BURKINA FASO

UNITE – PROGRES - JUSTICE

THEME: LA PROTECTION DES DONNEES A

CARACTERE PERSONNEL ET DE LA VIE PRIVEE
SUR LES PLATEFORMES NUMERIQUES: ENJEUX
ET PERSPECTIVES
Ouagadougou, le 9 et 10 Mai 2023
 Présentation :
Colonel Major à la rte AOUBA Mamadi
Ancien Commissaire CIL
I. GENERALITES – DEFINITION ET CONCEPT

II. BREF RAPPEL CADRE JURIDIQUE DE LA PDP

III. CADRE JURIDIQUE DE LA PROTECTION DES D. SANTE

V. CONCLUSION

3
Nous sommes dans un monde du tout connecté ou les flux sont
incessants. Cette hyper connectivité de nos sociétés n’est pas
sans inquiétude, elle attire l’attention de tous sur les questions
de sécurité de nos données (plus particulièrement de celles
dites « sensibles » dont relèvent les données de santé .

Aujourd’hui le secteur de la santé constitue la cible privilégiée

des cybercriminels; car les données médicales sont désormais
la nouvelle devise de l’économie numérique

La hausse exponentielle des attaques contre les acteurs du

secteur de la santé dont les médias en font écho constitue la
preuve.
FUITES/ PIRATAGES DES DONNEES DE SANTE
 En 2020, juin 2020 1,4 million de personnes testées pour le
Covid-19 ont vu leur identité et coordonné dévoilées
 Fin février 2021, la publication sur internet d’un fichier
contenant les données médicales de près de 500 000
personnes.
 En 2021, près de 400.000 patients bretons ont été la cible
lord d'un piratage massif de données médicales
des laboratoires d'analyses biologiques
 En août 2022 le centre hospitalier de Corbeil Essonne a été
ciblé par une cyberattaque après celles du CHU de Rouen,
les hôpitaux de Dax, de Saint-Gaudens, d’Angers ou encore
de l’Assistance Publique – Hôpitaux de Paris (AP-HP),
CAUSES : FUITES OU PIRATAGES DES DONNEES DE SANTE

 Erreurs Humaines (malade-professionnel de santé)

 Equipements et des outils (mauvaise configuration,
opsolésance des systèmes
 Cyber-criminels
 Vol déguisé (revente de ces données) par des sociétés
privées dites prestataires bénévoles de logiciels médicaus
SOURCES DUDH 1948

SECRET PROFESSIONNEL CONSTITUTION DROITS SUBJECTIFS

Serment Hyppocrate
"Admis à l'intérieur des maisons, mes Droit Extra-patrimoniaux
yeux ne verront pas ce qui s'y passe, ma
langue taira les secrets qui me seront Droit de la Personnalité
confiés…"

Protection de la vie privée

Protection des données à caractère personnel

Protection des données de santé

La nouvelle Loi n° 001-2021/AN Protection des
personnes à l’égard du traitement des données à
caractère personnel 30 mars 2021; vient remplacer
celle N°010-2004 du 20 avril 2014.
Elle apporte plusieurs innovations afin de mieux
encadrer la gestion des données à caractère
personnel.
Elle se veut plus coercitive afin de dissuader les
responsables de traitement de données qui font fi des
dispositions légales
Le RGPD, une évolution majeure du cadre juridique et
règlementaire pour la protection des données
personnelle
Une réforme globale qui s’articule autour de 3 grands principes :
Renforcer les droits des personnes (Consentement renforcé et
transparence Définition de l’expression du consentement Manifestation d’une volonté
libre, spécifique, éclairée et univoque ( déclaration ou acte positif clair) La
transparence pour permettre l’exercice des droit Une
protection accrue dans certaines situations plus risquées Le
traitement des données sensibles Maintien d’une interdiction de principe Des
dérogations limitée
Responsabiliser acteurs traitant des données (Un allègement des
formalités préalables et une responsabilisation des acteurs La
protection des données dès la conception et par défaut
Etablir une gouvernance nouvelle de la régulation
 12
04/11/23 12
 Art 6. de la Constitution du 2 juin 1991 du Burkina Faso
 Convention internationale pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel du 28 janvier
1981 et modernisée le 18 mai 2018 , dite « Convention108 » (55 pays
signataires)

