Les données de santé au cœur de l’actualité
Avec la crise sanitaire de la COVID-19, un bon nombre de secteurs ont été transformés. Nul doute que le premier est celui de la santé. Entre le secret médical et le développement des données de santé (Application TousAntiCovid, recours au télétravail, vaccination…), les pouvoirs publics ont dû réglementer l’utilisation qui en est faite par les acteurs de la santé.
Quels sont-ils ? Quelles sont les données mises en jeu ? Comment les activités seront-elles transformées ? Comment concilier le respect des exigences relatives aux données de santé avec le travail des pouvoirs publics ?
Toutes ces questions nous amènent aujourd’hui à réfléchir sur la confrontation directe entre le milieu de la santé et celui de la protection des données.
Le Règlement Européen sur la Protection des Données personnelles (RGPD) procède à une définition large des données de santé. Celles-ci sont relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique. Elles révèlent des informations sur l’état de santé de cette personne.
D’après le règlement ainsi que la Commission Nationale de l’Informatique et des Libertés (CNIL), les données de santé sont : les informations relatives aux services de soins de santé (avec un numéro ou un symbole d’identification), les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle et enfin, les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée.
Des données de santé sensibles et à protéger
Puisqu’elles sont sensibles, ces données font l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement. Pour pouvoir être traitées, leur utilisation doit s’inscrire dans l’une des exceptions prévues par le RGPD. En plus du respect de ces exceptions, elles doivent être protégées de manière plus accrue que les données à caractère personnel non sensibles.
Un régime juridique fort existe pour garantir les droits des personnes concernées : la Loi informatique et libertés (art. 8 et chapitre ix) ; les dispositions sur le secret (art. L. 1110-4 du Code de la Santé Publique, dit « CSP ») ; les dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de sante (art. L. 1110-4-1 du CSP) ; les dispositions sur l’hébergement des données de sante (art. L. 1111-8 et r. 1111-8-8 et s. Du CSP) ; les dispositions sur la mise à disposition des données de sante (art. L. 1460-1 et s. Du CSP) ; l’interdiction de procéder à une cession ou à une exploitation commerciale des données de sante (art. L. 1111-8 du CSP, art. L 4113-7 du CSP) …
Et nous l’avons tous constaté dans nos pratiques, la crise sanitaire a profondément bouleversé nos habitudes de travail. Dans le secteur de la santé, cela est encore plus frappant. Pendant toute la durée de la pandémie, la CNIL oriente les professionnels dans leurs activités afin de répondre aux questions des personnes sur leurs droits.
D’abord, les employeurs doivent veiller à ne pas porter une atteinte disproportionnée à la vie privée des personnes concernées (par la collecte de données de santé en raison des suspicions d’exposition au virus aux fins de protéger les employés et le public).
Les employeurs qui souhaitent s’assurer de l’état de santé de leurs employés devront s’appuyer sur les services de santé au travail. Sans eux, ils ne peuvent pas par exemple créer des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies.
Afin de réglementer cet appui entre employeurs et service de santé, le gouvernement a rédigé une ordonnance « adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle », publiée au Journal officiel le 2 avril 2020.
De plus, la CNIL rappelle que la règlementation sur les traitements de données ne s’applique qu’aux traitements automatisés ou aux traitements non automatisés qui permettent de constituer des fichiers. Par exemple, la seule vérification de la température au moyen d’un thermomètre manuel sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée, ne relève pas de la règlementation en matière de protection des données.
Enfin, la CNIL rappelle l’importance d’assurer une parfaite transparence à l’égard des personnes concernées. Les informer du traitement est dans ce cas précis plus que vital pour les rassurer.
Quid de la vaccination et des données de santé ?
En plus de l’encadrement du travail, la vaccination commence et deviendra probablement un sujet fort de nos activités. En effet, quels sont les traitements possibles ? Quels sont les acteurs responsables de cet encadrement ? Attardons-nous sur les collectivités territoriales puisqu’elles participent directement à la campagne de vaccination.
L’autorité de contrôle rappelle les règles de protection des données applicables. Au regard de leur proximité avec leurs usagers, certaines collectivités sont amenées à contribuer aux opérations de vaccination par l’information des publics et la gestion de certains centres de vaccination ou équipes mobiles.
En revanche, le champ d’action des interventions de ces collectivités doit s’inscrire dans le cadre de la stratégie vaccinale pilotée par l’Etat. La délimitation est différente selon l’acteur concerné : Agences régionales de santé, la Caisse nationale d’assurance maladie, les établissements de santé, les professionnels de santé, les prestataires de l’Etat et des traitements déjà mis en œuvre.
Les traitements concernés par la stratégie vaccinale sont les suivants :
- Approvisionnement en vaccins et consommables ;
- L’identification des personnes vaccinées ;
- La conservation de données et la réalisation d’un suivi dans le cadre de la pharmacovigilance.
De plus, les collectivités doivent informer et accompagner les personnes vulnérables afin de faciliter la prise de rendez-vous, le transport vers les centres de vaccination etc.
Avec la crise sanitaire, une organisation a été créée afin d’accompagner la transformation numérique de notre système de santé : l’Agence du Numérique en Santé (ANS).
Cette agence assure trois grandes missions :
- Réguler la e-santé en posant les cadres et les bonnes pratiques, notamment en termes de sécurité et d’interopérabilité pour faciliter le partage et les échanges de données de santé en toute confiance.
- Conduire les projets d’intérêt national sous l’égide des pouvoirs publics.
- Accompagner le déploiement national et territorial des outils et projets numériques en santé afin de développer les usages et de favoriser l’innovation.
Parmi ces missions, l’objectif de l’ASN est de développer et réguler le numérique dans la santé, promouvoir l’innovation au profit des professionnels et usagers et assister les pouvoirs publics dans les projets numériques d’intérêt national.
Depuis quelques années, et nous le voyons aussi bien par cet article, les données de santé ont un bel avenir devant elles. A tel point que l’ASN veut développer un modèle de santé pérenne. En effet, elle souhaite améliorer le système de santé, aussi bien des acteurs privés que publics, professionnels ou usagers, grâce à la transformation numérique. Dans sa vidéo anniversaire, elle nous annonce être présente depuis « 1 an, et encore beaucoup d’autres à venir ».
Cette transformation numérique n’a pas attendu le COVID pour voir le jour, mais sa croissance semble amplifiée. D’ailleurs la CNIL a mis en place son appel à projet pour 2021 en ce sens, puisque la première session du « Bac à sable » données personnelles de la CNIL est réservée aux projets innovants en matière de santé.
Trois projets innovants pourront bénéficier d’un accompagnement renforcé de la CNIL pour permettre de les rendre conforme aux réglementations.
A noter que le projet doit être innovant au cas d’usage des données de santé concerné, bénéfique pour l’intérêt collectif en termes de service rendu, et témoigner d’un intérêt fort pour la protection des données et le RGPD.
Cette démarche expérimentale vise à mettre en œuvre le « privacy by design ». Le privacy by design consiste à prendre en compte la vie privée des utilisateurs du projet dès la conception du produit, et durant toute la durée du processus. Ainsi, il ne vise pas des projets opérationnels ou déjà lancés. L’accompagnement est localisé au champ du projet et non à l’ensemble des activités du porteur le cas échéant.
Me Steve OUTMEZGUINE
Fondateur du Cabinet Avomedias