En bref : protection des données et gestion des données de santé en France

Protection et gestion des données

Définition des données de santé

Qu’est-ce qu’une donnée de santé ? Existe-t-il une définition des données de santé anonymisées ?

Les données sur la santé sont définies au niveau de l’UE. Le règlement général sur la protection des données (RGPD) prévoit à l’article 4.15 que les données de santé sont des données à caractère personnel « liées à la santé physique ou mentale de la personne physique, y compris la fourniture de services de santé, qui révèlent des informations sur son état de santé ».

Au regard des termes de l’article 9 du RGPD, les données de santé, au même titre que les données génétiques et biométriques, sont considérées comme des données personnelles particulièrement sensibles.

Par ailleurs, la Commission française de l’informatique et des libertés (CNIL) a une interprétation large de la notion et considère trois catégories de données qui doivent être considérées comme des données de santé :

• les données de santé par nature (données d’antécédents médicaux, de maladie, de services de soins, de résultats d’examens, de traitements, etc.) ;
• données de santé en raison de leur finalité médicale (orientation sexuelle, etc.) ; et
• des données qui deviennent des données de santé du fait du croisement d’autres données permettant de connaître l’état de santé ou les risques pour la santé d’une personne (croisement de la pression artérielle avec la mesure des efforts ou du nombre de pas…).

Les données de santé anonymisées font référence aux données personnelles anonymisées et sont exclues du champ d’application du RGPD. Le préambule du RGPD définit, par la négative, les données à caractère personnel anonymisées comme « des informations qui ne se rapportent pas à une personne physique identifiée ou identifiable ou à des données à caractère personnel rendues anonymes de telle sorte que la personne concernée n’est pas ou plus identifiable ».

Au niveau français, la CNIL prévoit, avec une définition des données de santé anonymisées, « un traitement de données qui consiste à mettre en œuvre un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne dont données sont traitées, de manière irréversible ».

Les données de santé anonymisées ne doivent pas être confondues avec les données pseudonymisées qui résultent du traitement de données à caractère personnel de telle manière que les données à caractère personnel ne peuvent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fait l’objet de mesures techniques et organisationnelles pour garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable (voir article 4.5 du RGPD).

Pour l’instant, trois critères ont été élaborés au niveau de l’UE, et suivis en France, pour vérifier la robustesse de chaque technique d’anonymisation, à savoir :

• est-il encore possible de singulariser un individu ;
• est-il encore possible de lier des enregistrements relatifs à un individu ; et
• peut-on déduire des informations concernant un individu ?

Loi sur la protection des données

Quelle protection juridique est accordée aux données de santé dans votre juridiction ? Le niveau de protection est-il supérieur à celui accordé aux autres données personnelles ?

En France, les données de santé étaient initialement protégées par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique et à la protection des données. La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiée adapte la législation française pour se conformer au RGPD.

Ces réglementations classent les données de santé parmi les données sensibles, telles que les données génétiques ou les données biométriques. Le traitement des données est donc soumis à des conditions alternatives supplémentaires, telles que :

• la personne a donné son consentement explicite ;
• le traitement est nécessaire à des fins de médecine préventive ou de médecine du travail ;
• diagnostic médical;
• la fourniture de soins de santé ou de soins sociaux ; et
• pour des raisons d’intérêt public dans le domaine de la santé publique.

Au niveau national, les données de santé sont considérées comme particulièrement sensibles et la CNIL a élaboré des orientations spécifiques sur le traitement des données de santé pour faciliter le traitement des données de santé.

Néanmoins, le traitement des données de santé peut être soumis à une autorisation préalable de la CNIL si le traitement des données de santé ne respecte pas les référentiels mis en place par la CNIL. La CNIL appréciera la finalité du traitement des données, les données concernées, les mesures prises pour assurer la sécurité du traitement des données, etc.

Données de santé anonymisées

Les données de santé anonymisées font-elles l’objet d’une réglementation ou de lignes directrices spécifiques ?

La réglementation sur les données personnelles ne s’applique plus car la diffusion ou la réutilisation de données anonymisées n’a aucun impact sur la vie privée de la personne concernée. Par conséquent, les données de santé anonymisées échappent au champ d’application de la réglementation sur les données personnelles (à l’inverse, le processus d’anonymisation reste un processus de données personnelles soumis à la réglementation sur les données personnelles).

