Bonjour,
S'agissant de la réglementation en matière de protection des données (RGPD et LIL) quelques éléments à prendre en compte :
- depuis le RGPD il n'y a plus de déclaration préalable mais mise en oeuvre du principe d'accountability pour le Responsable de traitement (ie : votre organisme). Accountability = responsabilisation ou redevabilité. Il n'y a pas non plus de déclaration pour les données de santé (sauf quelques cas très particuliers en matière de recherche). Mais le Responsable de traitement doit déterminer la base légale du traitement (RGPD Art 6) et expliciter le régime d'exception à l'interdiction de traiter sur lequel il s'appuie (RGPD Art 9).
- le principe du Privacy by design qui impose au concepteur de la technologie de prendre en compte les risques d'atteinte aux données personnelles en amont du projet et de prévoir toutes les mesures nécessaires pour les protéger. (RGPD Art 25)
- la nécessité d'une Analyse d'impact relative à la protection des données (AIPD) (RGPD art 35).
- évidemment nécessité d'identifier les activités de traitement et de les inscrire au Registre obligatoire.
S'agissant des données de santé :
- RGPD considérant 35 : « Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services […]au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro.
- Position CNIL : Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
Cette définition comprend donc par exemple :
*les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
*les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
*les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).
Plus de précision ici : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
Il est donc probable que toutes les données relatives à l'accompagnement des usagers soient des données de santé.
Sur la norme Z42-026 je dirai qu'elle participe des principes énoncés ci-dessus et fonde l'accountability de votre organisme.