Utilisation abusive / détournée des données

Introduction

L'utilisation abusive des données, également connue sous le nom de « dérive de mission » ou « utilisation détournée », dans le contexte de cette entrée du parcours de développement des thérapies géniques et cellulaires, concerne l'utilisation des données de santé personnelles d'un patient, au-delà de l'objectif ou des objectifs pour lesquels elles ont été collectées. Bien qu'il puisse parfois être étroitement lié au détournement de fonction, un phénomène très connu dans le domaine des études scientifiques et technologiques (décrivant un cas où les systèmes ou les technologies se développent au-delà de leur champ de déploiement initial), l’utilisation détournée ou abusive des données est davantage axée sur la légitimité et les objectifs pour lesquels les données des patients sont collectées, utilisées, stockées et traitées.

Les résultats d'un sondage Eurobaromètre sur la protection des données ont montré que les citoyens s'inquiétaient souvent de la manière dont ils pouvaient contrôler leurs propres données. C'est pourquoi, le droit de l'Union Européenne (UE) édicte la législation pertinente pour garantir le bon usage et la protection du droit à la vie privée des patients lorsque leurs données de santé sont collectées et traitées. Cette législation s'ajoute à la Charte des droits fondamentaux de l’UE. Il est nécessaire de répondre aux préoccupations des patients en matière de respect de la vie privée, de partage des données et d'accès à leurs propres données de santé dans un contexte de soins de santé (y compris la santé en ligne ou les applications mobiles de santé), ou dans un contexte de soins de santé transfrontaliers ou de recherche (essais cliniques, études cliniques, recherche épidémiologique, registres de patients, etc.).

Dans le contexte des données génétiques des patients, celles-ci peuvent également entrer dans la catégorie des « données sensibles » qui peuvent bénéficier d'une protection supplémentaire en vertu de la législation de l'UE. Il s'agit des principes fondamentaux pour lesquels la législation de l'UE a été adoptée, afin de garantir qu'il n'y ait pas d'utilisation abusive des données ou détournée de la mission de collecte. (Voir les grands principes de la protection des données | EuroGCT, en anglais)

Pour cette entrée, la législation de l'UE pertinente est le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données ou RGPD), et la Proposition de Règlement relatif à l’espace européen des données de santé (EHDS, de l’anglais European Health Data Space).

Parties prenantes

Responsables du traitement : toute personne physique ou morale qui détermine quelles données seront traitées, dans quel but et par quels moyens. (Article 4(7) du RGPD)

Les sous-traitants : toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il n'existe pas toujours de sous-traitants, le responsable du traitement pouvant lui-même être chargé de toutes ces tâches. (Article 4(8) du RGPD)

Personnes concernées : toutes les personnes dont les données sont collectées et sur lesquelles portent les données. Dans le contexte des soins de santé et de la recherche dans le domaine de la santé, les patients et les participants à la recherche sont des personnes concernées parce que leurs données médicales ou génétiques personnelles sont traitées à des fins de soins de santé ou de recherche.

Autorités chargées de la protection des données :

Le Comité européen de la protection des données (EDPB, de l’anglais European Data Protection Board), un organe européen indépendant établi par le RGPD, contribue à l'application cohérente des règles de protection des données dans l'ensemble de l'UE.

La Commission européenne et l'Autorité de surveillance de l'Association Européenne de Libre-Echange (AELE) participent également aux activités et aux réunions de l’EDPB sans droit de vote.

Les autorités de santé numérique des États membres, conformément à l’Espace européen des données de santé (également appelé « autorité de contrôle » en vertu de l'article 51 du RGPD), sont également désignées pour participer à l'infrastructure numérique transfrontalière afin de soutenir le partage transfrontalier des données des patients (article 22 de la Proposition de Règlement relative à l'EHDS).

Le rôle et la participation de l'Agence des droits fondamentaux de l'Union européenne sont également envisagés en ce qui concerne spécifiquement les personnes porteuses d’handicaps. Lorsque ces personnes sont des patients dans le contexte des soins de santé, l'agence contribue à garantir la protection de leurs données, de leur vie privée et de leurs intérêts, y compris en relation avec les nouvelles technologies.

