Le mauvais usage de ces données d’une façon générale peut avoir des conséquences importantes sur les droits fondamentaux des personnes. La directive sur la protection des données impose un niveau de protection plus élevé pour les données de santé mais ne définit pas clairement quels types d’informations doivent être considérés comme des données de santé au sens de l’article 8.
Le Groupe de travail du G29 [1] note que cette catégorie représente un des domaines les plus complexes des données sensibles.
Ainsi qu’il le constate, il existe une catégorie d’informations qui sont uniformément considérées comme des données de santé. Il s’agit des données médicales, des données concernant la santé mentale ou corporelle d’un sujet qui sont générées dans un contexte professionnel médical. Cependant, les données de santé ne se réduisent pas aux seules données médicales.
D’après la Directive 95/46/CE [2], les données de santé regroupent aussi : des informations provenant des résultats de tests ou d’examens effectués sur une partie du corps ou une substance corporelle de celui-ci, comprenant des échantillons biologiques, des renseignements concernant des risques de maladie ainsi que l’état physiologique ou biomédicale du sujet indépendamment de leur provenance.
Il est intéressant de noter que le projet de règlement traite de « données concernant la santé » qu’il définit comme « toute donnée personnelle relative à la santé physique ou mentale d’un individu ou à la fourniture d’un service de santé à un individu ».
Dans la version modifiée par le Conseil Européen, les données de santé se définissent comme des données concernant la santé mentale ou physique d’une personne mais aussi relevant des renseignements concernant l’état de santé d’un individu. Il n’y a donc plus de référence au caractère médical.
Le Groupe de travail quant à lui estime qu’il y a une catégorie de données personnelles générées par des applications et les périphériques mobiles du quotidien (smartphones, tablettes, objets connectés) qui ne doit pas être considérée comme des données de santé au sens de l’article 8. Cela concerne des données avec lesquelles aucune conclusion ne peut être avancée concernant l’état de santé d’un individu.
Mais il demeure certaines catégories de traitements pour lesquelles la qualification de traitement de données de santé n’est ni évidente ni exclue. C’est notamment le cas quand des données brutes sont traitées à d’autres fins, combinées avec d’autres données ou transférées à des tiers. Il se peut alors qu’on en déduise l’état de santé d’une personne.
Il ne suffit donc pas de regarder le caractère intrinsèque des données. Leur usage prévu doit aussi être pris en compte, en lui même ou en combinaison avec d’autres informations. Par exemple, le seul enregistrement du poids d’une personne, de sa tension artérielle ou de ses pulsations cardiaques, sans plus d’information sur son âge ou sur son sexe, ne donne pas d’informations sur l’état de santé actuel ou future de cette personne.
Cependant, cet aspect mesuré à travers le temps, spécialement combiné avec l’âge et le sexe d’une personne, peut être utilisé pour déterminer un aspect significatif de l’état de santé d’une personne, comme ses risques d’obésité ou d’une maladie causant la perte significative de poids, une faible ou haute tension artérielle, arythmie etc…
En résumé et selon le G29, les données personnelles sont des données de santé quand :
1. Les données sont intrinsèquement/clairement médicales ;
2. Les données brutes de capteur sont utilisées en tant que telles ou en combinaison avec d’autres données pour tirer une conclusion sur l’état de santé actuel ou les risques médicaux d’une personne ;
3. Des conclusions sont tirées concernant l’état de santé ou les risques médicaux d’une personne (indépendamment de prendre en compte si ces conclusions sont exactes ou inexactes, légitimes ou illégitimes, adéquate ou inadéquates).