18ème journée européenne de la protection des données

 

Depuis 2006, la journée européenne de la protection des données individuelles est célébrée le 28 janvier, suite à la proposition du Comité des Ministres du Conseil de l’Europe.

Dans le monde, elle est connue sous le terme de “Privacy Day”.



Pourquoi le 28 janvier ? 

Le choix de la date du 28 janvier ne relève pas du hasard ou d’un trou dans le calendrier des journées mondiales. Cette date a été choisie en référence à l’ouverture à la signature le 28 janvier 1981 de la convention 108, la Convention du Conseil de l’Europe sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Il existe aujourd’hui une version moderne de cette convention, la Convention 108+, ratifiée par la France le 27 mars 2023.

Petit retour sur l’histoire de la protection des données de santé

La protection des données touche intimement à la protection de la vie privée et à l’éthique. Et un domaine se révèle particulièrement sensible à cette question : la protection des données de santé. L’histoire de la protection des données de santé est relativement récente. Elle s’appuie sur plusieurs dispositions légales, renseignées dans le Code Pénal, le Code de la Santé Publique ou encore le Code Civil. Plusieurs textes législatifs sont venus préciser les contours de la protection des données de santé en France : 

  • Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dite « informatique et libertés » modifiée
  • Décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
  • Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé (SNDS…)
  • Loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé

Mais une date marque un tournant décisif dans la protection des données, l’entrée en application le 25 mai 2018 du Règlement Européen sur la Protection des Données Personnelles, le RGPD. Ce règlement s’applique au secteur public comme au secteur privé, aux établissements responsables du traitement des données, comme à leurs sous-traitants. 

RGPD, l’action de l’Europe en matière de protection des données

Le règlement RGPD a permis de définir les données à caractère personnel, comme “toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement”. Le règlement définit également les conditions de traitement de ces données, les enregistrer, les organiser, les transmettre, les conserver, les modifier, etc. Il permet de distinguer clairement les données anonymisées des données pseudo-anonymisées, par exemple les données codées souvent utilisées dans les programmes de recherche clinique. 

Dans le domaine de la santé, la protection des données concerne toutes les données relatives à la santé physique ou mentale, actuelle, antérieure ou à venir d’une personne physique. Trois catégories de données de santé sont prises en compte : 

  • Les données de santé par nature, par exemple les informations consignées dans le dossier médical du patient.
  • Les données de santé par combinaison, par exemple le croisement d’un nombre de pas quotidien avec la mesure de la tension artérielle.
  • Les données de santé par destination, par exemple des données utilisées à des fins médicales. 

 

Tenir un dossier patient, qu’il soit au format papier ou informatisé, utiliser un dispositif de télé-expertise, stocker et transmettre des données d’imagerie médicale, collecter des échantillons pour des essais cliniques, autant d’exemples de traitement de données de santé, qui doivent répondre aux exigences du RGPD. 

Données de santé, tous les professionnels sont concernés … mais aussi les patients !

Le RGPD s’adresse à toutes les structures et à tous les professionnels qui traitent des données personnelles. Pour les données de santé, tous les acteurs de la santé sont impliqués dans le traitement des données de santé : 

  • Les professionnels de santé libéraux
  • Les cabinets médicaux et paramédicaux
  • Les établissements de santé
  • Les fabricants de dispositifs médicaux
  • Les services de santé au travail
  • Les pharmacies d’officine
  • Les laboratoires d’analyse médicale
  • Les laboratoires pharmaceutiques. 

 

Mais les données de santé sont également un sujet sensible pour les patients eux-mêmes. Dossier Pharmaceutique (DP), Dossier Médical Partagé (DMP), Mon Espace Santé… autant de dispositifs destinés à améliorer la prise en charge des patients et la coordination des soins, mais qui nécessitent que les Français donnent leur consentement pour l’utilisation de leurs données de santé. Si l’ère du numérique en santé s’ancre de plus en plus dans la réalité, les données de santé sont-elles suffisamment protégées ? 

En 2021, la CNIL était informée de la publication sur internet d’un fichier contenant les données médicales de près de 500 000 Français. Et régulièrement, des piratages de systèmes informatiques d’établissements de santé font la une des journaux. Tentatives de hameçonnage, usurpation d’identité, … les risques sont réels lorsque des données de santé sont divulguées. Garantir leur protection est déterminant pour gagner la confiance des Français et ainsi favoriser le développement de la santé numérique dans les années à venir. 

Au-delà de la situation en France, que se passe-t-il au niveau européen ? Actuellement, l’accès transfrontalier aux données de santé reste inégal au sein de l’Union Européenne. Le 6 décembre 2023, le Conseil Européen s’est positionné en faveur d’un nouvel acte législatif visant à faciliter les échanges de données de santé entre les pays européens. En pratique, cela permettra à un Français d’acheter des médicaments en Espagne, avec une ordonnance de son médecin français, et à un médecin allemand d’accéder à ses données de santé, si le patient français est admis à l’hôpital en Allemagne. Il s’agit ici de créer un véritable espace européen unique de données de santé !

La protection des données, garante du respect de la vie privée ? 

De principe, le RGDP interdit tout traitement des données relatives à la santé, hormis dans le cas de l’une des exceptions au principe d’interdiction : 

  • Le consentement de la personne concernée
  • Les obligations liées au droit du travail ou à la protection sociale
  • La sauvegarde des intérêts vitaux de la personne
  • Des données rendues publiques par la personne concernée
  • Des motifs d’intérêt public dans le domaine de la santé publique
  • La recherche scientifique

 

La pandémie de la Covid-19 a donné ces dernières années une occasion particulière d’évoquer le traitement des données de santé dans le cadre d’un motif d’intérêt public. Les attestations de dépistage et les certificats de vaccination ont été perçus par de nombreux Français comme une atteinte à leur vie privée et à leurs données de santé. Dans la convention 108+, les experts de la protection des données ont défini des principes permettant de concilier la protection des données personnelles avec les droits fondamentaux et les intérêts publics. La mise en place de l’état d’urgence dans plusieurs pays européens pendant la crise sanitaire a restreint les libertés et droits fondamentaux, dont le droit à la protection des données. De telles mesures, justifiées par les autorités de santé publique pendant la pandémie, doivent revêtir un caractère légitime, exceptionnel et limité dans le temps. Les principes de base du RGPD et les droits des personnes doivent pouvoir être garantis. 

La protection des données de santé, un enjeu pour l’essor de l’IA en santé ? 

L’intelligence artificielle fera bel et bien partie de la médecine de demain. En 2020, 161 millions d’appareils de santé connectés étaient recensés dans le monde, soit une progression de 120 % par rapport à l’année 2016. Avec une croissance de 50 % par an, le marché mondial de l’intelligence artificielle en santé devrait représenter 45 milliards de dollars en 2026. Pour son déploiement, le recueil et le partage d’un nombre sans cesse croissant de données de santé sont indispensables. 

La protection de ces données et les garanties qu’elle offre sont déterminantes pour l’essor de l’intelligence artificielle en santé. L’intelligence artificielle présente de multiples potentialités dans différents domaines d’application : 

  • la médecine prédictive
  • la médecine de précision
  • l’aide à la décision diagnostique et thérapeutique
  • les robots compagnons
  • la chirurgie assistée par ordinateur
  • la prévention en population générale

 

Protéger les données et en particulier les données de santé revêt une importance capitale à l’ère du numérique pour garantir le respect des droits fondamentaux et ainsi être à la hauteur de la confiance des utilisateurs de solutions numériques. 

     Pour en savoir plus 

Partager