Quelle protection de nos données de santé ?

exolis_icone-protection
exolis_Florent-Massonneau_presse

3 ans après l’entrée en application du RGPD, qu’en est-il de la protection de nos données de santé ?

Tribune de Florent Massonneau, délégué à la protection des données pour exolis 

Dans son livre blanc Santé Connecté, de la e-santé à la santé connecté, paru en 2015, le Conseil national de l’Ordre des médecins (CNOM) relevait que plus de 500 nouvelles applications mobiles de santé voyaient le jour chaque mois sur l’Apple Store. Plus de 3 millions de Français étaient équipés d’un objet connecté (étude GFK) et parmi eux, 11% l’auraient adopté dans un contexte de santé ou de bien-être (sondage BVA/ Syntec numérique).

 

Pour autant, la Commission nationale informatique et libertés (CNIL), ainsi que 26 de ses homologues ont mesuré en 2014, sur un panel de plus de 1200 applications, que la collecte de données opérée par celles-ci était fréquemment injustifiée et trop souvent réalisée sans que l’utilisateur soit informé de sa finalité. Qui plus est, une enquête du Journal of the American Medical Informatics Association (JAMIA), cité par le CNOM dans son livre blanc, a constaté en août 2014 que parmi plus de 600 applications mobiles de santé téléchargées sur les stores Apple ou Android, moins d’un tiers possédaient des politiques de confidentialité. 

L’entrée en vigueur du RGPD

Dans un contexte d’utilisation croissante des usages numériques en santé, il paraissait donc essentiel de fixer un cadre qui prennent en compte les enjeux liés à la protection des données personnelles en général et de santé en particulier. C’est ce qu’a souhaité faire l’Union Européenne avec l’entrée en vigueur du règlement 2016/679 UE, dit règlement général sur la protection des données (RGPD). Se basant notamment sur la charte des droits fondamentaux de l’Union Européenne, ce règlement réaffirme le droit des citoyens de l’Union à la protection des données à caractère personnel les concernant. Reprenant les principes établis par la directive 95/46 CE, le RGPD sacralise les données de santé et en interdit le traitement, sauf dans des cas clairement définis à l’article 9.

Premier impact pour les acteurs de la santé connecté : l’obligation d’obtenir de la part des personnes dont ils exploitent les données de santé un consentement informé à leur utilisation. A ceci est lié, par conséquent, une obligation de transparence : l’utilisateur qui donne son consentement à l’utilisation de ses données doit en connaitre les finalités, les méthodes de traitement et la durée de conservation.

En outre, le règlement réaffirme qu’une donnée personnelle, par nature privée, doit bénéficier, tout particulièrement lorsqu’il s’agit d’une donnée de santé, d’un niveau de protection élevé visant à garantir sa confidentialité : c’est la fameuse « confidentialité par défaut et dès la conception » (article 25 RGPD). Ceci impose aux acteurs de la santé connectée de prévoir les moyens techniques et organisationnels nécessaires à la sauvegarde de cette confidentialité.

Enfin, en plus d’une obligation d’information, le RGPD impose également une obligation de formation ; chaque établissement traitant des données personnelles doit s’assurer que ses équipes soient sensibilisées aux enjeux d’un tel traitement et doit nommer un data protection officer (DPO) dont la mission est de veiller au respect du RGPD dans les traitements réalisés. 

 

Quid du RGPD pour les acteurs de la e-santé ?

Selon une enquête de l’association Isidore, réalisée entre mars et avril 2014, 24% des professionnels de santé considéraient que les applications mobiles de santé étaient devenues tout à fait incontournables. Par ailleurs, les outils numériques sont aujourd’hui largement répandus dans les établissements de santé (dossiers patients informatisés, agendas de consultation, outils d’aide à la décision etc.) et l’épidémie de COVID19 a mis en valeur l’utilité que pouvaient avoir les outils numériques, notamment dans l’accompagnement de patients isolés. En première ligne du traitement des données de santé, les structures de soins ont par conséquent une « obligation d’exigence » en quelque sorte. En effet, ceux-ci agissent en tant que « responsables de traitement », c’est-à-dire qu’il appartient à ces établissements de déterminer la finalité du traitement des données de santé de leurs patients et de s’assurer que les sociétés auxquelles ils le sous-traitent répondent aux exigences du RGPD.

 

C’est le cas d’exolis, qui propose aux hôpitaux une solution d’accompagnement connectée leur permettant de rester en contact avec leurs patients à distance.  En tant que sous-traitant, la société est soumise aux obligations de l’article 28 du RGPD : elle est tenue de décrire les moyens par lesquels elle répond aux exigences de transparence et de protection évoquées plus haut, de ne réaliser des traitements que sur instruction du responsable de traitement, de tenir un registre de ces traitements et d’informer le responsable de traitement de toute faille à la protection des données constatée, qu’elle soit du fait du sous-traitant ou du responsable de traitement.

