Les contours parfois incertains de la définition des « données de santé »

Abstract: Deciding what makes personal data fall into the category of health data can easily turn into a conundrum. The « medical dimension » that stems from the European legal framework is a first step towards thorough guidance that helps us infer what health data is. Criteria and action from all stakeholders is needed for a better protection of data concerning health, especially in the context of health apps and devices.

Déterminer quelles données personnelles appartiennent à la catégorie des données de santé n’est pas toujours une entreprise aisée. Si la définition européenne met l’accent sur la dimension médicale des données de santé, il est indispensable de se doter de critères facilitant leur identification et d’encourager une prise de responsabilité des parties prenantes, surtout dans le contexte des dispositifs et applications connectés.

Identifier ce qu’est une « donnée de santé » nous invite à chercher une première réponse dans la définition donnée par le « règlement général sur la protection des données » (ci-après RGPD). Absente de la directive 95/46/CE sur la protection des données, qui ne les définissait que par rapport à leur nature sensible (art. 8), la définition se retrouve aujourd’hui dans l’ensemble des droits internes des Etats membres de l’Union européenne.

Rappelons que, par le passé, l’idée même d’une législation spécifique en matière de protection des données de santé a été proposée par le Groupe Européen d’Ethique (GEE), ce qui témoigne de la complexité de la notion.

Dans le RGPD, les données de santé sont définies en deux temps :

Une définition qui se veut générale

Sont des « données concernant la santé » au sens de l’article 4, alinéa 15 du RGPD :

les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Cette formulation n’est pas vraiment nouvelle, elle est conforme aux réflexions menées par le Comité d’experts sur la protection des données du Conseil de l’Europe (cf. Rapport explicatif à la Convention n°108, marg. 45).

Une lecture souple de cette définition permet ainsi d’englober un large éventail de données personnelles ayant trait à la santé. Et cela est d’autant plus vrai si l’on prend en compte la définition du concept de santé de l’Organisation Mondiale de la Santé qui l’envisage comme « un état de complet bien-être physique, mental et social, et ne consiste pas seulement en une absence de maladie ou d’infirmité ».

Une définition qui met l’accent sur la dimension médicale des données de santé

Des précisions permettant de mieux délimiter l’étendue de la définition ont été apportées par le considérant 35 du RGPD. Celui-ci souligne d’abord l’absence d’ancrage temporel des données de santé, dans la mesure où elles peuvent se rapporter à l’état de santé passé, présent ou futur d’une personne.

Il donne ensuite des exemples de données concernées par la définition:

  • des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique;
  • un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé;
  • des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques;
  • et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.

En faisant le lien entre le recueil des données et leur contexte d’utilisation, le considérant se propose d’éclairer le champ d’application de la définition. Les données de santé mises ici en exergue sont celles traitées dans une finalité médicale précise. C’est un contexte où le traitement est légitime dans la mesure où l’intérêt de la personne concernée est censé primer sur un intérêt commercial, par exemple.

Mais confronté à la réalité, le paradigme du contexte d’utilisation des données de santé montre vite ses limites. D’une part, il existe de nombreuses données à caractère personnel qui se situent dans une zone grise, à la frontière entre différents concepts (santé, médecine, bien-être), ce qui complique leur qualification juridique. Les données personnelles qui peuvent révéler des informations relatives à l’état de santé d’une personne sont variées et recouvrent des situations diverses (données comportementales, liées aux modes de vie…). Il est en effet difficile de traiter systématiquement toutes ces données comme des données sensibles. D’autre part, les données de santé peuvent faire l’objet d’un traitement dans une finalité qui n’est pas clairement médicale.

La question de savoir si une donnée personnelle entre dans le champ d’application de la définition nous oblige à opérer une sélection parmi les données.

Les données de santé recueillies par les objets connectés

Cela est particulièrement vrai dans le contexte actuel de convergence des technologies et de développement d’applications et de dispositifs de la santé mobile. C’est pourquoi, le Groupe de travail de l’Article 29 (G29) souligne la nécessité de se doter de critères permettant de mieux identifier les données pertinentes lors de leur collecte par des dispositifs ou applications qui ne sont pas forcément destinés à un usage médical. Beaucoup de ces objets ne relèvent pas de la définition de dispositif médical. De plus, aujourd’hui seule la destination décidée par le fabricant d’un tel produit est reconnue.

Selon le G29, les données à caractère personnel concernent la santé lorsque :

  • les données sont clairement des données médicales;
  • les données sont des données brutes de capteur pouvant être utilisées seules ou en combinaison avec d’autres données dans le but de tirer des conclusions au sujet de l’état de santé ou des risques pour la santé d’une personne. L’échelle et la durée de conservation des données brutes sont à prendre en compte;
  • des conclusions concernant l’état de santé ou le risque pour la santé peuvent être tirées. L’exactitude, la fiabilité, la pertinence de ces conclusions importent peu.

C’est le fait d’aboutir à des conclusions en rapport avec la santé de la personne qui est important. La détermination qu’une donnée concerne la santé d’une personne implique une certaine expertise scientifique – humaine ou artificielle – faisant forcément appel à des connaissances médicales. Les données de santé sont celles qui ont ou qui pourraient avoir une signification médicale.

La responsabilisation des parties prenantes

Le RGPD doit entrer en vigueur en avril 2018. Jusqu’à l’application du nouveau cadre juridique, il apparait incontournable pour tout responsable de traitement de faire un inventaire de toutes les données recueillies et déterminer la catégorie de données qui font l’objet d’un traitement, en utilisant les critères vus précédemment.

En attendant, les autorités nationales de contrôle en matière de protection des données personnelles pourraient mener davantage d’enquêtes pour savoir si les données utilisées sont des données de santé et cela sans tenir compte de la finalité donnée par le responsable du traitement. Aux Pays-Bas, l’autorité néerlandaise de protection des données a récemment estimé qu’une application développée par Nike recueillant des informations sur la course à pied des utilisateurs collectait bien des données de santé, sans les mesures de protection spéciales que ce type de données exige.

Il revient aux parties prenantes de prendre leurs responsabilités. L’idée de mettre en place une réglementation spécifique portant sur la qualité de ces produits destinés à un usage domestique afin de mieux protéger les données de santé éventuellement collectées semble inappropriée. La protection des données y aurait un caractère accessoire. Il faudrait aller dans le sens d’une réglementation européenne souple (lignes directrices, recommandations) qui viendrait préciser davantage les critères permettant d’identifier les données de santé selon les contextes.

Qualifier une donnée personnelle en tant que donnée concernant la santé emporte des conséquences sur le régime juridique applicable. Les exigences en matière de données sensibles, catégorie à laquelle les données de santé appartiennent, feront l’objet d’une future contribution.

Vlad Titerlea, doctorant de l’Université de Strasbourg

Source image: Getty Images

2 réflexions sur “Les contours parfois incertains de la définition des « données de santé »

  1. Bonjour,
    A noter qu’en France, même si des accidents sont à regretter, les données de santé ont pour obligation de passer par des hébergeurs agréés données de santé. La loi a été revue par la loi de santé du 26 janvier 2016 et passe désormais par l’obtention de certifications ISO, sous le contrôle du ministère et des professionnels de la santé. La mise en place de la réforme doit se faire au 1er janvier 2019. L’ensemble des hébergeurs de données de santé devront avoir migrés sur la nouvelle procédure à cette date.

    J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s