 Le Règlement européen nᵒ 2016/679, dit « Règlement général sur la

protection des données » ou encore « RGPD » adopté le 27 avril 2016
et entré en application le 25 mai 2018
✓ Renforcer les droits des personnes
✓ Renforcer les obligations de tous les acteurs traitant des données personnelles
✓ Renforcer la crédibilité des autorités de contrôle en leur octroyant un pouvoir de
sanction financière très élevé

 Art 7 et 8 de la Charte des droits fondamentaux de l’Union européenne ,

Art 16 du traité sur le fonctionnement de l’Union européenne et Art 8 de
la Convention européenne des droits de l’homme
 LA LOI PDP
 Les principes
 OBLIGATIONS DU RESPONSABLE DE
TRAITEMENT
Des obligations tenant aux données collectées ou à collecter

Des obligations vis-à-vis des personnes concernées

Des obligations vis-à-vis de l’Autorité de contrôle

Des obligations de sécurité des données

Les interdictions légales

 La protection des droits des personnes

Droit au secret médical Consentement

Droit à l’information
Accès, opposition,
modification, suppression

Données de santé avec

identification de la
personne
Droit à la protection
Droit à la sécurité de la vie privée
des données
PRINCIPES FONDAMENTAUX DE LA LOI
 Les données à caractère personnel

“toutes informations relatives à une personne

physique identifiée ou identifiable, directe ou
indirectement, notamment par référence à un
numéro d’identification, à un ou plusieurs
élément(s) propre(s) à son identité physique,
physiologique, génétique, psychique, culturelle,
sociale ou économique”
Article 5 de la loi 001-2021/AN du30 mars 2021
 La reconnaissance du caractère sensible
de certaines données

Le principe:« Il est interdit de collecter ou de traiter des

données à caractère personnel qui font apparaître,
directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou
religieuses ou l’appartenance syndicale des personnes,
ou qui sont relatives à la santé ou à la vie sexuelle de
celles-ci. »(art 9 RGPD)
 Données de santé: une notion large
L’article 4 du RGPD définit comme étant celles qui renseignent
sur la santé physique ou mentale d’une personne physique
la Directive 95/46/CE donnait une définition restreinte en considérant qu’il
s’agit des données relatives à la santé

la CNIL en octobre 2013 a élargi la définition en prenant en compte les

addictions et la dépendance

Depuis l’entrée en application du RGPD, cette notion ne couvre plus la seule

hypothèse d’une information en lien direct avec une pathologie, mais plus
largement avec tout l’environnement lié à la prestation de santé.
Ces informations peuvent ainsi concerner la santé présente, passée ou
future d’une personne et tout élément informant sur l’état de santé d’une
personne.
 Les données de santé
le règlement européen sur la protection des données
personnelles (RGPD) entré en vigueur en 2018 définit
les données de santé

« données à caractère personnel relatives à la

santé physique ou mentale d’une personne
physique, y compris la prestation de services de
soins de santé, qui révèlent des informations
sur l’état de santé de cette personne ».
 Les données de santé
La CNIL précise qu’il existe trois catégories de données de
santé :
Les données de santé par nature : antécédents médicaux,
maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap,
etc.
Les données qui se transforment en données de santé
du fait de leur croisement avec d’autres données et qui permettent de
tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne :
croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure
des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
Les données qui deviennent des données de santé en
raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au
plan médical.
 Les données médicales

