2020

Données
de santé
et sanctions
RGPD.
Les sanctions
RGPD et les données
de santé.
La sensibilité des données de santé
rentre en compte pour définir le niveau
et la sévérité des sanctions délivrées
par les instances de contrôle lorsque
les entreprises ont violé les disposi-
tions du RGPD (23 sanctions font ré-
férence à ces données de santé).
En effet, en vertu de l’article 82 du
RGPD, chaque autorité de contrôle est
tenue d’adapter la sanction délivrée
en fonction du cas d’espèce. Ainsi une
circonstance pouvant atténuer la sanc-
avec l’autorité de contrôle en vue de Part des sanctions publiques faisant
remédier à la violation réglementaire. référence à des données de santé sur
A l’inverse, et au vu des montants des le total des sanctions prononcées en
amendes ainsi que de leur nombre, les Europe :
catégories de données personnelles
concernées et notamment le traitement
de données sensibles semble être un 61 %
Allemagne
facteur aggravant la sanction.
La conformité des traitements portant
sur les données de santé est d’autant
plus importante que ces traitements
35,7%
Pays bas
font partie des priorités de contrôles

1,8France
%
tion sera notamment la coopération de la CNIL pour 2020.

Schéma : Les sanctions publiques faisant référence à

des données de santé en Europe depuis l’entrée en
application du RGPD.
Source : https://www.enforcementtracker.com/
Date de l’étude : Septembre 2020
12 %
Norvège

2,2%
Espagne
ISLANDE
20 , 6 K€

0,1%
Italie
SUÈDE
NORVÈGE 1 1 , 2 K€
7 3 , 6 K€
4 6 , 6 K€ 69,6%
Islande

0,2%
PAYS -BAS
9 0 0 K€ A LLE M AG N E
5 0 K€ 14,5M€
1 , 24 0 M € Suède
F R A N CE 8 0 K€
2 9 4 K€
0,01%
4 0 0 K€
5 0 0 K€
ROUMANIE
E S PAG N E 1 1 , 2 K€ Bulgarie
6 0 K€ ITA LI E
5 K€ 3 0 K€ B U LG A R I E

0,6%
1 0 K€ 51 0 €
3 × 4 K€
5 K€
2 K€ Roumanie
Les données de santé ;
des données sensibles
particulièrement
encadrées.
Les données à caractère personnel concernant
la santé sont les données relatives à la santé
physique ou mentale, passée, présente ou future,
d’une personne physique (y compris la prestation
de services de soins de santé) qui révèlent des in-
formations sur l’état de santé de cette personne.
D’après l’article 32 du RGPD, le responsable de
traitement doit mettre en œuvre des mesures
techniques et organisationnelles appropriées
afin de garantir un niveau de sécurité adapté au
risque. Le traitement de données de santé, de par
son caractère sensible, nécessite donc la mise
en place de mesures de sécurité physiques et
techniques renforcées. Par exemple, en France,
les entreprises traitant des données de santé
mais souhaitant externaliser leur hébergement
doivent avoir recours à un prestataire agrée HDS.
L’article 9 du RGPD définit la donnée de santé comme
une donnée sensible et interdit par principe son trai-
tement. Il laisse cependant la possibilité de traiter ces
données lorsque le consentement de la personne a été
obtenu et/ou lorsque le traitement rentre dans le cadre
des exceptions prévues par le Règlement.
Le traitement des données personnelles de santé est
autorisé et ce, sans consentement préalable de l’utilisa-
teur s’il poursuit notamment une des finalités suivantes :
• G estion des systèmes et services de santé ou de la
protection sociale ;
• Préservation de la santé publique (pour éviter notam-
ment la propagation des maladies) ;
• Appréciation médicale : soins, diagnostics, médecine
préventive ;
• Préservation des intérêts vitaux d’une personne en
incapacité de donner son consentement.
Les spécificités
de réglementation en
matière de données
de santé en Europe.
En vertu de l’article 9(4) du GDPR, les États membres sont en droit de maintenir les conditions existantes ou d’imposer des
conditions supplémentaires (y compris des restrictions) concernant les données génétiques, biométriques ou de santé. Le
niveau de protection de données de santé diffèrent donc au sein de l’Union Européenne et des règles particulières doivent
être prises en compte.

