L’Espace Numérique de Santé et la RGPD : qu’en sera-t-il de la protection des données personnelles des utilisateurs ?

Actualisation en date du 19 octobre 2021

Cet article d’actualité reflète un état des lieux sur le sujet traité à la date de sa publication. L’évolution ultérieure de la situation peut le rendre en tout ou partie caduc.

 

“Mon Espace Santé”, également connu aussi sous le nom d’Espace Numérique de Santé (ENS), devrait être opérationnel dans toute l’Hexagone au 1er janvier 2022. La plateforme en ligne s’assimile à une sorte de carnet de santé en ligne, facilitant la gestion des données médicales pour les patients et professionnels de la santé. Mais, qu’en est-il de la protection des données personnelles ? Comme tous le savent, les données médicales sont soumises au secret médical et au principe de confidentialité. La question se pose dès lors de savoir comment respecter ces principes essentiels lors de la mise en place de l’espace santé en ligne ? Par ailleurs, l’application de la RGPD, Le règlement général sur la protection des données, en France et dans toute l’Europe, implique une stricte protection dans le traitement des données personnelles des utilisateurs.

Il s’agit donc de comprendre comment seront protégées les données et les droits des utilisateurs dans l’ENS ? Quels types de données seront collectés par la plateforme ? Qui sera responsable de s’assurer de la protection de ces données personnelles ?

Les grands principes de la RGPD – Source : Site CNIL

La protection des données personnelles : un enjeu prioritaire pour les initiateurs de l’ENS

 

Sur le site officiel, mon espace sante.fr, une partie entière est dédiée à la protection des données personnelles des utilisateurs par le service public en ligne. Le sujet a conduit à mener une étude d’impact préalable sur la vie privée, conformément à l’article 35 du RGPD, pour évaluer le maintien du respect de la vie privée.

 

Quelles sont les données personnelles collectées présentes dans l’Espace Numérique de Santé ?

 

D’après le site officiel, voici la liste des données présentes sur votre espace santé :

 

    • Données administratives ;
    • Données de santé contenues dans votre dossier médical partagé, listées à l’article R.1111-41 du code de la santé publique ;
    • Données de santé contenues dans votre dossier médical partagé, listées à l’article R.1111-41 du code de la santé publique ;
    • Données contenues dans votre profil de santé ou vos mesures de santé ;
  • Données contenues dans les messages et documents de votre messagerie sécurisée de santé ;
  • Données de traçabilité des accès à votre espace numérique de santé.

 

« Mon espace santé » et la RGPD sont-ils compatibles ?

 

Après une analyse du fonctionnement de l’ENS, il semblerait que les droits des utilisateurs tels que régis par la RGPD seront bel et bien respectés. Analysons ensemble quels sont-ils et comment ceux-ci seront préservés :

 

  1. Droit d’opposition : Une personne souhaitant la non-ouverture de son compte peut s’y opposer en informant, en amont,  l’Assurance Maladie de son refus. D’après la RGPD, l’accord des traitements de données se fait par opposition ou consentement explicite. L’ouverture du compte est réalisée uniquement après réception d’un courrier électronique qui informe le patient de la création du compte et il est également possible de fermer le dossier médical directement en ligne.

 

  1. Droit d’accès : La consultation des données de l’espace santé est directement réservée aux membres de l’équipe de soins et à tout professionnel de santé qui ont reçu une autorisation d’accès.

 

  1. Droit de rectification et à la limitation :  L’utilisateur peut autoriser ou non les établissements de santé ou les professionnels de santé à accéder à son dossier. Les professionnels de santé pourront toutefois accéder au dossier médical d’un patient sans autorisation préalable du titulaire du compte, en cas de risque immédiat pour sa santé.

 

  1. Droit de suppression : l’utilisateur peut supprimer directement les informations qu’il a saisies telles que son profil médical ou ses mesures de santé. Il peut également demander la suppression de ses données ou de celles de ses enfants. Les données seront conservées 10 ans après la fermeture du compte.

 

Quelles sont les limites de l’ENS en matière de protection des données ?

 

Nous avons démontré que l’ENS a vocation à respecter dans l’ensemble la protection des données personnelles, pour autant, certaines questions restent en suspens :

 

1- Aucun accès n’est prévu directement pour les mineurs alors que selon l’article 45 de la loi “informatique et libertés”, une personne mineure peut, à compter de l’âge de 15 ans, consentir seule à un traitement de ses données.

2- Concernant les applications référencées dans « Mon Espace Santé », la commission de la CNIL soumet certaines appréhensions quant « aux finalités promotionnelles » de ces services qui peuvent s’éloigner de l’intérêt public et de celui du patient.

3- Enfin, il faudra attendre la mise en place de la plateforme pour vérifier si les dispositions prises par les hébergeurs sont au niveau des exigences du législateur. A priori, l’Assurance Maladie et le Ministère des Solidarités et de la Santé ont formellement mis l’accent sur ce point.  D’après la loi, la transmission des données médicales du professionnel de santé vers l’hébergeur repose sur un contrat qui doit spécifier que la transmission, l’hébergement et l’accès sont subordonnés à l’accord de la personne concernée.  Dans le cas d’une violation du secret professionnel, l’hébergeur encourt un an d’emprisonnement et 15 000 euros d’amende.

Medifil vous accompagne afin de vous aider à mieux comprendre le fonctionnement et les enjeux de l’Espace Numérique de Santé. Suivez-nous sur notre page LinkedIn pour en savoir davantage !