le terme de donnée médicale englobe tout ce qui a

attrait à une méthode de conservation de l'état de santé
d'un patient (des certificats médicaux ou des
ordonnances, l'utilisation par un professionnel de santé
d'un magnétophone pour enregistrer des constats sur
l'état de santé d'un de ses patients, on est également en
présence de données médicales.)
 Les données médicales
ce sont des données collectées dans un contexte médical (
en cas de prestation de soins de santé ou de résultats de
tests) et qui permettent d’identifier une maladie ou un
risque de maladie, un handicap, des antécédents médicaux,
un traitement clinique ou un état physiologique.
À partir du moment où une donnée est collectée par un
dispositif médical, celle-ci est présumée être une donnée
de santé.
 les exigences spécifiques liées au traitement des
données de santé
Les données de santé font partie des données
personnelles que la loi considère comme « sensibles », et
auxquelles un régime de protection encore plus
drastique est appliqué.

Au vu de ce caractère sensible des données de santé, tout

traitement automatisé de ces données est par défaut
interdit.
Ce principe d’interdiction vise à limiter autant que
possible les risques pouvant découler de leur usage et
les conséquences nuisibles pour les personnes concernées
FORMALITES
La loi Informatique et Libertés prévoyait traditionnellement un régime de
formalités préalables. Plusieurs cas particuliers bénéficiaient d’un régime
simplifié, et notamment :
La gestion informatisée courante d’un cabinet médical ou paramédical (norme simplifiée
NS‑050)
La gestion informatisée de la pharmacie et l’analyse statistique de ses ventes (NS ‑052*
La gestion informatisée d’un laboratoire d’analyse de biologie médicale, à l’exclusion de
certains laboratoires spécialisés et des laboratoires d’anatomo-cyto-pathologie (NS ‑053) etc,,

le RGPD remplace les formalités préalables par une obligation de

documentation interne à l’organisme responsable du traitement (principe
dit d’accountability).
Chaque responsable de traitement devra recenser l’ensemble de ses
traitements et être en mesure d’en présenter à l’Autorité de protection la
cartographie ainsi que les mesures adoptées pour assurer la conformité au
RGPD
Certaines prestations médicales requièrent
impérativement le traitement de ces données, c’est
pourquoi le RGPD pose de nombreuses exceptions à
cette interdiction

le RGPD est venu poser deux exceptions majeures :

L’obtention du consentement de la personne
Les exceptions à l’obligation de consentement
 Les exceptions à l’interdiction de traitement des
données de santé par le RGPD
Le recueil du consentement qui est l’un six des
fondements aux traitement des DP n’est admis que
lorsque la personne physique donne son accord au
responsable de traitement.
cependant la manifestation de cette volonté doit
respecter de quatre critères cumulatifs: « libre,
spécifique, éclairée et univoque »
Libre : il ne doit pas être contraint ni influencé
Spécifique : il doit correspondre à un seul traitement, pour une finalité
déterminée
Eclairé : il doit être accompagné d’un certain nombre d’informations
communiquées à la personne physique
Univoque : il doit être donné par une déclaration ou tout autre acte positif clair
Modalités de recueil du consentement

L’Autorité a admis plusieurs modalités de recueil du consentement

Pour les réseaux de soins, signature du document papier qui lui
est remis à son entrée dans le réseau
Pour le dossier pharmaceutique et le DMP, souscription, sous
forme électronique, par le pharmacien d’un certificat attestant
qu’après avoir procédé à l’information de l’assuré, il a effectivement
recueilli le consentement de ce dernier à l’ouverture d’un DP et
remise à l’assuré d’une copie papier de l’attestation formalisant son
accord.
Pour la consultation de l’ « historique des remboursements »,
accord de l’assuré matérialisé par la remise au praticien de sa
carte Vitale après information préalable incombant à ce dernier
 Les exceptions à l’interdiction de traitement des données de
santé par le RGPD
Les exceptions à l’obligation de consentement
le RGPD prévoit d’autres exceptions permettant le
traitement des données de santé, notamment :
La prévention de la santé publique
La préservation des intérêts vitaux de la personnes
physique concernée
Pour des motifs d’intérêt public
Nécessaire aux fins de la médecine préventive ou la
médecine du travail
Données ont été rendues publiques par la personne
concernée.
A des fins archivistiques, de recherche ou statistiques
 les exigences spécifiques liées au traitement et à la
gestion de données de santé