Organisations de patients : Il peut s'agir d'organisations européennes indépendantes, telles que le Forum européen des patients, la Fédération européenne des hôpitaux et des soins de santé, l’Association européenne de santé publique, (sites en anglais) etc. qui sont des organisations à but non lucratif travaillant dans le domaine des soins de santé pour défendre les droits des patients de diverses manières.

Avec la mise en place de l'EHDS, il est également pertinent de noter les nouvelles catégories de parties prenantes qui seront définies au niveau législatif, en particulier dans le contexte des soins de santé, comme suit :

Destinataire de données : toute personne physique ou morale qui reçoit des données d’un autre responsable du traitement dans le cadre de l’utilisation primaire de données de santé électroniques. (Article 2(2)(k) de la Proposition de Règlement relative à l'EHDS)

Détenteur de données : toute personne physique ou morale opérant dans le domaine des soins de santé (en tant que prestataire de soins de santé, chercheur, développeur d'outils médicaux d'IA, entité ou institution chargée de surveiller l'activité d'un autre acteur), qui a sous son contrôle des données de santé électroniques pouvant être transmises à des destinataires de données en vue d'une utilisation primaire de ces données, ou à des utilisateurs de données référencées. (Article 2(2)(y) Proposition de Règlement relative à l'EHDS)

Utilisateur de données : une personne physique ou morale qui dispose d’un accès licite aux données de santé électroniques à caractère personnel ou non personnel à des fins d’utilisation secondaire. (Article 2(2)(z) Proposition de Règlement relative à l'EHDS)

Organismes d'accès aux données de santé : autorités administratives à créer dans les États membres pour exécuter les tâches énumérées à l'article 27 de la Proposition de Règlement relative à l'EHDS, à savoir délivrer un permis d'accès aux données qui permettra aux utilisateurs de données d'accéder aux données de santé électroniques à des fins d’utilisations secondaires, de manière transparente, simplifiée et sécurisée. Dans ce cas, les organismes d'accès aux données de santé et les utilisateurs de données seront tous deux responsables du traitement des données (responsables conjoints de traitement).

Définitions

Le terme « mission creep » (dérive de mission ou utilisation détournée) trouve son origine dans les opérations militaires. Dans les études scientifiques et technologiques, l'expression utilisée est « expansion progressive de la fonction » ou « détournement de fonction », pour indiquer qu'un système ou des technologies se développent au-delà de leurs objectifs initiaux, ou acquièrent de nouvelles utilisations pour lesquelles ils n'étaient pas prévus à l'origine. Dans le contexte de la participation des patients et des données les concernant, le terme « utilisation détournée » a été utilisé pour désigner également une « utilisation abusive des données », étant donné que, dans le cadre des soins de santé et de la médecine, les données des patients sont collectées et utilisées d'une manière spécifique, à des fins limitées, et (idéalement) avec le consentement éclairé des patients.

Dans la Charte des droits fondamentaux de l'Union européenne, l'article 8 prévoit spécifiquement la protection des données à caractère personnel : « Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification ».

En ce qui concerne le RGPD, les termes « détournement de mission »/ « utilisation détournée » et « utilisation abusive des données » n'apparaissent pas, bien que les formulations utilisées dans le RGPD et ses dispositions en vigueur indiquent clairement que c'est ce que l'on entend viser. (Le considérant 88 est la seule disposition du RGPD qui utilise le mot « abus »). Néanmoins, l'objectif du RGPD est d’établir des règles à l’ « égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données » (Article 1(1) RGPD). Des droits spécifiques sont accordés, ou des obligations imposées aux « personnes concernées » (chapitre 3, articles 12 à 23), aux « responsables du traitement et sous-traitants », aux « délégués à la protection des données », aux « tiers » (chapitre 4, articles 24 à 43), aux « pays tiers ou organisations internationales » (chapitre 5, articles 44 à 50) et aux « autorités de contrôle indépendantes » (chapitre 6, articles 51 à 59).

