Rappel de l'objet de la demande
Deux établissements sont en direction commune. Les deux équipes informatiques peuvent-elles avoir accès à l’ensemble des données des deux établissements ?
Textes de référence
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
- Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel puis par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
- Décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
Réponse
Pour répondre le plus précisément possible , il convient de définir dans un premier temps les conditions dans lesquelles un traitement de données à caractère personnel peut être réalisé. En effet, seuls les traitements de données à caractère personnel font l’objet d’une règlementation spécifique.
Si les données concernées en l’espèce ne répondent pas à cette définition, les équipes informatiques des deux établissements peuvent librement y accéder, moyennant la rédaction d’une convention de partage de données entre les deux établissements.
Toutefois, si ces données répondent à la définition légale des données à caractère personnel, il convient de vous assurer que cet accès est conforme aux dispositions de la loi informatique et liberté du 6 janvier 1978 révisée par la loi du 20 juin 2018.
À toutes fins utiles, il est rappelé qu’un traitement de données à caractères personnelles est défini par l’article 2 de la loi informatique et liberté comme « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
Ce même article définit également les données à caractère personnel comme suit : « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Il peut notamment s’agir de données concernant les membres du personnel des différents établissements (en direction conjointe ou non ou au sein du GHT). La personne concernée doit alors consentir à ce que ses données fassent l’objet d’un traitement.
Par ailleurs, on relève que certains traitements de données à caractère personnel concernés sont interdits en raison du caractère sensible de ces données (article 8 de la même loi) sauf lorsque certaines conditions sont réunies. C’est notamment le cas des données concernant la santé d’une personne.
Pour que le traitement de ces données soit licite, il convient notamment de recueillir le consentement exprès de la personne concernée ou, si la personne concernée est dans l’impossibilité de consentir à ce traitement, d’apporter la preuve que celui-ci est nécessaire à la sauvegarde de la vie de la personne concernée. Peuvent répondre à cette définition les données contenues dans le dossier médical d’un patient.
Pour être juridiquement valable, le consentement au traitement de données à caractère personnel doit être strictement circonstancié. C’est-à-dire que la personne consent à un traitement déterminé de ses données. Pour cela, elle doit être mise au courant de la finalité du traitement, de l’identité du responsable de traitement et de l’utilisation qui va être faite des données la concernant.
Ce retour préalable sur les éléments de définition et grands principes posés par le législateur est indispensable pour répondre à votre question. En effet, vous souhaitez savoir si les équipes informatiques de deux établissements de santé qui ont une direction commune peuvent librement accéder à l’ensemble des données générées par les deux établissements.
Si les données visées ne sont pas des données à caractère personnel, cela est possible. Il s’agira par exemple des données concernant la logistique de l’établissement (commandes de matériel par exemple) ou l’organisation d’activités administratives (hors données à caractère personnel). Malgré le fait que les données ne soient pas à caractère personnel, nous préconisons de recourir à la rédaction d’une convention de partage des données entre les deux établissements.
Si les données visées sont des données à caractère personnel, cela n’est possible qu’à la condition que les personnes concernées par les données ont été informées que leurs données sont traitées conjointement par les deux établissements et y ont consenti. Cette information peut par exemple être prévue au titre de l’information concernant le groupement hospitalier de territoire (G.H.T) auquel appartiennent les deux établissements, ou à travers un document conjoint du fait de la direction commune.
Si une telle information n’a pas été donnée aux personnes concernées préalablement à leur consentement à cette utilisation de leurs données, il convient de solliciter leur consentement pour une telle extension du champ de traitement de leurs données.
En tout état de cause, il convient de rappeler que les personnes concernées par le traitement peuvent refuser cette nouvelle utilisation de leurs données à caractère personnel, exercer leur droit de limitation, de rectification ou d’effacement des données à caractère personnel les concernant et faisant l’objet de ce traitement.
Si les données visées ne sont pas des données à caractère personnel, cela est possible. Il s’agira par exemple des données concernant la logistique de l’établissement (commandes de matériel par exemple) ou l’organisation d’activités administratives (hors données à caractère personnel). Malgré le fait que les données ne soient pas à caractère personnel, nous préconisons de recourir à la rédaction d’une convention de partage des données entre les deux établissements.
Si les données visées sont des données à caractère personnel, cela n’est possible qu’à la condition que les personnes concernées par les données ont été informées que leurs données sont traitées conjointement par les deux établissements et y ont consenti. Cette information peut par exemple être prévue au titre de l’information concernant le groupement hospitalier de territoire (G.H.T) auquel appartiennent les deux établissements, ou à travers un document conjoint du fait de la direction commune.
Si une telle information n’a pas été donnée aux personnes concernées préalablement à leur consentement à cette utilisation de leurs données, il convient de solliciter leur consentement pour une telle extension du champ de traitement de leurs données.
En tout état de cause, il convient de rappeler que les personnes concernées par le traitement peuvent refuser cette nouvelle utilisation de leurs données à caractère personnel, exercer leur droit de limitation, de rectification ou d’effacement des données à caractère personnel les concernant et faisant l’objet de ce traitement.
Pour consulter la suite et toutes nos autres réponses, remplissez le formulaire ci-dessous ou demandez votre démo
Tous les champs sont requis