Les obligations imposées au responsable de traitement:

L’obligation pour l’entreprise réalisant des traitements de
données de santé de désigner un délégué à la protection
des données (DPO). Surtout celle qui traite des données
de santé à grande échelle
l’obligation de tenir un registre des traitements devant
réunir :
Les informations sur le responsable du traitement et DPO
Les informations sur les personnes concernées
Les finalités du traitement
Les délais de conservation des données
La description des mesures mises en place pour optimiser la
protection des données
 les exigences spécifiques liées au traitement et à la
gestion de données de santé
Les obligations imposées au responsable de traitement:
Obligation également au responsable de traitement de réaliser
une analyse d’impact sur le traitement de ce type de données; afin
de prévenir des impacts négatifs non négligeables sur la vie
privée ainsi que sur les droits et libertés des individus

Le DMP Création par la loi du 13 août 2004 portant réforme de

l’assurance maladie
Le DMP est un dossier médical informatisé et sécurisé, qui
accompagne le patient tout au long de sa vie.
Il permet de favoriser la coordination, la qualité et la continuité des
soins, sous le contrôle du patient et dans le respect du secret
médical et de sa vie privée
 les exigences spécifiques liées à la recherche dans le
domaine de de la santé
 La recherche dans le domaine de la santé :
l’autorisation
 Une levée du secret professionnel possible sous
certaines conditions
 Des exigences strictes en matière de d’information et de sécurité
 L’information individuelle doit se doubler d’une information dans les
lieux de soins
 l’examen des dérogations à l’obligation d’information

Dans le cas où la recherche nécessite le recueil de prélèvements

biologiques identifiants, le consentement éclairé et exprès des
personnes concernées doit être obtenu préalablement à la mise en
œuvre du traitement de données
Les technologies actuelles (et surtout à venir)
permettent de presque tout savoir sur un individu
dans l’espace et dans le temps ( temps passé et bientôt
dans le temps futur) par la collecte et le traitement de
données sur cette personne.

Les usages que l’on pourrait faire de ces technologies

peuvent être attentatoires à nos libertés fondamentales

=> Enjeu : la protection des droits de l’individu en

environnement numérique
 les exigences liées à la télémédecine

« La télémédecine est une des formes de coopération dans l’exercice

médical, mettant en rapport à distance, grâce aux technologies de
l’information et de la communication, un patient (et / ou les
données médicales nécessaires) et un ou plusieurs médecins et
professionnels de santé, à des fins médicales de diagnostic, de
décision, de prise en charge et de traitement dans le respect des
règles de la déontologie médicale. »
 Internet des Objets et télé assistance

Les nouveaux usages liés aux données permettent d’envisager

un suivi plus mobile.

Les équipements connectés et la surveillance des patients à distance

allègent la charge des soignants en matière de consultation et
fournissent une assistance précieuse aux patients fragiles
Un dispositif tel que l’APN Privé (Access Point Name) permet
de sécuriser une communication entre une organisation ou une collectivité
et des appareils à distance (ordinateur, équipement, capteurs, etc.).
 Internet des Objets et télé assistance

Il se développe également le quantified self, (IoT) pratique

consistant à mesurer en continu son activité physique (nombre de
pas…), voire ses paramètres (tension, rythme cardiaque, mais aussi
glycémie…), en vue d’adopter un mode de vie sain ou de surveiller
un marqueur particulier.

une première approche, on pourrait être tenté de considérer comme

anodines ces données prises isolément et en dehors de tout
contexte. On ne peut semble-t-il considérer que les données
collectées dans le cadre des outils et applications du quantified self
sont toutes, par nature, des données de santé
 Hébergement des données de santé

L’informatisation des hôpitaux, des cabinets médicaux et

paramédicaux, des pharmacies et des laboratoires, est une réalité
depuis plusieurs années. Tant que les données restaient stockées
localement, sans connexion à internet, le risque de fuite de données,
qu’elle soit accidentelle ou intentionnelle, était faible.