Néanmoins, il reste nécessaire de tenir compte du règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre pour la libre circulation des données à caractère non personnel dans l’Union européenne et suite à la discussion parlementaire sur la proposition de loi sur les données, lancé par la Commission européenne en février 2022 concernant les données personnelles et non personnelles, qui vise à proposer de nouvelles règles sur l’utilisation et l’accès aux données générées dans l’UE dans tous les secteurs économiques, y compris le secteur de la santé.

Mise en vigueur

Comment les lois sur la protection des données dans votre juridiction sont-elles appliquées en ce qui concerne les données de santé ? Y a-t-il eu des actions réglementaires ou privées notables concernant les technologies de santé numériques ?

La CNIL applique et fait respecter la réglementation sur les données personnelles en prononçant des sanctions administratives, qui peuvent aller du rappel de la réglementation applicable à une amende administrative.

La violation de ces réglementations peut également constituer une infraction pénale, qui peut être déférée aux juridictions pénales.

Plusieurs sanctions financières ont déjà été appliquées à l’encontre de différentes entreprises et professionnels de la santé, la sanction financière la plus élevée étant à l’encontre de Google LLC et Google Ireland Limited de 60 millions d’euros et 40 millions d’euros respectivement.

En novembre 2022, la CNIL a fait une déclaration en réponse à de nombreuses plaintes contre des organismes privés d’assurance complémentaire qui utilisent les données de santé générées par les professionnels de santé pour rembourser les patients assurés. La CNIL a décidé de ne pas sanctionner ces organismes mais considère que le cadre réglementaire concernant ces organismes est insuffisant en matière de protection des données et de secret médical.

La cyber-sécurité

Quelles lois et meilleures pratiques en matière de cybersécurité sont pertinentes pour les offres de santé numérique ?

En matière de cybersécurité, la directive (UE) 2016/1148 du 6 juillet 2016 (Directive NIS) transposée en France par le décret n° 2018-384 du 23 mai 2018, affecte les entreprises de santé numérique en tant que prestataires de services numériques. Les infrastructures de santé publiques et privées sont considérées comme des prestataires de services nécessaires et font l’objet de mesures renforcées pour gérer les risques pour la sécurité de leur réseau et de leurs systèmes d’information.

Cette directive définit un cadre européen de certification et un processus de notification pour la gestion des incidents impactant le système d’information et affectant significativement la continuité des services qu’ils fournissent, à l’autorité de cybersécurité dédiée.

Une deuxième directive SRI a été promulguée en décembre 2022 (Directive (UE) 2022/2555), qui pourra être transposée en France dans un délai de deux ans.

Bonnes pratiques et conseils pratiques

Quelles bonnes pratiques et conseils pratiques recommanderiez-vous pour gérer efficacement la propriété, l’utilisation et le partage des données brutes et anonymisées des utilisateurs, ainsi que la sortie des solutions de santé numériques ?

Avant le lancement d’une solution numérique de santé, il est nécessaire de déterminer :

• le type de données à traiter : s’il s’agit de données personnelles de santé, il est important de vérifier si l’anonymisation est possible, ou si seule la pseudonymisation reste possible pour le traitement des données de la solution. Si des données anonymisées sont requises pour la solution numérique, l’entité peut rechercher des données déjà pseudonymisées par un tiers, plutôt que de traiter des données pour obtenir des données anonymisées ;
• l’entité qui héberge les données, en tant qu’hébergeur de données de santé a besoin d’une autorisation ministérielle pour le stockage des données, selon l’article L1111-8 du FPHC. Les entreprises sont également encouragées à sélectionner des hébergeurs de données existants. Tous les accords avec les sous-traitants concernant ces données doivent être rédigés sans ambiguïté, avec une documentation exhaustive de l’activité du sous-traitant et une garantie en termes de cybersécurité et de conformité à la réglementation sur les données personnelles le cas échéant ; et
• les informations communiquées aux personnes concernées concernant le traitement et la réutilisation des données de santé, le cas échéant. L’entreprise doit être la plus transparente possible et prendre des mesures pour obtenir son consentement explicite.