Résumé de section

  • Que dit la loi concernant le traitement des données d'imageries médicales ?

    • Concernant les données de santé, le Règlement Général sur la Protection des Données qui régit la protection des données personnelles, propose un focus spécifique en reconnaissant ces données comme une catégorie particulière de données personnelles

      La plage des données concernées est très "large" : l'état de santé physique ou mental d'une personne, des diagnostics médicaux, des traitements, des informations génétiques, etc.

    • Obligations liées au RGPD

      Les obligations liées au RGPD sur les données de santé sont assez nombreuses. On trouve notament les points suivants :

      Consentement éclairé

      Obtenir le consentement explicite et éclairé des individus avant de collecter, traiter ou stocker leurs données de santé.

      Transparence

      Fournir des informations claires et compréhensibles sur les finalités du traitement des données de santé, les types de données collectées, les destinataires des données, etc.

      Sécurité des données

      Mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données de santé, en prévenant les accès non autorisés, les divulgations ou les altérations.

      Conservation limitée dans le temps

      Ne conserver les données de santé que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées.

      Gestion des droits des individus

      Permettre aux individus d'exercer leurs droits, tels que le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la portabilité des données.

      Désignation d'un responsable de la protection des données (DPO)

      Un DPO doit être désigné/identifié afin d’être le garant de la protection des données et du respect des obligations.

      Inscription dans le registre des traitements

      Toute constitution d’une base de données de santé dans un cadre de recherches doit faire l’objet d'une inscription en base de registres.

      Plan d’Analyse d'impact sur la protection des données (PAI)

      Effectuer un PAI pour évaluer les risques potentiels pour la vie privée et mettre en place des mesures pour atténuer ces risques.

      Notification des violations de données

      En cas de violation des données de quelque nature, notifier les autorités de protection des données compétentes et, dans certains cas, les individus concernés, dans les meilleurs délais.

      Gestion des sous-traitants

      Veiller à ce que les sous-traitants qui traitent des données de santé respectent également les mêmes exigences liées au RGPD par le biais de contrats de sous-traitance et d'accords appropriés.

    • Méthodologie de référence pour la collecte de données

      La collecte de données de santé suit une méthodologie de référence en fonction du type de données collectées et la finalité du traitement. 

      Par exemple, la méthodologie MR-004 encadre les traitements de données à caractère personnel à des fins d’étude, évaluation ou recherche n’impliquant pas la personne humaine, c'est-à-dire une recherche qui porte sur la réutilisation de données n’impliquant pas la personne humaine.

    • En résumé, le RGPD s'applique aux données de santé en tant que données personnelles sensibles et établit des règles strictes pour leur collecte, leur traitement et leur protection. Il vise à garantir que les données de santé soient traitées de manière légale, transparente et sécurisée, tout en accordant aux individus des droits sur leurs données personnelles.

      Comme nous l'avons vu précédemment, l'anonymisation est une étape obligatoire pour préserver la confidentialité des patients tout en permettant l'utilisation des images à des fins médicales ou de recherche. Voyons maintenant un exemple pratique d'anonymisation d'un fichier DICOM.