Mais avec le recours croissant aux échanges en ligne entre acteurs de

santé, à la télémédecine et au stockage dans le cloud, les données de
santé sont appelées à circuler mondialement et à être hébergées chez
de nombreux prestataires. Les risques sont multipliés dans les
mêmes proportions
Hébergement des données de santé /DATA CENTER

L'hébergement de données de santé doit respecter les

principes de confidentialité, d'intégrité, de disponibilité
et de traçabilité des données.

Pour tout hébergement externalisé des données de

santé, il est impose une obligation de certification
et même souvent à une obligation de recourir à un
prestataire certifié HDS (Hébergement de Données
de Santé)
 Mesures de sécurité pour le traitement de données de
santé :
•Les mesures de sécurité physique et logique doivent être
adaptées à la nature des données et aux risques présentés
par le traitement
•Obligation de confidentialité, d’exactitude et de complétude
Mécanisme de contrôle d’accès robuste pour tout accès aux
données de santé y compris au sein d’une une même structure de
soins
pour la conservation des données médicales sur support
informatique
pour leur transmission électronique entre professionnel, sans
distinction du mode d’exercice du professionnel
 Mesures de sécurité pour l'hébergement de données
de santé :
L’encadrement de l’hébergement de données de santé
Exige de garantir la sécurité des données de santé lorsqu’elles sont hébergées
par un organisme distinct du professionnel ou de l’établissement de santé qui
soigne le malade
il est recommandé de prendre les mesures de sécurité suivantes :
•Chiffrer les données de santé en transit et au repos
•Établir des protocoles d'authentification forte pour accéder aux données de
santé
•Mettre en place des sauvegardes régulières des données de santé
•Effectuer des tests de sécurité réguliers pour détecter les vulnérabilités
•Définir des politiques de gestion des incidents pour traiter les violations de
sécurité

 Protection des données de santé:
Mesures matérielles, logicielles et organisationnelles
Mesures physiques
Stockage dans salle protégée (feu, eau…)
Copies de sauvegarde stockées dans un endroit différent
Sécurité contre virus et piratages via internet
Alimentation électrique constante et protégée
Mesures logiques
Identification et authentification des utilisateurs
Définition des droits d’accès (profils selon profession, catégories de
données, programmes utilisés)
Cryptage
Mesures organisationnelles
Surveillance des connexions
Mesures pédagogiques
Carte de professionnel de santé
Permet d’accéder aux informations contenues dans carte vitale
Carte à puce permet d’attester son identité et qualité de professionnel de
santé
De se faire reconnaître d’une application pour accéder à donner
Signer électroniquement les opérations effectuées et garantir la non-
altération de données
Chiffrement des messages pour garantir la confidentialité des échanges
LIMITES: CONTRAINTES TECHNOLOGIQUES/NOUVEAUX DEFIS
04/11/23 51
A l’ère des TIC la PDP, le droit à la
protection de la vie privée est un droit
fondamental consacré juridiquement par
presque tous les Etats modernes et
constitue à cet égard, un dispositif
essentiel à la gouvernance, à la démocratie
et à l’épanouissement individuel
Vers un droit universel?
Adhésion convention 108? Ou le RGPD mis
en œuvre en mai 2018
La seule réponse:
L’uniformisation des législations
Un droit international de la
protection des données personnelles
JE VOUS REMERCIE POUR VOTRE
AIMABLE ATTENTION