Données personnelles de santé

Rédigé par des auteurs spécialisés Ooreka  À jour en décembre 2021

Sommaire

Du développement exponentiel des objets connectés de santé au dossier médical partagé : la collecte et le traitement de données de santé se sont multipliés au contact des technologies numériques. Il n’en demeure pas moins que ces données sont couvertes, pour la plupart, par le secret professionnel et que leur collecte doit notamment faire l’objet du recueil du consentement de la personne intéressée et se conformer aux exigences de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers, et aux libertés (désignée « loi Informatique et libertés »), modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019.

Le Parlement européen et le Conseil, dans une proposition de règlement du 5 janvier 2012 sur la protection des données, définissent la donnée personnelle de santé comme « toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne ». Stricto sensu, les données personnelles de santé sont des données susceptibles de révéler l’état pathologique d’une personne identifiée ou identifiable.

Protection des données personnelles de santé par la loi

Une nouvelle définition des données personnelles de santé depuis le 25 mai 2018

Jusqu'en 2018, aucun texte ne définissait la notion de données personnelles de santé. Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, met fin à ce vide juridique (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

Ce texte définit les données personnelles de santé comme « l’ensemble des données se rapportant à l’état de santé d’une personne et révélant des informations sur son état de santé physique ou mentale passé, présent ou futur ». De ce fait, toute donnée recueillie par le biais d'un dispositif médical est considérée comme une donnée de santé.

Le règlement expose 3 catégories de données de santé :

  • les données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap ;
  • les données de santé accessoires : celles qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne (croisement d’une mesure de poids avec le nombre de pas ou la mesure des apports caloriques par exemple, croisement de la tension avec la mesure de l’effort, etc.) ;
  • les données de santé par destination : celles qui deviennent des données de santé en raison de l’utilisation qui en est faite au plan médical.

Le RGPD précise que ces données ne peuvent pas être collectées sauf exceptions (au sujet de la sécurité sociale, de la médecine préventive ou pour des intérêts de santé publique).

Jusqu'au 25 mai 2018, seules les informations sur l'état de santé issues du milieu médical étaient considérées comme des données de santé. Désormais, les informations générées par des applications de bien-être par exemple (poids, rythme cardiaque, etc.) sont elles aussi concernées. 

Principe d'interdiction de la collecte des données personnelles de santé

Principe

L’article 6-I° de la loi Informatique et libertés modifiée pose un principe d’interdiction de la collecte et du traitement de données personnelles relatives à la santé, tout en prévoyant une atténuation à cette interdiction dès lors que la personne concernée donne son consentement exprès.

Pourtant, le domaine de la santé constitue un secteur d’activité dont se sont emparés certains acteurs du numérique. C’est le cas des fabricants d’objets connectés qui proposent des systèmes nécessitant la collecte de données personnelles de santé.

Les acteurs privés devront donc faire preuve de vigilance lors du recueil par voie dématérialisée du consentement des personnes, en mettant notamment en place un système d’acceptation efficace pour les utilisateurs.

Dérogations

Des dérogations à cette interdiction de collecte des données personnelles de santé sont toutefois prévues par le droit européen, notamment si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques (en matière de sécurité sociale, etc.). La loi du 20 juin 2018 vient compléter la liste des dérogations.

Sont ainsi permis :

  • les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail ;
  • les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Encadrement de la collecte des données personnelles de santé

Le Code de la santé publique encadre le recours aux technologies par les professionnels de santé, personnes physiques ou morales, dans l’exercice de leurs professions. L’article 9 du règlement (UE) 2016/679 du 27 avril 2016 lève l’interdiction de collecte des données personnelles médicales à l’égard des professionnels de santé puisqu'ils sont au demeurant soumis au secret professionnel.

Tenus à une obligation de résultat dans l’usage des outils technologiques, ils doivent par ailleurs informer leurs patients de manière claire et préalable avant toute procédure de soin nécessitant cet usage.

Sanctions et dérogations relatives à la collecte des données personnelles de santé

Action de groupe

La loi n° 2016-1547 de modernisation de la Justice du XXIe siècle du 18 novembre 2016 a posé un cadre légal commun aux actions de groupe en matières judiciaire et administrative. Elle a également instauré la possibilité d'une action de groupe en matière de protection des données personnelles aux articles 37 et suivants de la loi de 1978 modifiée.

Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente. Cette action doit tendre à la cessation du manquement (et non à l'indemnisation des victimes).

Elle est exercée par les associations de consommateurs agréées, les syndicats représentatifs et les associations ayant pour objet la protection de la vie privée et la protection des données personnelles, régulièrement déclarées depuis cinq ans.

Pouvoir de sanction de la CNIL

La CNIL a un pouvoir de sanction qui s’étend du simple avertissement à la possibilité faire arrêter immédiatement le traitement des données. Par ailleurs, des sanctions pécuniaires peuvent être prononcées par la CNIL, jusqu’à 300 000 € en cas de récidive.

Les articles 226-16 à 226-24 du Code pénal sanctionnent les manquements aux obligations énoncées par la loi Informatique et libertés, y compris lorsque ces manquements naissent de la négligence.

L’article 226-19 du Code pénal incrimine en particulier le fait, « hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui […] sont relatives à la santé […] est puni de 5 ans d'emprisonnement et de 300 000 € d'amende ».

Dérogations possibles

La collecte et le traitement des données personnelles de santé sont interdits par principe, toutefois, des dérogations existent si le consentement de la personne concernée est valablement recueilli ou s’ils sont opérés par un professionnel de santé exerçant dans le respect du secret professionnel.

En cas de non-respect de ces conditions, une plainte peut être déposée devant la CNIL ainsi que devant le ministère public. Les responsables de traitements risquent alors jusqu'à 5 ans d’emprisonnement et 300 000 € d’amende.

Le Système national des données de santé (SNDS)

Le SNDS a vocation – depuis avril 2017 –, à regrouper :

  • les données de santé de l'Assurance maladie obligatoire ;
  • les données de santé des établissements de santé ;
  • les causes médicales de décès ;
  • les données issues des Maisons départementales des personnes handicapées ;
  • un échantillon de données de remboursement d'assurance maladie complémentaire.

Le SNDS a pour objectif l’amélioration du fonctionnement du système de santé : meilleure information sur les pratiques de soins, meilleure gestion des politiques de santé, adaptation des mises de médicaments sur le marché, réaction plus rapide des autorités de santé en cas de crise sanitaire, prise de conscience du coût des dépenses de santé et des économies à réaliser.

Toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, pourra accéder aux données du SNDS, en vue de réaliser une étude, une recherche ou une évaluation présentant un intérêt public. 

Les données constituant le SNDS sont « pseudonymisées » afin de préserver la vie privée des personnes : aucun nom, prénom, adresse ni numéro de sécurité sociale ne figure dans le SNDS. Au surplus, toute utilisation du système doit être tracée en vue de contrôles a posteriori.

La loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé élargit le SNDS à l’ensemble des données de santé associées à un acte bénéficiant d’un remboursement de l’Assurance maladie. Elle crée également la plateforme des données de santé (ou Health Data Hub), structure opérant la mise à disposition des données, dans le respect du règles relatives à la protection des données personnelles. Cette plateforme se substitue à l'Institut national des données de santé (INDS).

Pour en savoir plus :

Ces pros peuvent vous aider