Données de santé et données de performance sportive : comment les articuler?
PDF Embedder requires a url attribute
Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.
Trois catégories de données entrent dans cette définition : les données de santé par nature, les données de santé par destination (devenues des données de santé du fait de leur utilisation sur le plan médical), et également les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en permettant de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne.
Dans ce cadre, le domaine de la performance sportive fait appel à des données de santé. Aux fins de mesures de la performance sportive individuelle des sportifs, il est nécessaire de recueillir des données de santé : telles que la fréquence cardiaque, le poids, la taille, les habitudes alimentaires.
A cet égard, les données ainsi traitées entrent dans le cadre de l’interdiction de traitement édictée par l’article 9 du RGPD, et leur traitement doit donc reposer sur l’une des dérogations prévues par la Règlementation.
La plupart du temps, ces traitements reposent sur le consentement des sportifs. Attention la validité du consentement pourrait être remise en question sur le critère libre de ce dernier.
- En effet la CNIL rappelle sur ce point que le consentement pourrait ne pas pouvoir être mobilisé s’agissant des sportifs de haut niveau, étant donné que ce consentement conditionnera probablement sa participation à la sélection opérée par son entraineur. En effet, le consentement ne serait alors pas libre, car si le sportif décidait de ne pas consentir, cela pourrait avoir des conséquences néfastes sur lui.
Il ne faut toutefois pas confondre : si des données de santé sont collectées dans ce cadre, cela ne fait pas pour autant nécessairement entrer le traitement dans les traitements de données dans le domaine de la santé au sens de la règlementation, notamment dans la section III du chapitre 3 du titre II de la LIL . Ils ne sont mis en œuvre ni à des fins de prise en charge, ni à des fins de recherche. Dans ce cas, pas de formalité préalable auprès de la CNIL.
Une attention particulière à la finalité du traitement doit être portée : s’il a pour objectif de recenser les blessures liées à la pratique d’un sport déterminé, la CNIL rappelle qu’il est possible de le qualifier de traitement dans le domaine de la santé, et à ce titre qu’il devienne soumis aux dispositions applicables.
- Article 4 du RGPD – Définitions
- Article 9 du RGPD – Interdiction de traitement
- Titre II, chapitre 3, Section 3 Traitements dans le domaine de la santé LIL
Qu’est ce qu’une donnée de santé?
CNIL – Rapport d’activités 2023
240423-Rapport-dactivites-CNIL-1
La CNIL présente son bilan 2023 : accompagnement renforcé des entreprises à fort potentiel économique ou d’innovation, essor de la procédure simplifiée, sensibilisation du grand public.. Retrouvez les grands chantiers menés par la CNIL en 2023.
Pour en savoir plus, rendez-vous sur le rapport annuel de 2023.
DPO – Etat des lieux sur leur positionnement
240402-DPO-Bilan-EDPB
Dans le cadre de son action coordonnée débutée en 2020, le Comité Européen de la Protection des Données a établi le bilan de l’enquête concernant le rôle et le positionnement des DPO. Deux des constats émis dans ce cadre sont d’une part leur mauvais positionnement hiérarchique ne leur permettant pas un reporting efficace, et d’autre part un manque de ressources les empêchant d’effectuer à bien leur mission.
EN CONSULTATION – Recommandation relative à l’authentification multifacteur
projet_de_recommandation_authentification_multifacteur
Afin de promouvoir des solutions de cybersécurité conformes au RGPD, la CNIL soumet à consultation publique ce projet de recommandation destiné à accompagner les utilisateurs et fournisseurs d’authentification multifacteur. Les contributions pourront être soumises jusqu’au 31 mai 2024
CNIL – Violations de données, le bilan de la CNIL après 5 ans
240327-Violation-de-donnees-Bilan-reco-CNIL-
La CNIL a publié son bilan sur les violations de données intervenues au cours des cinq années d’application du RGPD. Elle revient notamment sur les sources des violations, les délais et les bonnes pratiques à adopter.
Les cookies – Comment informer?
240314-Cookies-Comment-informer-des-cookies-1
Souvent utilisés sur les sites internet pour améliorer leurs performances, les cookies sont des outils très utiles, mais également intrusifs pour l’utilisateur. Retrouvez dans cette news les points d’attention sur la façon d’informer et de recueillir le consentement lorsque cela est nécessaire.
Les cookies – Qu’est ce que c’est?
240314-Cookies-Quest-ce-quun-cookie-1-2
Retour sur les cookies : nécessaires au fonctionnement, publicité ciblée, réseaux sociaux… Sont-ils toujours soumis au consentement de l’utilisateur? Combien de temps les conserver?
Le registre de traitement
QU’EST-CE QU’UN REGISTRE DE TRAITEMENTS ?
Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit mettre en place un registre des activités de traitement effectuées sous sa responsabilité.
Il est également exigé de tenir un registre des catégories d’activités de traitement si le responsable de traitement réalise des activités mais en tant que sous-traitant cette fois.
Le registre de traitement n’est pas obligatoire pour les entreprises de moins de 250 salariés sauf si :
- Les traitements effectués sont susceptibles de comporter un risque pour les personnes concernées
- Les traitements effectués ne sont pas occasionnels
- Les traitements effectués portent sur des catégories particulières de données, dont les données de santé
Obligatoire ou non, il est recommandé d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.
A noter que les traitements non occasionnels recouvrent des cas très particuliers : il doit s’agir de traitements non routiniers, qui interviennent de manière épisodique, de façon très limitée.
Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, au motif qu’il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.
Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires, telles que prévues à l’article 30 du Règlement général sur la protection des données.
Le nom et les coordonnées du responsable du traitement, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données :
- Les finalités du traitement
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers le cas échéant les documents attestant de l’existence de garanties appropriées
- Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
- Une description générale des mesures de sécurité techniques et organisationnelles mises en place
- Article 30 Règlement général sur la protection des données – RGPD
- Modèle de registre de traitements de la CNIL
- Délibération SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA