Dans son livre blanc
Santé Connectée, de la e-santé à la santé connectée, paru en 2015, le Conseil
national de l’Ordre des médecins (CNOM) relevait que plus de 500 nouvelles
applications mobiles de santé voyaient le jour chaque mois sur l’Apple Store.
Plus de trois millions de Français étaient équipés d’un objet connecté (étude
GFK) et parmi eux, 11 % l’auraient adopté dans un contexte de santé ou de
bien-être (sondage BVA/Syntec numérique).
Pour autant, la
Commission nationale informatique et libertés (CNIL), ainsi que 26 de ses
homologues ont mesuré en 2014, sur un panel de plus de 1 200 applications, que
la collecte de données opérée par celles-ci était fréquemment injustifiée et
trop souvent réalisée sans que l’utilisateur soit informé de sa finalité. Qui
plus est, une enquête du Journal of the American Medical Informatics
Association (JAMIA), cité par le CNOM dans son livre blanc, a constaté, en août
2014, que parmi plus de 600 applications mobiles de santé téléchargées sur les
stores Apple ou Android, moins d’un tiers possédaient des politiques de
confidentialité.
L’entrée en
vigueur du RGPD
Dans un contexte
d’utilisation croissante des usages numériques en santé, il paraissait donc
essentiel de fixer un cadre qui prenne en compte les enjeux liés à la
protection des données personnelles en général, et de santé en particulier.
C’est ce qu’a souhaité faire l’Union européenne avec l’entrée en vigueur du
règlement 2016/679 UE, dit Règlement général sur la protection des données
(RGPD). Se basant notamment sur la charte des droits fondamentaux de l’Union
européenne, ce règlement réaffirme le droit des citoyens de l’Union à la
protection des données à caractère personnel les concernant. Reprenant les
principes établis par la directive 95/46 CE, le RGPD sacralise les données de
santé et en interdit leur traitement, sauf dans des cas clairement définis à
l’article 9.
Premier impact pour les
acteurs de la santé connectée : l’obligation d’obtenir de la part des personnes
dont ils exploitent les données de santé un consentement informé à leur
utilisation. À ceci est liée, par conséquent, une obligation de transparence :
l’utilisateur qui donne son consentement à l’utilisation de ses données doit en
connaître les finalités, les méthodes de traitement et la durée de
conservation.
En outre, le règlement
réaffirme qu’une donnée personnelle, par nature privée, doit bénéficier, tout
particulièrement lorsqu’il s’agit d’une donnée de santé, d’un niveau de
protection élevé visant à garantir sa confidentialité : c’est la fameuse «
confidentialité par défaut et dès la conception » (article 25 RGPD). Ceci
impose aux acteurs de la santé connectée de prévoir les moyens techniques et
organisationnels nécessaires à la sauvegarde de cette confidentialité.
Enfin, en plus d’une
obligation d’information, le RGPD impose également une obligation de formation
; chaque établissement traitant des données personnelles doit s’assurer que ses
équipes soient sensibilisées aux enjeux d’un tel traitement et doit nommer un
data protection officer (DPO) dont la mission est de veiller au respect du RGPD
dans les traitements réalisés.
Quid du RGPD pour les acteurs
de la santé connectée ?
Selon une enquête de l’association Isidore, réalisée
entre mars et avril 2014, 24 % des professionnels de santé considéraient que
les applications mobiles de santé étaient devenues tout à fait incontournables.
Par ailleurs, les outils numériques sont aujourd’hui largement répandus dans
les établissements de santé (dossiers patients informatisés, agendas de
consultation, outils d’aide à la décision etc.) et l’épidémie de Covid-19 a mis
en valeur l’utilité que pouvaient avoir les outils numériques, notamment dans
l’accompagnement de patients isolés. En première ligne du traitement des
données de santé, les structures de soins ont par conséquent une « obligation
d’exigence » en quelque sorte. En effet, ceux-ci agissent en tant que «
responsables de traitement », c’est-à-dire qu’il appartient à ces
établissements de déterminer la finalité du traitement des données de santé de
leurs patients et de s’assurer que les sociétés auxquelles ils le sous-traitent
répondent aux exigences du RGPD.
Exolis par exemple, qui propose aux hôpitaux une solution
d’accompagnement patient connecté leur permettant de rester en contact avec
leurs patients à distance, est, en tant que sous-traitant, soumise aux
obligations de l’article 28 du RGPD : elle est ainsi tenue de décrire les
moyens par lesquels elle répond aux exigences de transparence et de protection
évoquées plus haut, de ne réaliser des traitements que sur instruction du
responsable de traitement, de tenir un registre de ces traitements et
d’informer le responsable de traitement de toute faille à la protection des
données constatée, qu’elle soit du fait du sous-traitant ou du responsable de
traitement.
À ceci vient s’ajouter une double exigence à la fois
européenne et de droit interne. Le RGPD impose qu’une donnée personnelle, a
fortiori de santé, ne doit être conservée après que son utilité pour réaliser
la finalité du traitement ait expiré. Plus simplement : quand conserver une
donnée ne sert plus l’objectif fixé par le traitement, elle ne doit plus être
conservée. Le règlement ne dispose pas de durée maximum de conservation, tant
il y a de différents types de données, toutefois la loi française exige, pour
les données de santé, d’une durée minimum de conservation, à des fins,
principalement, de santé publique.
Conserver ou non les données de santé constitue un enjeu
stratégique pour de nombreux acteurs de la santé connectée. En effet, celles-ci
peuvent constituer notamment des indicateurs de résultats cliniques précieux
pour justifier des cas d’usage avancés. Toutefois, il s’agit d’une des
catégories les plus privées de données personnelles, dont l’exploitation,
notamment commerciale, peut susciter la méfiance si les usages en question ne
sont pas parfaitement cadrés.
En plus des obligations de transparence et de
consentement évoquées plus haut, le RGPD impose que les données soient hébergées
dans l’UE ou dans un Etat dont l’Union reconnaît le niveau de protection. De
plus, plusieurs Etats de l’Union sont venus légiférer en interne. En France par
exemple, une donnée de santé ne peut être hébergée qu’auprès d’un hébergeur
agréé pour le faire (HDS), les hôpitaux étant habilités pour héberger les
données de leurs patients.
Certains acteurs, dont exolis, ont fait le choix de ne
réaliser aucune exploitation des données personnelles des patients à des fins
commerciales, et de permettre aux établissements de disposer entièrement des
données de leurs patients.
Néanmoins, il reste possible pour les acteurs de la santé
de conserver et de traiter de la donnée anonyme, dans la mesure où
l’anonymisation retire toute information personnelle des données et rend
impossible leur rattachement à une personne identifiée.
Les patients disposent par ailleurs d’un certain nombre
de droits concernant leurs données personnelles : ceux-ci, expliqués dans le
chapitre V du RGPD, sont le droit d’accès, de suppression, de rectification, de
limitation et de portabilité de leurs données. Dans le cas des données de
santé, ce droit doit être justifié. La CNIL explique notamment qu’il est
possible de demander à un hôpital ou une clinique de rectifier ou d’effacer des
données de santé si elles sont inexactes, équivoques, incomplètes ou périmées,
et à condition de justifier d’un « motif légitime ». Par exemple, un patient
hospitalisé a pu obtenir l’effacement de certaines informations médicales le
concernant, au motif qu’un membre de sa famille travaillait dans cet
établissement et qu’il ne souhaitait pas que sa famille soit informée des
traitements qu’il suivait*.
En conclusion, le RGPD a gommé certains obstacles à la
protection des données en obligeant les différents acteurs à la transparence.
En ce faisant, un des principaux impacts du règlement a été la sensibilisation
et l’éducation qu’il a apportées sur la protection des données. D’une part, les
citoyens de l’UE et leurs données personnelles sont replacés au centre de
l’équation, mieux informés, ils deviennent mieux protégés et plus susceptibles
de s’assurer que les traitements de leurs données sont réalisés pour des
finalités auxquelles ils consentent. D’autre part, la protection de ces
informations ne relève plus de la seule responsabilité de celui ou celle
auxquels elles appartiennent, mais également de celle de l’entité qui réalise
leur traitement.
Il n’en reste pas moins qu’il s’agit d’une limitation des
possibilités offertes par une source d’information abondante et potentiellement
hautement lucrative.
Il ne fait pas de doute que les moyens de contournement
seront de plus en plus nombreux et de plus en plus perfectionnés. Reste à
espérer que l’Union restera suffisamment vigilante pour répondre à son objectif
: se positionner comme un acteur public fort de la protection des données
personnelles.
* https://www.cnil.fr/fr/cnil-direct/question/dossier-medical-puis-je-demander-effacer-des-donnees-apres-une-hospitalisation
Florent Massonneau,
Délégué à la protection des données pour exolis