Emboîtant le pas à de nombreux domaines, c’est effectivement au tour de la santé de rejoindre le phénomène de digitalisation de notre société. Si le croisement des secteurs du numérique et de la santé s’est montré timide, la crise sanitaire du Covid-19 a considérablement accélérée son déploiement. Prise de rendez-vous en ligne, consultation à distance, détection des infections par Bluetooth sont autant d’usages auxquels la population française recours désormais quotidiennement.
Si la e-santé semble être un remède aux difficultés de notre système de santé comme les déserts médicaux, l’accroissement des maladies chroniques ou le vieillissement de la population. Sans être fataliste, le développement croissant de nouvelles applications mobiles ne vise pourtant pas seulement à améliorer le quotidien des patients. La réalité est autre. Ces nouveaux outils se nourrissent de ressources précieuses pour fonctionner, nos données personnelles, qui intéressent de nombreux acteurs publics comme privés. A titre d’exemple, l’assureur John Hancock aux Etats-Unis propose un programme « Vitality » offrant des réductions sur les primes pour les porteurs d’outils connectés permettant de veiller à leur état de santé.
A cet égard, les outils de santé numérique présentent un enjeu économique et stratégique majeur. Le secteur de la e-santé nécessite ainsi des garanties permettant d’assurer la protection des droits et libertés des individus sans être un frein au progrès et aux innovations. C’est dans cette perspective qu’un équilibre est à trouver.
Malgré une timide réponse juridique aux enjeux suscités par la santé numérique, l’arsenal législatif actuel permet d’assurer un certain degré de protection à la collecte et à l’exploitation des données de santé.
1 - Les données de santé, des données hautement sensibles dont le traitement est, par principe, interdit.
L’usage d’outils de santé numérique nous expose à des risques d’atteintes à nos droits et libertés, au secret médical et à notre vie privée. L’existence et le fonctionnement même de ces outils reposent effectivement sur la collecte et le traitement de données de santé.
Qu’est-ce qu’une donnée de santé ? Une donnée de santé est une information relative à la santé physique ou mentale d’un individu, passée, présente ou future, et qui permet de révéler l’état de sa santé. Provenant de diverses sources, il peut s’agir de résultats obtenus lors d’examens, d’une maladie, d’un handicap etc…
Si l’essor de la e-santé suppose un encadrement juridique spécifique, c’est en raison des dangers encourus du fait de la sensibilité de ces données. Selon le RGPD - Règlement Général sur la Protection des Données -, les données de santé constituent des données sensibles dont le traitement est, par principe, interdit.
Il est toutefois possible de passer outre cette interdiction dans certaines hypothèses prévues à l’article 9 du RGPD. Tel est le cas lorsque que :
Le consentement explicite de la personne concernée a été obtenu,
L’utilisation des données est nécessaire à l’exécution des obligations du responsable de traitement,
Les fins de la médecine préventive, de la prise en charge sanitaire et sociale le commande.
Si dans ces hypothèses le traitement des données est permis, une protection accrue en matière de sécurité et de confidentialité s’impose. En effet, la dématérialisation des informations médicales et/ou leur collecte via des outils connectés augmentent les risques de failles et de fuites de données.
2 - La certification des hébergeurs de données de santé.
Les professionnels et les établissements de santé peuvent faire héberger les données collectées à l’occasion de leurs activités auprès de personnes physiques ou morales. Selon le Code de la santé publique (article L1111-8), celles-ci doivent être certifiées. Les conditions de certification sont fixées par le décret n° 2018/137 du 26 février 2018. Un organisme de certification accrédité par le COFRAC procède à une évaluation de conformité à un référentiel de certification. Délivré pour une durée de trois ans, le certificat peut être renouvelé à la suite de vérifications.
Recourir à une prestation d’hébergement suppose la conclusion d’un contrat entre le patient et l’hébergeur ou entre le professionnel de santé et l’hébergeur. Plusieurs clauses obligatoires permettent ainsi de renforcer la sécurité et la confidentialité des données stockées. Au même titre que le dépositaire, l’hébergeur est soumis à une obligation de restitution des données au terme du contrat.
3 - Le Règlement européen sur la protection des données personnelles appliqué au domaine de la santé.
En témoigne l’engouement autour des applications mobiles de santé ou de bien-être permettant, par exemple, un suivi quotidien de l’activité physique, de cycle menstruel ou encore de consommation de tabac, les professionnels de santé ne sont pas les seuls à recueillir des données de santé.
Ces outils concentrent à la fois des informations transmises directement par l’utilisateur (son poids, sa taille…) et des données recueillies grâce aux capteurs intégrés permettant de suivre son activité (nombre de pas, qualité du sommeil…) Une fois croisées, ces données offrent des indications sur l’état de santé de la personne. Dans cette hypothèse, ces applications mobiles se trouvent soumises aux obligations prévues par le RGPD.
Afin d’éviter toute exploitation, par exemple économique, qui risquerait de porter atteinte aux droits et libertés des individus, la mise en place d’un nouvel outil de santé numérique doit répondre à une finalité déterminée, explicite et légitime. Les finalités peuvent être variées telles que le suivi sanitaire du patient, l’amélioration de la prise en charge etc.
Si les données recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins par des professionnels de santé sont réglementées, les applications mobiles de bien-être ne sont pas pour autant exemptées d’encadrement. Celles-ci nécessitent de recueillir le consentement exprès de l’utilisateur. Concrètement, il peut être obtenu via une case à cocher, celle-ci devant être distincte de celle pour l’acceptation des conditions générales d’utilisation.
Enfin, la sensibilité des données de santé impose que les patients soient correctement informés de leurs droits. Les professionnels de santé et/ou les établissements de soins doivent être en mesure de délivrer une information claire, transparente et concise, compréhensible par le « grand public », notamment au travers d’une politique de confidentialité.
Tout porteur de projet en matière de e-santé doit s’assurer de sa conformité à la réglementation en amont de sa mise en œuvre et jusqu’à son utilisation effective. Le progrès ne doit pas justifier une atteinte excessive aux droits et libertés des patients.
La collecte et l’exploitation de données de santé doit être légitime et mesurée, les professionnels de santé devant prendre toutes les mesures techniques, organisationnelles et contractuelles nécessaires afin de veiller, notamment, au respect des règles de déontologie médicale.
