RGPD et données de santé — catégories particulières, rôles de sous-traitance et pipelines de bioinformatique

Catégories particulières (article 9)

Le traitement des données de santé exige en principe des bases légales spécifiques (consentement explicite ou exceptions de recherche définies).

En Allemagne, des règles nationales complémentaires peuvent s’appliquer en parallèle, y compris pour la recherche.

Rôle de sous-traitant et dépendance au cloud

Lorsque des prestataires externes traitent des données, les rôles responsable/sous-traitant et les contrôles contractuels doivent être explicites et auditables.

Les transferts internationaux imposent des garanties et une analyse de risque, idéalement dès la conception, pas après déploiement.

AIP et mesures techniques

• Une analyse d’impact relative à la protection des données (AIP / DPIA, art. 35) peut être requise pour des traitements à risque élevé.
• La pseudonymisation réduit le risque mais ne supprime pas les obligations du RGPD.
• L'anonymisation complète des données génomiques est souvent difficile à tenir compte tenu des risques de ré-identification.