You are currently viewing Enjeux de la distinction entre données de santé et données de bien-être

Avec l’adoption prochaine du règlement sur l’espace européen des données de santé (Règlement EHDS) et l’entrée en application, l’année prochaine, du règlement sur les données (Data Act), il semble intéressant de revenir sur la définition de ces données sensibles et sur le cadre réglementaire qui leur est applicable.

Le RGPD (art.4 (15) et considérant 35) définit la donnée « relative à la santé » comme la donnée personnelle (se rapportant à une personne physique identifiée ou identifiable), relative à la santé physique ou mentale d’une personne, qui « révèle des informations sur l’état de santé », passé, présent ou futur de celle-ci. Ces données relèvent de la catégorie des données sensibles dont le traitement est autorisé par exception (art. 9 RGPD).

Le texte vise de façon non exhaustive :

  • Les informations d’identification : numéro, symbole ou élément unique attribué pour identifier une personne (ex. numéro de sécurité sociale).
  • Les tests et examens : données génétiques, biologiques, et résultats d’examens médicaux.
  • Les maladies et traitements : informations relatives à des maladies, symptômes, traitements, handicaps, antécédents médicaux, etc.
  • Les prestations de soins : informations concernant la prestation de services de soins de santé.

Cette liste a pu être complétée en France par la pratique décisionnelle de la CNIL qui va par exemple y ajouter les données relatives aux addictions et à la dépendance ou celles relatives aux motivations à l’arrêt du tabagisme.

L’identification des données de santé se fait ainsi au cas par cas en tenant compte des circonstances de la collecte et de leur utilisation finale. Néanmoins, on peut sans hésiter qualifier de donnée de santé une donnée produite par le système de santé (établissement/professionnel de santé…), par du matériel médical (au sens de la réglementation) ou encore les données stockées dans une base de données médicale.

Toutefois, depuis l’émergence du mouvement du « quantified self » en 2007 dans la Silicon Valley, qui « consiste à mieux se connaître en mesurant des données relatives à son corps et à ses activités » (CNIL), notre rapport à la santé s’est transformé, notamment grâce au développement des objets connectés et des applications numériques.

Ces applications dites de santé, de fitness ou plus largement « de bien-être » collectent désormais une multitude d’informations physiologiques (rythme cardiaque, température corporelle, tension artérielle, glycémie, sommeil, poids…) ou des constantes liées à notre mode de vie (dépense énergétique, régime alimentaire…). Ces outils de suivi de notre état de santé brouillent progressivement les frontières traditionnelles entre les données de « bien-être » et les données médicales.

L’association entre données de santé et données de bien-être semble être renforcée dans le règlement EHDS qui définit l’application de bien-être comme tout « matériel ou logiciel destiné par son fabricant à être utilisé […] pour le traitement de données de santé électroniques à d’autres fins que les soins de santé, par exemple à des fins de bien-être ou de poursuite de modes de vie sains » (art. 2(2)(o)). 

Outre les données de santé « par nature »  précédemment évoquées, la CNIL distingue en pratique, deux autres catégories de données de santé :

  • Données de santé par croisement : des données qui tombent sous la qualification lorsque, lues avec d’autres données, elles permettent de déduire des informations sur l’état de santé (ex. : poids et nombre de pas, tension artérielle et mesure de l’effort).
  • Données de santé par destination : celles qui deviennent des données de santé en raison de leur utilisation médicale, même si elles ne le sont pas par nature (ex. : qualité du sommeil).

Difficile alors, pour une application fitness par exemple, d’éviter de traiter des données de santé par croisement, sans limiter les informations demandées à l’utilisateur ou collectées via le terminal mobile ou un objet connecté et ainsi réduire la qualité du service proposé.

La qualification de donnée de santé par destination pourrait également poser de sérieux problèmes de sécurité juridique aux entreprises dont le business model est fondé sur le traitement de données de bien-être qui seraient, a posteriori, requalifiées en données de santé, par exemple, si des professionnels de santé commençaient à se fonder sur ces données dans le cadre du suivi du patient.

 

Exigences réglementaires renforcées pour les données de santé

Lorsque les données collectées entrent dans le champ d’application du RGPD et de la loi Informatique et libertés (LIL), le responsable du traitement au sens de ce texte devra s’acquitter des obligations prévues par ces textes en application du principe d’accountability.

Par ailleurs, d’autres dispositions sont susceptibles de s’appliquer aux données de santé. La plateforme G_nius, destinée à accompagner les entrepreneurs en santé numérique, mentionne :

A noter que le RGPD ne s’applique pas lorsque le traitement est à l’usage exclusif de la personne, c’est-à-dire lorsque la collecte, l’enregistrement ou la conservation de données s’effectuent localement sur le terminal, sans connexion extérieure et à des fins exclusivement personnelles. Un tel choix permettrait d’écarter l’application des règles du RGPD mais pas celles applicables aux données de santé en vertu du droit français.

 Pour aller plus loin :

https://gnius.esante.gouv.fr/fr/reglementation/quest-ce-quune-donnee-de-sante

https://www.legalplace.fr/guides/rgpd-donnees-sante/

https://open.lefebvre-dalloz.fr/droit-affaires/protection-donnees-personnelles/traitements-donnees-sante_a93474

https://www.murielle-cahen.com/publications/protection-donnees-medicales.asp

https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

https://www.cnil.fr/fr/applications-mobiles-en-sante-et-protection-des-donnees-personnelles-les-questions-se-poser

https://www.cnil.fr/fr/definition/quantified-self



Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.