Personnes concernées - Les personnes concernées, selon le RGPD, disposent d'une série de droits concernant leurs données à caractère personnel conformément aux articles 15 à 21 du RGPD. Bien que les notions de « détournement de mission »/ « utilisation détournée » ou « utilisation abusive des données » ne soient pas spécifiquement mentionnées, les limites dans lesquelles les données à caractère personnel sont traitées semblent être contrôlées au regard des « finalités du traitement », de la « base juridique du traitement » et des « intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ». (Art. 13(1) RGPD)

Responsable du traitement et Sous-traitant, Délégué à la protection des données et tiers - Les responsables du traitement sont chargés de « déterminer les finalités et les moyens du traitement des données à caractère personnel ». Les sous-traitants traitent les données à caractère personnel, tout comme les tiers, et le délégué à la protection des données est chargé de la protection des données. (Chapitre 4, RGPD). Là encore, il n'est pas fait mention de « détournement de mission » ou d' « utilisation abusive de données », mais l'obligation peut également être déduite de la définition de la violation de données à caractère personnel.

La « violation de données à caractère personnel » (Article 4 du RGPD) est définie comme une « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Une violation de données à caractère personnel, lorsqu'elle se produit, est une indication courante qu'il y a eu une utilisation abusive ou détournée des données, sous une forme ou une autre.

Le « profilage » (Article 4(4) du RGPD) est défini comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Les « données concernant la santé » (Article 4(15) du RGPD), sont « les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Les « données génétiques », (Article 4(13) du RGPD), sont « les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question ».

Pays tiers ou organisations internationales L'article 44 du RGPD traite largement des transferts de données vers des pays tiers ou des organisations internationales, et les mêmes obligations en matière de protection des données s'appliquent à ces entités dans les pays tiers ou les organisations internationales.

Enjeux

La transparence, la responsabilité et l'audit étant les principes opérationnels du RGPD, les enjeux posés pour l'implication des patients et les données des patients dans la dimension des soins de santé, en particulier pour s'assurer qu'il n'y a pas de d'utilisation abusive ou détournée des données, sont les suivants :

Consentement éclairé explicite et justification - en raison de la nature sensible des informations personnelles, les patients doivent être pleinement informés et consentir explicitement à la divulgation de leurs informations personnelles. Les professionnels de santé et du secteur médical doivent obtenir le consentement explicite et éclairé du patient à chaque fois que les données sont susceptibles d'être utilisées. Cela peut nuire au bon déroulement des opérations, à la flexibilité et à l'efficacité.
Conformité de la chaîne d'approvisionnement - la conformité est essentielle à chaque étape du cycle de vie de la chaîne de délivrance des soins de santé. Si la conformité n'est pas satisfaisante ou ne peut être prouvée, cela peut perturber la chaîne de délivrance des soins de santé et entraîner une augmentation des coûts et des charges.
Risques de divulgation non autorisée - lorsque les données d'un patient doivent être partagées avec d'autres, le risque de divulgation non autorisée peut survenir, et la vie privée du patient pourrait être affectée si des données spécifiques peuvent être consultées. Ce risque, par exemple, est également un élément contre lequel il faut se prémunir dans le cadre d'un partage plus large des données des patients, au regard de l’Espace européen des données de santé.
Enjeux de sécurité - avec un partage plus large des données des patients, les risques de sécurité peuvent également augmenter si les systèmes qui protègent les données ne sont pas mis à jour (par exemple).
Pressions de conformité - alors que tous les établissements de santé sont concernés par le traitement des données des patients, les établissements qui manquent de personnel (par exemple) ou qui ne sont pas en mesure de nommer un délégué à la protection des données qualifié risquent de ne pas se conformer à la réglementation en raison des pressions de conformité.

