Posted by Privacy Policy des établissements de santé : rédaction d’un code de conduite en cours
Eléonore Scaramozzino Avocat
La FHF a constitué un « comité DPO », composé de représentants de CHU, CH, CHL et d’Ehpad. La FHF travaille avec la Cnil à l’élaboration d’un code de conduite sectoriel spécifique pour les données de santé. Il vise à aider les établissements de santé à appliquer les dispositions du RGPD. Pour Marie-Laure Denis, la présidente de la Cnil, ce document devra apporter des “réponses des réponses pragmatiques et faciles d’accès”. La FHF joue un “rôle leader et pionner” dans le domaine, puisqu’il s’agira d’un premier code dans le secteur public.
Déclaration officielle de valeurs éthiques ou de bonnes pratiques
De manière générale, le code de conduite ou code déontologique constitue une déclaration officielle de valeurs éthiques ou de bonnes pratiques qui seront tenues par rapport à des tiers externes ou internes aux établissements de santé. Un code formalise un certain nombre de principes d’actions et de normes minimales. En adoptant ce code, l’établissement de santé s’oblige à respecter ces bonnes pratiques et à les faire respecter par ses fournisseurs, sous-traitants…
Ce mouvement né aux États-Unis né aux États-Unis se comprend par la volonté des entreprises de répondre au principe d’accountability mis en évidence par l’OCDE et résumé en ces termes « Tell me what you are doing and do it effectively ». Le False and Deceiptive Statement Act, voté aux US en 1970, permet de sanctionner les déclarations qui ne correspondent pas à la réalité ou induisent le consommateur en erreur et charge la Federal Trade Commission (FTC) de poursuivre de telles infractions.
Ces codes sont généralement structurant en suivant les principes retenus tant par l’OCDE que par le Conseil de l’Europe. Ils peuvent faire référence à des mécanismes de négociation, de révision, de publicité tant interne qu’externe, de contrôle du respect et de possibilité pour les destinataires d’adresser toute plainte, remarque ou critique à l’égard du texte du code comme de son respect.
RPGD : code de conduite sectoriel
Le RGPD ne contient pas de définition. L’article 40.1 l’évoque à l’échelle d’un secteur d’activité donné, qui se doterait d’un ensemble de règles destinées à « contribuer à la bonne application du RGPD, compte tenu de la spécificité des différents secteurs de traitements ».
Le considérant 77 énonce que les codes de conduite peuvent contenir : « des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l’identification du risque lié au traitement, leur évaluation en termes d’origine, de nature, de probabilité et de gravité, et l’identification des meilleures pratiques visant à atténuer le risque. »
Le secteur de la santé justifie l’adoption d’un code de conduite
Les finalités des données de santé collectées auprès des patients
Le traitement des données de santé doit répondre à des exigences spécifiques, prévues par le code de la santé publique, telles que : le consentement des patients dans la collecte des données de santé ; les règles sur le partage des données de santé entre les professionnels de santé d’une équipe soin, ou des professionnels de santé extérieur à cette équipe, … le DMP ; les règles sur la recherche et les essais cliniques ; les garanties pour le respect des délais à l’accès aux données de santé contenue dans le dossier médical ; les règles d’hébergement de données de santé chez des hébergeurs certifiés HDS ; les règles relatives à la sécurité des SI (PSSI-S) ; les règles sur la déclaration des incidents de sécurité des systèmes d’information (art L1111-8-2 du CSP).
Ces exigences applicables au traitement de données de santé justifient la pertinence d’un code de conduite dans le domaine de la santé.
Procédure
Les codes de conduite sectoriels pour produire leur plein effet, doivent avoir suivi une procédure d’approbation précise visant à garantir leur conformité à la réglementation européenne. La Cnil devra rendre un avis sur la question de savoir si le projet de code, de modification ou de prorogation respecte le RGPD. Elle approuvera ce projet de code, si elle estime qu’il offre des garanties appropriées suffisantes.
Plusieurs rencontres avec la Cnil et le Ministère de la Santé ont déjà eu lieu et des travaux sont engagés.
Contrôle et respect du Code de conduite
Un organisme de contrôle devra être chargé du respect des dispositions de cet outil de conformité. Il devra être accrédité par la Cnil. Cette dernière devra transmettre le projet de critères d’agrément d’un organisme au CEPD (Comité européen de la protection des données) en application du mécanisme de contrôle de la cohérence du RGPD (art 63 et suivants).