Données de santé personnelles,

une matière hautement sensible…

Les professionnels de santé ne sauraient plus s’exonérer de la responsabilité du traitement et de la protection des données personnelles du patient. Levier de transformation majeur du système de santé, l’exploitation des données de santé s’inscrit dans un cadre législatif strict

Si le projet « Ma Santé 2022, un engagement collectif » propose des mesures permettant de rendre le patient acteur de son parcours de soins, il implique la création d’un espace numérique de santé, dispositif où seront référencés le dossier médical partagé, une messagerie sécurisée… Autrement dit, des données de santé sensibles… Or, la loi n°78-17 du 6 janvier 1978 protégeant les données personnelles sensibles, renforcée avec l’entrée en vigueur du RGPD, donne à toute personne le droit de demander des informations sur le traitement de ses données, d’obtenir l’accès à ces dernières, d’en demander la correction, de s’opposer à leur utilisation à des fins de prospection ou de requérir la limitation de leur traitement dans des cas précis. Cela suppose que les organismes privés et publics, soumis à des prescriptions quant au traitement de ces données, doivent protéger les data, et s’assurer de l’exactitude, la sécurité et la confidentialité de ces dernières. L’obligation de transparence les oblige également à informer les usagers/clients de leur détention de données personnelles. Reste que la définition de la donnée est relativement large, et donc susceptible d’ouvrir la voie à des abus.

Une notion définie de manière large par le règlement européen. La notion de données de santé trouve son origine dans la convention n° 108 du 28 janvier 1981, qui prévoit que les données à caractère personnel « ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées ». Aujourd’hui, le RGPD, la loi Informatique et libertés adaptée en conséquence, ainsi que les dispositions du Code de la santé publique constituent le socle de la nouvelle réglementation sur la protection des données personnelles, dont font partie les données de santé. Du fait de la grande sensibilité de ces données, leur traitement informatisé est rigoureusement encadré par le droit. Aussi, les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. Entrent dans cette notion, trois catégories de données : celles qui sont des données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés…) ; celles qui, du fait de leur croisement avec d’autres données, deviennent des données de santé (croisement d’une mesure de poids avec d’autres données…) ; celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation faite sur le plan médical.

Des limites et des risques. En revanche, la loi ne s’applique pas aux traitements qui comportent des données de santé à l’usage exclusif de la personne. N’entrent pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne concernée (application collectant un nombre de pas sans croisement de ces données avec d’autres). A l’inverse, « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ». De plus, le RGPD élève la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental. En effet, la notion de données recouvre non seulement l’ensemble des données collectées et produites dans le cadre du parcours de soins mais aussi celles qui seraient détenues par d’autres acteurs (développeurs d’application par exemple). Idem quant à la notion d’hébergement des données et du choix de l’hébergeur qui ne sont pas sans poser question, même si elles sont rigoureusement encadrées. Par ailleurs, la centralisation des informations sensibles de santé présente certains risques, des défaillances étant toujours possibles. Enfin, les médecins sont particulièrement concernés par l’application du RGPD. Leurs obligations, nombreuses, sont assorties de responsabilités renforcées. Ainsi l’absence de diligence du médecin est susceptible d’engager sa responsabilité.

Frédérique Guénot ■