Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2019 - n°445 - 149
D
O
C
T
R
I
N
E
DONNÉES PERSONNELLES
Données de santé et RGPD
Quand le marché français
de la e-santé s'ouvre
Tout en renforçant la protection des données
de santé, dont la définition est consacrée pour
la première fois, le RGPD aide à l'ouverture d'un
marché de l'e-santé en allégeant les formalités
préalables. Une régulation de ce marché reste
cependant à mettre en place.
B
alances connectées, bracelets
Fitbit, appli de running, on
ne compte plus aujourd'hui
les objets et services en lien
avec la santé connectée. A l'heure où
le marché de la e-santé connait un
véritable boom, et où les plus grosses
entreprises investissent sans compter
pour rentrer dans la course, les données
de santé sont devenues le nouvel or noir
des entreprises privées... et en majorité
américaines.
Fin 2018, Microsoft a annoncé avoir
obtenu en France pour son service Cloud
la certification « Hébergeur de données
de santé » (HDS), qui lui permet désormais
d'offrir aux établissements hospitaliers
publics français des services d'hébergement et de « développer davantage des
solutions santé personnalisées », selon
l'entreprise américaine. Amazon a quant
à lui entrepris la commercialisation de
logiciels médicaux destinés aux professionnels de santé.
Les données de santé, définies pour
la première fois par le règlement
européen UE n°2016/679 dit RGPD,
sont
considérées
comme
des
données « sensibles » dont la collecte et la
manipulation sont en principe interdites
(article 9 du RGPD). Si des exceptions
sont prévues par le RGPD, le texte
européen laisse le soin à chaque Etat
membre d'encadrer leur régime via ses
lois nationales, en France, la loi n°78-17
dite « Informatique et libertés ».
Une définition large
et contextuelle
Le RGPD définit la donnée de santé
comme toute donnée qui « révèle(nt)
des informations sur l'état de santé
d'une personne » (article 4 du RGPD).
Pour certaines données, la question
ne se pose pas : pour les données
de santé « par nature » (antécédents
médicaux, maladies...) par exemple, ou
pour celles destinées aux professionnels
de santé, le régime des données de santé
s'applique sans trop de difficulté.
Mais cette définition de « donnée
de santé », très large, laisse place à
l'interprétation et à une qualification au
cas par cas pour un grand nombre de
données récoltées qui, de prime abord,
ne relèvent pas du domaine médical.
Ce phénomène s'est accentué avec les
avancées technologiques, notamment
du big data et de l'intelligence
artificielle, et la démocratisation des
objets connectés. Ces innovations
entraînent la collecte et l'analyse d'une
masse importante de données, qui
pourraient paraître « anodines », mais
qui, croisées, sont susceptibles d'être
qualifiées de « données de santé ». En
effet, le croisement de données, sans
lien avec la santé, peut aboutir à un
résultat considéré comme une « donnée
de santé », s'il révèle des informations
sur l'état de santé de la personne.
Par exemple, une balance connectée
EXPERTISES Avril 2019
est susceptible de collecter des données
de santé, la Cnil considérant que le poids,
combiné à l'information sur la taille,
pourrait révéler un risque d'obésité ou
d'anorexie1. A l'inverse, les applications
smartphones collectant le nombre de
pas de l'utilisateur ne sont pas perçues
comme traitant des données de santé.
Au final, l'information devient donnée
de santé en fonction du contexte dans
lequel elle est utilisée. De ce point de
vue, elle est semblable à la « donnée
à caractère personnel », dont la
qualification dépend de savoir si elle est
susceptible «d'identifier directement ou
indirectement une personne physique »,
donc du contexte.
Quand la fin des
formalités Cnil aide à
l'ouverture du marché
de la e-santé aux
entreprises privées
Entré en application le 25 mai 2018, le
RGPD a mis fin aux systèmes déclaratifs et d'autorisation qui étaient en
vigueur en France sous le régime de
la loi n°78-17 dite « Informatique et
libertés ». Ce formalisme a été remplacé
par un système dit de « responsabilisation » (Principe d'Accountability en
anglais), qui impose désormais à chaque
responsable de traitement de documenter en interne tout traitement de
données personnelles et d'être capable
de prouver sa conformité au RGPD.
149
�
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2019 - n°445
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com