Opportunités et incitations

Le RGPD contient des dispositions étendues concernant le traitement des données personnelles dans le cadre desquelles les données des patients sont également prises en compte. Les différentes parties prenantes impliquées dans le traitement des données ont des obligations spécifiques qui leur sont imposées par le RGPD, notamment l'obligation d'obtenir le consentement éclairé des patients. En raison de ces dispositions détaillées, on s'attend à ce qu'il y ait des violations de données à caractère personnel, des utilisations détournées ou abusives de données en cas de non-respect de ces dispositions spécifiques.

Outre le RGPD, l'EHDS (qui est la dernière initiative de l'EDPB et du Contrôleur européen de la protection des données (CEPD)), encourage le partage des données dans un espace commun, impliquant un échange, une utilisation et une réutilisation sûrs et sécurisés des données de santé. L'EHDS élargit l'utilisation des données de santé électroniques afin de fournir des soins de santé à la personne auprès de laquelle ces données ont été collectées (utilisation primaire) et d'améliorer la recherche, l'innovation, l'élaboration des politiques de santé, la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires (utilisation secondaire, voir Partage des données / Ouverture des données | EuroGCT). Néanmoins, l'utilisation abusive ou détournée des données sont peu prises en compte dans l'EHDS.

Étapes pratiques

Principes du RGPD - Article 5

Le RGPD énonce six principes clés que tous les responsables du traitement des données doivent respecter en matière de traitement des données. Ces principes s'appliquent également aux données des patients. Les six principes relatifs au traitement des données sont présentés ci-dessous et doivent être strictement respectés par les responsables du traitement des données afin d'éviter l'utilisation abusive ou détournée des données, et la « limitation de la finalité » est particulièrement pertinente.

Les données à caractère personnel doivent être :

traitées de manière licite, loyale et transparente à l'égard de la personne concernée (« licéité, loyauté et transparence ») ;
collectées pour des finalités déterminées, explicites et légitimes et non traitées ultérieurement de manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques n'est pas considéré, conformément à l'Article 89(1), comme incompatible avec les finalités initiales (« limitation de la finalité ») ;
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (« minimisation des données ») ;
exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (« exactitude ») ;
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Les données à caractère personnel peuvent être conservées pendant une durée plus longue dans la mesure où elles sont traitées uniquement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques conformément à l'article 89(1), sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées requises par le Règlement afin de sauvegarder les droits et libertés de la personne concernée (« limitation de la conservation ») ;
traitées d'une manière qui garantisse une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou l'endommagement accidentel, au moyen de mesures techniques ou organisationnelles appropriées (« intégrité et confidentialité »).

Définitions des données relatives aux patients - Article 4(13) et (15) ; et circonstances dans lesquelles les données relatives aux patients peuvent être traitées ou partagées - Article 9

Le respect des spécifications du RGPD concernant les circonstances dans lesquelles les données des patients peuvent être traitées est nécessaire pour garantir l’absence d'utilisation abusive ou détournée des données. Dans le RGPD, les données des patients peuvent être considérées comme des données sensibles. Cela englobe les « données concernant la santé » et les « données génétiques » définies aux articles 4(15) et 4(13) du RGPD Il est interdit de traiter (y compris de partager) ces données relatives aux patients, sauf dans des circonstances limitées.

Les circonstances limitées dans lesquelles les données des patients peuvent être traitées ou partagées sont définies à l'article 9 du RGPD (paragraphes 1 et 2), comme suit :

Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie :

la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;
le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de santé et soumis aux conditions et garanties visées au paragraphe 3 ;
le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Connaissance essentielle des droits des patients en vertu du RGPD

Il est essentiel d'avoir une connaissance critique des droits conférés aux patients par le RGPD, afin de s'assurer à tout moment que les patients sont pleinement informés non seulement de leurs droits en matière de soins de santé, mais aussi des droits dont ils disposent en matière de protection de leurs propres données en vertu du RGPD. Lorsque les patients le demandent, le responsable du traitement des données doit se conformer à leur demande. Les principaux droits des patients en vertu du RGPD sont les suivants (European Patients Forum, n.d., en anglais) :

Droits des patients

N° de l’article

Résumé de l’article

Conditions applicables au consentement

Les patients ont le droit de donner leur consentement ou de retirer leur consentement au traitement de leurs données à tout moment. Dans le cas où le consentement du patient est demandé pour le traitement des données, il ne peut être utilisé que pour les finalités licites de traitement spécifiquement prévues à l'article 6(1). (Remarque : le retrait du consentement d'un patient n'affecte pas le traitement licite qui a eu lieu sur la base d'un consentement antérieur, avant le retrait).

