9.4).

Le législateur français a fait usage de ce pouvoir et la loi Informatique et Libertés, modifiée en 2018, consacre désormais une section 3 au sein du Chapitre III du titre II, applicable à tous les traitements de données à caractère personnel dans le domaine de la santé qu’elle que soit leur finalité. Elle comporte une section spécifique applicable aux recherches, les études et les évaluations dans le domaine de la santé (la sous-section 2).

Les traitements de données de santé doivent donc être réalisés dans le respect du RGPD et des législations nationales. Pour les recherches, études ou évaluations dans le domaine de la santé, la loi Informatique et Libertés modifiée en 2018 maintient un régime d’autorisation dès lors que la recherche n’est pas strictement conforme à une méthodologie de référence.

Les démarches à effectuer auprès de la Cnil, de la Plateforme des données de santé et du CPP diffèrent selon le périmètre et les catégories de recherche. Cette procédure doit être lue en lien avec les dispositions de la réglementation « Jardé » pour les recherches qui impliquent la personne humaine et de la loi « Tourraine » qui créé un régime d’accès au Système national des données de santé (SNDS) avec des exigences de sécurité accrues (V. Recherche médicale : quelles formalités ?)

Le numéro de sécurité sociale (NIR)

Le RGPD a laissé aux Etats membres la possibilité de préciser les conditions du traitement du numéro d’identification national (art. 87). En France, le recours au NIR (numéro d’inscription au répertoire national d’identification des personnes physiques), communément appelé “numéro de sécurité sociale”, est strictement cantonné et encadré par la loi Informatique et Libertés qui soumet l’utilisation de cet identifiant unique à l’existence d’un décret en Conseil d’Etat pris après avis de la Cnil. Les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé comportant l’usage du numéro de sécurité sociale ne sont pas concernés par cette exigence.

Une vigilance particulière

Une place symbolique

La loi Informatique et Libertés est née d’une réflexion engagée à l’occasion d’un projet de connexion de fichiers publics à partir du numéro de sécurité sociale (le projet « Safari »). Le NIR occupe donc une place symbolique dans la loi du 6 janvier 1978.

Un caractère signifiant et des risques d’interconnexion

Il présente un caractère signifiant : Il indique le sexe, l’année et le mois de naissance et, par le biais d’un numéro, la commune de naissance et fait apparaître l’origine étrangère de l’assuré et comporte des risques d’une interconnexion généralisée.

Un usage cantonné à la sphère sociale-santé subordonné à un décret en Conseil d’Etat

C’est pourquoi l’usage de cet identifiant unique est cantonné à la sphère sociale-santé et son traitement subordonné à l’existence d’un décret en Conseil d’Etat, pris après avis de la Cnil. Ce décret autorise l’utilisation du NIR par catégories de traitement et pour des finalités précises – le décret du 19 avril 2019 précise quels sont ces organismes et ces finalités. Sont ainsi autorisés à détenir et utiliser le NIR :

les administrations et organismes chargés de la gestion d’un régime de base de sécurité sociale légalement obligatoire ou du service des allocations, prestations et aides sociales ;
les organismes chargés de la gestion de l’assurance maladie complémentaire ou de la retraite complémentaire ;
les groupements constitués par les organismes et administrations ou services chargés de la gestion d’un régime de protection sociale ;
la Cnav ;
les professionnels, institutions, structures ou établissements, ainsi que leurs groupements, qui dispensent à des assurés sociaux ou à leurs ayants droit des actes ou prestations pris totalement ou partiellement en charge par l’assurance maladie ;
l’Agence nationale de santé publique ;
Les employeurs ainsi que leurs tiers mandatés, pour les traitements de données relatifs à leurs salariés et agents, en particulier pour :
- le respect de leurs obligations déclaratives ;
- le traitement automatisé de la paie et de la gestion du personnel ;
- la gestion financière des ressources humaines de l’administration ;
- le pilotage et la gestion de l’action sociale conduite à l’égard des agents des administrations de l’État.

Traitement du NIR à des fins de recherche en santé

Les recherches, études ou d’évaluations dans le domaine de la santé comportant l’usage du NIR ne sont plus concernés par l’exigence d’un décret en Conseil d’Etat.

La clé d’accès aux fichiers de l’assurance maladie (le Système national des données de santé par exemple) et de l’assurance vieillesse est le NIR (ou un dérivé). Disposer du NIR des personnes enquêtées permet donc de reconstituer le pseudonyme utilisé dans ces bases de données pour faciliter leur appariement avec des données d’une enquête.

La loi de modernisation de notre système de santé du 26 janvier 2016 a consacré une réelle avancée en substituant, pour l’utilisation du NIR à des fins de recherche, une autorisation de la Cnil prise sur le fondement du chapitre IX de la loi Informatique et Libertés à un décret en Conseil d’État, qui était exigé jusqu’alors.

L’Inserm-ANRS a été le premier organisme autorisé par la Cnil à apparier les données du SNDS avec les données de la cohorte ANRS CO22 HEPATHER sur la base d’une autorisation (Délibération n°2018 – 300 du 19 juillet 2018).

Points de vigilance

Les recherches en santé impliquant l’utilisation du NIR ne sont pas susceptibles de relever d’une méthodologie de référence.

Une demande d’autorisation doit être effectuée auprès de la Cnil chaque fois que l’utilisation du NIR est envisagée, et ceci même si les chercheurs n’entrent pas en possession du NIR. La Cnil s’assurera de la pertinence scientifique de l’appariement envisagé, contrôlera le circuit de circulation du NIR et les conditions de sécurité encadrant sa collecte et sa conservation qui doivent être documentés. Pour permettre à votre dossier d’être examiné favorablement, il est recommandé d’avoir recours à un tiers de confiance distinct des responsables de traitement et habilité à traiter le NIR. Sur les critères permettant de s’assurer de l’indépendance du tiers de confiance et les circuits du NIR pour la recherche en santé validés par la CNIL, voir le Guide pratique de la CNIL.

Il n’est pas possible aujourd’hui de collecter le NIR utilisé comme identifiant de santé (recueilli dans les dossiers médicaux) pour mener une recherche en santé.

Le code de la santé publique soumet à des conditions plus strictes définies par un décret qui n’a pas été publié, l’utilisation du NIR à des fins de recherche en santé quand il est utilisé comme identifiant national de santé (NIR-INS). L’ordonnance du 12 décembre 2018, qui entrera en application quand ses textes d’application auront été publiés, permettra l’utilisation du NIR-INS pour les traitements mis en œuvre à des fins de recherche en santé moyennant une autorisation de la Cnil.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Version de navigateur incompatible