RGPD : L’analyse d’impact est obligatoire pour intégrer « Mon espace santé »

RGPD : L’analyse d’impact est obligatoire pour intégrer « Mon espace santé »

Par Anne-Charlotte Andrieux et Théophile Tsimaratos

Depuis le 1er Janvier 2022, chaque bénéficiaire d'un régime d'assurance maladie français peut accéder à la nouvelle plateforme « Mon espace santé ».

Cet espace personnel, mis en place par décret en août 2021[1] et testé sur trois départements, a vocation à remplacer le Dossier Médical Partagé (DMP), et permet un meilleur suivi des patients en mettant en place :

  • Un « coffre-fort » sécurisé pour stocker et partager tous les documents de santé : ordonnances, résultats de biologie, dossier d'hospitalisation, vaccination... ;

  • Un profil médical que l'usager peut remplir avec ses informations personnelles : allergies et antécédents familiaux par exemple ;

  • Une messagerie sécurisée pour les échanges entre patients et professionnels de santé.

Ce service numérique, a également pour objectif de digitaliser le parcours de santé en permettant aux usagers de recourir, via la plateforme, à des applications de e-santé qui proposent des activités de téléconsultation ou de prise de rendez-vous.

Le renforcement des critères de référencement pour un meilleur traitement des données de santé

Pour garantir une transparence vis-à-vis des usagers et du droit des données personnelles, « Mon espace santé » a mis en place un référentiel qui impose certaines conditions contraignantes aux éditeurs. En effet, seuls les services de e-santé qui s’y conforment pourront être référencés sur le catalogue de la plateforme et ainsi proposés aux patients.

La mise en place du guide du référencement pour les services de e-santé

Le référencement au catalogue est un enjeu majeur pour les éditeurs de ces services.

Le 23 juin 2022, un arrêté adopté par le gouvernement est venu clarifier les critères posés par l’article R1111-39 du Code de la Sécurité Sociale que doivent respecter les applications pour intégrer le référentiel.

Pour permettre aux professionnels du secteur d’être mieux informés, « Mon espace santé » a développé un « Guide du référencement », qui démontre que ce texte a été pensé pour :

  • Fournir des gages de confiance aux usagers dans le choix des services numériques qu’ils utilisent pour prendre soin de leur santé
  • Accélérer la digitalisation de la santé
  • Assurer un niveau de protection efficace des données de santé.

Les dispositions obligatoires à intégrer au guide du référencement 

L’arrêté du 23 juin 2022 est venu accentuer la pression sur les éditeurs de services numériques de santé en ajoutant plusieurs dispositions obligatoires à intégrer au catalogue. A chaque demande de référencement, devront être joints :

1) toute pièce justifiant l'identité de l'organisme demandeur et son immatriculation

2) toute pièce justifiant de la conformité aux exigences de l’article 5 du Règlement (UE) n°2017/745

3) toute pièce justifiant du respect des critères « obligatoires » par le Référentiel

4) La preuve de la réalisation d’une analyse d’impact[2]

L’obligation de réaliser une étude d’impact sur la vie privée s’inscrit dans une logique de responsabilisation des acteurs de la e-santé, qui se doivent de traiter les données personnelles des patients avec précaution.

RGPD : La tenue d’une analyse d’impact devient inévitable en e-santé

La tenue d’une étude d’impact permet d’évaluer et de prévenir les risques engendrés par l’activité pour les personnes concernées, mais représente aussi un enjeu de conformité, a fortiori pour les éditeurs de services de e-santé.

La mise en conformité au RGPD obligatoire pour les acteurs de la e-santé

Au-delà de cette mise en conformité obligatoire des professionnels du secteur, l’analyse d’impact prend également la forme d’un vecteur de confiance dans la relation des acteurs avec leurs partenaires.

C’est dans ce courant que s’est placé « Mon espace santé », en érigeant la tenue d’une analyse d’impact comme une condition obligatoire pour intégrer le catalogue de la plateforme. Cela permet de remplir un double objectif :

  • Permettre de mieux garantir le respect des droits et libertés des patients ;
  • Contraindre les éditeurs de service de e-santé à se mettre en conformité avec le RGPD.

Les enjeux de la mise en conformité au RGPD pour les acteurs de la e-santé

Si l’on se place du côté des acteurs de la e-santé, il apparait indéniable que l’intégration au référentiel « Mon espace santé » représente un enjeu économique majeur. En effet, les ambitions affichées par le gouvernement laissent penser que cette plateforme sera bientôt le relai exclusif entre les patients et les professionnels de santé.

L’intégration au référentiel permettra donc aux éditeurs de service de e-santé d’augmenter leur visibilité, leurs revenus mais aussi leur crédibilité. La tenue d’une analyse d’impact devient progressivement un enjeu concurrentiel entre plusieurs acteurs d’un même secteur.

En dehors de cet aspect concurrentiel, il existe tout de même 5 bonnes raisons pour mener une analyse d’impact, spécialement dans le secteur de la e-santé.

L’analyse d’impact apparaît donc comme un enjeu majeur. Juridique et technique, cette procédure suppose un accompagnement spécifique.

***

Dans le cadre d’une mission globale comprenant l’analyse des aspects juridiques et opérationnels des traitements ainsi que la réalisation de tests d’intrusion en partenariat avec une société spécialisée, le Cabinet HAAS Avocats assiste ses clients dans l’élaboration de leurs Analyses d’Impact (PIA).

Pour en savoir plus, contactez-nous ici.

 

[1] Décret n° 2021-1048 du 4 août 2021 relatif à la mise en œuvre de l'espace numérique de santé

[2] Article 35 du règlement (UE) 2016/679

Anne-Charlotte Andrieux

Auteur Anne-Charlotte Andrieux

Suivez-nous sur Linkedin