Être informé / Transparence

13 et 14

Les responsables du traitement ont l'obligation de fournir des informations aux patients sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple.

Au moment de la collecte des données de santé, le responsable du traitement doit fournir les informations suivantes :

l'identité du contact ou du responsable du traitement,
la finalité du traitement des données
la durée de conservation des données,
si les données sont destinées à être transférées dans un autre pays,
si les données seront traitées à d'autres fins que la finalité initiale,
les droits du patient en tant que personne concernée.

Accès aux données personnelles

L'un des droits fondamentaux en matière de protection des données est le droit du patient d'accéder à ses propres données personnelles. Sur demande, tous les responsables du traitement des données doivent fournir ces informations au patient.

Rectification

Un patient peut demander la rectification de données à caractère personnel inexactes et/ou que des données incomplètes soient dûment complétées.

Effacement (droit à l’oubli)

Un patient a le droit d'obtenir l'effacement de ses données, en particulier lorsque son consentement a été retiré et que le responsable du traitement n'a plus de motif légitime de traiter les données.

Portabilité des données / transfert à un autre responsable du traitement

Lorsque les patients ont consenti à fournir leurs données de santé, ils peuvent demander à en recevoir une copie en vue de les transférer à un autre responsable du traitement. Les patients peuvent également demander que ces données soient transférées directement en leur nom par les responsables du traitement.

Opposition au traitement des données

En vertu de l'article 21(1), même si un patient a donné son consentement au traitement des données, il conserve le droit de s'opposer, pour des raisons tenant à sa situation personnelle, à TOUT moment au traitement des données à caractère personnel le concernant fondé sur l'article 6(1) point (e) ou (f), y compris un profilage fondé sur ces articles.

[Nota : le droit d'opposition est indépendant de la définition de ce qui constitue un traitement licite au sens de l'article 6(1)].

Le droit d'opposition du patient s’exerce également :

si le traitement est effectué dans le cadre de la prospection, y compris le profilage du patient à des fins de prospection (article 21(2))
Si le traitement est effectué à des fins de recherche scientifique/historique/statistique conformément à l'article 89(1), à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public (article 21(6)).

Ne pas faire l'objet d'une prise de décision individuelle automatisée, y compris le profilage

Un patient a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques le concernant ou l'affectant de manière significative de façon similaire, sauf si :

La décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;
La décision est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ;
La décision est fondée sur le consentement explicite du patient.

Violation

Si une violation de la sécurité est commise et que les données personnelles des patients sont indûment divulguées, consultées ou détruites, le responsable du traitement doit informer le patient de la violation si celle-ci constitue une menace pour les droits ou libertés des patients. Les responsables du traitement doivent également informer les autorités de contrôle nationales de cette violation et prendre des mesures spécifiques pour protéger les données.

Interactions avec les régulateurs

Les interactions avec les régulateurs sont spécifiquement prises en compte dans les dispositions du RGPD et de l'EHDS. Outre le rôle primordial de l’EDPB, le chapitre 6 du RGPD définit le rôle de l'autorité de contrôle indépendante, qui est une ou plusieurs autorités publiques chargées de contrôler l'application effective du RGPD dans chaque État membre. Ces autorités de contrôle indépendantes sont le premier point de contact national pour les responsables du traitement des données ou les sous-traitants, etc. (Article 57 RGPD). L'autorité de contrôle indépendante a notamment pour mission de « traiter les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l'article 80, examiner l'objet de la réclamation, dans la mesure nécessaire, et d’informer l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire » (Article 57(1)(f), du RGPD). Il s'agit probablement de l'itération la plus proche de ce que pourrait impliquer une utilisation abusive ou détournée de données, pour laquelle les interactions avec les régulateurs deviennent alors nécessaires.

