Dans un contexte marqué par la publication des premières sanctions fondées sur le RGPD, le Conseil de l’Europe a précisé les règles qu’il entend voir appliquées par les 47 Etats Membres en matière de données de santé.
Ces lignes directrices s’appliquent au traitement de données à caractère personnel relatives à la santé, dans les secteurs public et privé et encadrent notamment l’échange et le partage de ces données sensibles par le biais d’outils numériques.
Les startups collectant et traitant des données de santé devront donc porter une attention particulière à la sécurité et la finalité des traitements afin de s’assurer que les données relatives à la santé sont protégées et que des mesures de sécurité appropriées tenant compte des dernières avancées technologiques, du caractère sensible de ces données et de l’évaluation des risques potentiels sont mises en oeuvre.
Ces mesures de protection devront être en place « dès la phase de conception, à tout système d’information traitant des données relatives à la santé ».
La recommandation élabore des directives sur un certain nombre de points définis et rappelle, de façon globale et transversale, l’importance de la garantie de confidentialité, d’intégrité et de disponibilité des données de santé.
Elle énonce également l’existence d’un « certain nombre de droits de la personne concernée », notamment quant à la possibilité de s’opposer au partage des données le concernant et à la transparence du traitement opéré.
Une précision importante pour les entreprises recueillant des données de santé par le biais d’applications mobiles, le Comité des ministres rappelle que ces principes doivent être respectés même lorsque que les données sont « recueillies par des dispositifs mobiles ». Les obligations des responsables de ce type de traitement sont même renforcées puisque les données doivent bénéficier « des mêmes protections juridiques et de confidentialité que celles applicables aux autres modes de traitement de données relatives à la santé », mais doivent également « s’accompagner de garanties de sécurité spécifiques ».
En cas de doute, il est essentiel de se faire accompagner dans la mise en oeuvre du processus de traitement de données pour éviter toute sanction.