Niveau Le niveau de difficulté de la mise en

de diffi- œuvre fait référence au cout d’im-
Groupe 3*
culté de Groupe 2* plémentation (qui est un mix entre
la mise la charge en jours-hommes et/ou
en œuvre Groupe 1*
l’achat de solutions techniques) et
(RGPD le niveau de spécificité au degré de
Groupe 4*
inclus). particularité de la réglementation lo-
cale. Ont été étudiées les éléments
Niveau de spécificité en référence au RGPD. relatifs aux thématiques classiques
de la protection des données (me-
sures de sécurité additionnelles,
Graphique : Rapport entre spécificités réglementaires locales et difficulté
conservation des données, informa-
d’implémentation des contraintes. tion des personnes etc…).

Groupe 1. Groupe 2. Groupe 3. Groupe 4.

*Belgique, Espagne, Italie,
Angleterre.
Pays pour lesquels les spé-
cificités sont relativement
faibles. Les difficultés de
mise en œuvre sont assez
importantes, mais sont
principalement dues aux
contraintes découlant du
RGPD.
*Allemagne.
Pays pour lesquels les
spécificités et les difficul-
tés de mise en œuvre sont
relativement élevées. Le
traitement des données de
santé est soumis aux dis-
positions du code pénal, ce
qui augmente le risque de
non-conformité.
*France.
Pays pour lesquels les spé-
cificités sont élevées, no-
tamment en ce qui concerne
les dispositions relatives
aux données sur les enfants
et à l’hébergement. Le coût
de la mise en œuvre est éle-
vé en raison des spécificités
techniques.
*Suisse.
Pays pour lesquels les
spécificités sont élevées
car le RGPD n’est pas di-
rectement applicable. Pour
les mêmes raisons, les dif-
ficultés de mise en œuvre
sont moins importantes car
les contraintes sont un peu
moins fortes.
 Nos
Sia Partners dispose d’une expertise règlementaire
comparée sur la protection des données de santé :

• A ctualisation régulière d’un benchmark sur les

atouts
contraintes locales en matière de données de santé.
• S olution AI permettant une veille sur les sujets
règlementaires (Regreview).

+ pour
vous
Nous disposons de la capacité à comprendre les enjeux
issus des nouvelles technologies du secteur de la santé
grâce à nos expertises croisées métiers et compliance.
Celles-ci nous permettent d’intervenir sur différents
sujets :

• Audit de conformité quant à la protection des données

de santé ;
• Harmonisation de la protection des données de santé accom-
pagner
au sein d’une seule entité ou d’un groupe international ;
• Adaptation des mesures de sécurité mises en place en
fonction des particularités règlementaires.

sur la
protec-
tion des
données
de santé.
Une équipe internationale d’experts en conformité
habituée à travailler de manière transfrontalière et forte
de plus de 100 consultants.

Nos pays avec une équipe conformité :

Allemagne, Belgique, Canada, Émirats arabes unis,
États-Unis, France, Hong Kong, Italie, Japon, Pays-Bas,
Royaume-Uni, Singapour.
• Abou Dabi • Édimbourg • Montréal
• Amsterdam • Francfor t • New York
• Baltimore • G reater Bay • Panama*
• Br uxelles Area • Paris
• Casablanca • Hambourg • Riyad
• Charlot te • Hong Kong • Rome
• Chicago • Houston • Seat tle
• Denver • Londres • Singapour
• Doha • Luxembourg • Tok yo
• Dubai • Lyon • Toronto
• Dublin • Milan

*Sia Partners Panama, membre du réseau Sia Partners

À propos
de Sia Partners.
Pionnier du Consulting 4.0, Sia Partners réinvente le métier du conseil et ap-
porte un regard innovant et des résultats concrets à ses clients. Nous avons
développé des solutions basées sur l’Intelligence Artificielle et le design pour
augmenter l’impact de nos missions de conseil. Avec 1 800 consultants dans
18 pays, nous allons générer un chiffre d’affaires de 290 millions d’euros sur
l’exercice en cours. Notre présence globale et notre expertise dans plus de
30 secteurs et services nous permettent d’accompagner nos clients dans le
monde entier. A travers notre démarche «Consulting for Good», nous mettons
notre expertise au service des objectifs RSE de nos clients et faisons du déve-
loppement durable un levier de performance pour nos clients.

www.sia-partners.com