Dans le cadre de l'EHDS, outre le rôle général de l'EDPB et du CEPD, les interactions avec les régulateurs impliqueraient des connexions avec l'autorité de santé numérique de chaque État membre (Article 22 de la Proposition de Règlement relative à l'EHDS). Le rôle de ces dernières se recoupe en partie avec celui des autorités de contrôle indépendantes prévues par le RGPD (Article 51). Les détails spécifiques des tâches, responsabilités et pouvoirs des autorités de santé numérique des États membres et des autorités de contrôle figurent respectivement aux articles 22 à 26 de la Proposition de Règlement relative à l'EHDS, et aux articles 51 à 58 du RGPD. Leur organisation en tant qu'autorités distinctes ou en tant qu'autorité nationale unique dépendra de chaque État membre.

Législation de l’Union européenne

Charte des droits fondamentaux de l'Union européenne (2012/C 326/02), OJ C 326, 26.10.2012, p. 391-407, numéro CELEX : 12012P/TXT

Texte original (disponible dans les 24 langues officielles de l’UE)

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), OJ L 119, 4.5.2016, p. 1-88, numéro CELEX : 32016R0679

Texte original (disponible dans les 24 langues officielles de l’UE)
Version actuelle incluant les dernières modifications (disponible dans les 24 langues officielles de l’UE)
Résumé du texte original (disponible dans les 24 langues officielles de l’UE)

Proposition de Règlement du Parlement européen et du Conseil relatif à l’espace européen des données de santé, 3 mai 2022, COM/2022/197 final, numéro CELEX : 52022PC0197

Texte original (disponible dans les 24 langues officielles de l’UE)

Orientations de l’Union Européenne

Littérature pertinente

Purpose Limitation By Design as A Counter to Function Creep and System Insecurity in Police AI - Ivo Emanuilov, Stefano Fantin, Thomas Marquenie, Plixavra Vogiatzolgou. EngRN: Computer Engineering (Topic). August 2020: 26-37.
1. Scientific abstract
The new EU Regulation on the protection of personal data: what does it mean for patients? - A guide for patients and patients’ organisations, European Patients’ Forum.
Stop the Creep of Biometric Surveillance Technology - Lotte Houwing. Research Handbook on EU Data Protection Law. European Data Protection Law Review (2020): 174-177.
Transparency of Machine-Learning in Healthcare: The GDPR & European Health Law - Miranda Mourby, Katharina Ó Cathaoir, Catherine Bjerre Collin. Computer Law & Security Review, Volume 43, (2021), 105611.
1. Scientific abstract
Observational health research in Europe: understanding the General Data Protection Regulation and underlying debate - Evert-Ben van Veen. European Journal of Cancer, Volume 104, (2018): 70-80.
1. Scientific abstract
The EU General Data Protection Regulation (GDPR): A Practical Guide - Paul Voigt, Axel von dem Bussche. Book, Springer Cham, (2017): 383 p.
1. Scientific abstract
Purpose and Function Creep by Design: Transforming the Face of Surveillance through the Internet of Things - Wisman, T.H.A., European Journal of Law and Technology, Vol. 4, No. 2, 2013
1. Scientific abstract
The Policy Effect of the General Data Protection Regulation (GDPR) on the Digital Public Health Sector in the European Union: An Empirical Investigation - Bocong Yuan and Jiannan Li. International Journal of Environmental Research and Public Health 2019, 16(6), 1070.
1. Scientific abstract

Remerciements

Publié: 22/08/2024

Auteurs:

Pin Lean Lau, Assistant Professor in Bio-Law, Brunel Law School, Brunel University London

Traduction par Luc-Sylvain Gilbert et Aurélie Mahalatchimy, août 2024

De la version anglaise écrite par le Dr. Pin Lean Lau en juin 2023

Retour en haut de page

FAQ

Glossary

Choisissez une langue

Condition

Thème