 

A ceci vient s’ajouter une double exigence à la fois européenne et de droit interne. Le RGPD impose qu’une donnée personnelle, a fortiori de santé, ne doit être conservée après que son utilité pour réaliser la finalité du traitement ait expiré. Plus simplement : quand conserver une donnée ne sert plus l’objectif fixé par le traitement, elle ne doit plus être conservée. Le règlement ne dispose pas de durée maximum de conservation, tant il y a de différents types de données, il est nécessaire toutefois de pouvoir justifier qu’une donnée est conservée parce qu’elle est utile à la finalité du traitement. En revanche, la loi française exige, pour les données de santé, une durée minimum de conservation à des fins, principalement, de santé publique.

 

Conserver ou non les données de santé constitue un enjeu stratégique pour de nombreux acteurs de la santé connectée. En effet celles-ci peuvent constituer notamment des indicateurs de résultats cliniques précieux pour justifier des cas d’usage avancés. Toutefois il s’agit d’une des catégories les plus privées de données personnelles, dont l’exploitation, notamment commerciale, peut susciter la méfiance si les usages en question ne sont pas parfaitement cadrés.

 

En plus des obligations de transparence et de consentement évoquées plus haut, le RGPD impose que les données soient hébergées dans l’UE ou dans un Etat dont l’Union reconnait comme suffisant le niveau de protection. De plus, plusieurs Etats de l’Union ont légiféré en interne. En France par exemple, une donnée de santé ne peut être hébergée qu’auprès d’un hébergeur agréé pour le faire (HDS), les hôpitaux étant habilités pour héberger les données de leurs patients.

 

Certains acteurs, dont exolis, ont fait le choix de ne réaliser aucune exploitation des données personnelles des patients à des fins commerciales et de permettre aux établissements de disposer entièrement des données de leur patients.  Il reste, néanmoins, possible pour les acteurs de la santé de conserver et de traiter de la donnée anonyme, dans la mesure où l’anonymisation retire toute information personnelle des données et rend impossible leur rattachement à une personne identifiée.

 

Les patients disposent par ailleurs d’un certain nombre de droits concernant leurs données personnelles : ceux-ci, expliqués dans le chapitre V du RGPD sont le droit d’accès, de suppression, de rectification, de limitation de traitement et de portabilité de leurs données. Dans le cas des données de santé, ce droit doit être justifié. La CNIL explique notamment qu’il est possible de demander à un hôpital ou une clinique de rectifier ou d’effacer des données de santé si elles sont inexactes, équivoques, incomplètes ou périmées, et à condition de justifier d’un « motif légitime ». « Par exemple, un patient hospitalisé a pu obtenir l’effacement de certaines informations médicales le concernant, au motif qu’un membre de sa famille travaillait dans cet établissement et qu’il ne souhaitait pas que sa famille soit informée des traitements qu’il suivait. » (références Cnil).

En conclusion, le RGPD a gommé certains obstacles à la protection des données en obligeant les différents acteurs à la transparence. En ce faisant, un des principaux impacts du règlement a été la sensibilisation et l’éducation qu’il a apporté sur la protection des données. D’une part les citoyens de l’UE et leurs données personnelles sont replacés au centre de l’équation, mieux informés ils deviennent mieux protégés et plus susceptibles de s’assurer que les traitements de leurs données sont réalisés pour des finalités auxquelles ils consentent. D’autre part, la protection de ces informations ne relève plus de la seule responsabilité de celui ou celle auxquels elles appartiennent, mais également de celle de l’entité qui réalise leur traitement.

 

Il n’en reste pas moins qu’il s’agit d’une limitation des possibilités offertes par une source d’information abondante et potentiellement hautement lucrative. Il ne fait pas de doute que les moyens de contournement seront de plus en plus nombreux et de plus en plus perfectionnés. Reste à espérer que l’Union restera suffisamment vigilante pour répondre à son objectif : se position comme un acteur public fort de la protection des données personnelles.

Ils parlent de nous :

A propos d'exolis

exolis, experte du parcours patient connecté, propose un portail patient complet, multiservices et multi pathologies, qui renforce le lien entre le patient et l’hôpital. À destination des établissements de santé, des institutions et de la médecine de ville, exolis accompagne, en marque blanche, la transformation numérique du monde médical.

L’application est construite autour et pour le patient, lui permettant d’entrer dans un parcours de soins encadré en établissement et à domicile (prise de RDV, borne d’accueil, suivi médical adapté et personnalisé, téléconsultation, paiements en ligne, signature électronique du consentement, etc.). exolis œuvre avec une conviction forte : l’implication du patient dans toutes les étapes de son parcours de soin, même administratives, est un vecteur fort de réussite thérapeutique.

Site web: www.exolis.fr 

Contact presse

exolis
Ludivine Protin

Responsable communication

communication@exolis.fr 

ESCAL Consulting

Marylou Ravix
01 44 94 95 72 / 07 62 53 38 35

exolis@escalconsulting.com

 

Sigolène Bador
01 44 94 95 74 / 06 81 99 80 88 sigolene@escalconsulting.com