Emergence de la E-santé et droit : un équilibre délicat à trouver

Publié par SDmagazine 13 octobre 2020

La crise sanitaire liée à la Covid-19 a accentué l’intérêt suscité par les outils de l’e-santé qui peuvent permettre d’améliorer la prise en charge des citoyens en ces temps des plus complexes à vivre. En effet, grâce à l’ouverture des données de santé augmentée par des solutions dites de « Big Data », la e-santé connaît une croissance sans précédent. Dès lors, les sites de prise de rendez en ligne, la téléconsultation et les objets connectés donnent lieu à des enjeux juridiques spécifiques.

Par Myriam Quéméner, avocat général près de la Cour d’appel de Paris, docteur en droit

Rappelons que la e-santé correspond à plusieurs techniques comme la télémédecine, l’informatique médicale, la santé connectée, la m-santé, la robotique médicale, l’intelligence artificielle, et qui doivent répondre à des enjeux non seulement éthiques mais aussi juridiques. Un rapport récent de l’institut Montaigne1 a parfaitement mis en lumière ces défis que posent la e-santé face à la crise sanitaire mondiale. Il apparait nécessaire de faire le point sur la protection des données de santé particulièrement sensibles face notamment aux innovations numériques2 et d’envisager les cas où l’accès aux données de santé est facilité en raison de mission d’intérêt public.

E-Santé et données à caractère personnel

Parmi l’arsenal juridique relatif au droit à la protection des données à caractère personnel, il convient de citer le règlement européen relatif au droit à la protection des données à caractère personnel3 (RGPD), adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018, qui définit les données de santé comme « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mental passé, présent ou futur de la personne concernée »4. Les informations visées sont ensuite listées (maladie, handicap, donnée clinique ou thérapeutique, etc.), le texte européen indiquant également la provenance de ces données, à savoir un professionnel de santé, un hôpital, un dispositif médical, entre autres.

Le champ d’application de cette réglementation européenne est extra-territorial et s’applique aux entreprises qui ont leur siège en dehors de l’Union européenne, dès lors qu’elles proposent des biens ou des services sur le sol européen. Cela est donc adapté à la circulation des données en dehors de l’Union européenne et le stockage par un Cloud situé dans un pays hors Union européenne. En revanche, concernant le transfert des données personnelles aux Etats-Unis, il existe une particularité puisque la relation Union européenne – Etats-Unis est régie par un accord spécifique. Cela intéresse particulièrement le domaine de la santé numérique puisque les GAFAM investissent avec intérêt ce terrain qui, par ailleurs, est aussi très convoité par les cybercriminels qui ciblent désormais les hôpitaux et cliniques pour commettre leurs méfaits.

Le traitement des données de santé est primordial dans l’environnement de la e-santé car les données personnelles sont au cœur des technologies de santé. Dans le domaine des objets connectés de santé, c’est par le traitement des données automatiquement collectées que l’objet pourra ensuite proposer un service adapté à l’utilisateur, permettant ainsi une véritable personnalisation des soins. On ne pourrait donc pas obtenir un tel service sans accepter, en contrepartie, de communiquer ses données personnelles.

Pour aider les professionnels de santé libéraux dans leurs démarches de conformité, la CNIL5 a adopté un nouveau référentiel qui recense et applique les principes du RGPD aux traitements de données sensibles couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle. Ce référentiel est un cadre qui permet aux professionnels de santé libéraux de mettre en conformité les traitements de données personnelles utilisées pour la gestion de leurs cabinets.

L’accès aux données de santé aux fins de missions d’intérêt public.

L’article 9 du RGPD interdit le traitement des données de santé mais le deuxième paragraphe de cet article liste les situations permettant d’y déroger lorsque « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ». La CNIL a d’ailleurs rappelé en 2020 que le RGPD permet l’utilisation des données personnelles sans le consentement des personnes dans le cadre notamment d’une obligation légale de missions d’intérêt public ou pour la sauvegarde des intérêts vitaux des personnes.

La CNIL est toujours la vigie des données personnelles ainsi qu’en témoignent trois contrôles récents en juillet 2020 portant sur le traitement des données personnelles dans le cadre de l’application « StopCovid ». La CNIL a mis en demeure le ministère des Solidarités et de la Santé de se conformer au RGPD, ayant constaté des manquements aux obligations « de traiter les données conformément au décret du 29 mai 2020 », « d’informer les personnes concernées et d’obtenir [leur consentement] » et « d’encadrer par un acte juridique formalisé les traitements effectués par les sous-traitants ».

Perspectives

La complexité du droit de la e-santé réside dans la difficulté à réaliser un équilibre entre une véritable ouverture et transparence des données de santé, notamment dans l’aide à l’établissement du diagnostic médical permise aujourd’hui par l’intelligence artificielle, tout en garantissant une réelle protection de ces données puisque leur utilisation par certains secteurs laisse poindre la possibilité d’abus de type discriminatoire, avec la technique dite du « profilage ». Le législateur doit trouver un équilibre subtil pour défendre la protection des données personnelles, aujourd’hui droit fondamental inscrit dans la Charte des droits fondamentaux de l’Union européenne, tout en garantissant leur circulation pour ne pas freiner l’innovation puisque l’explosion des données et leur traitement permettent d’assurer une surveillance épidémiologique efficace et surtout de faire progresser la recherche et d’améliorer la protection des citoyens.

1 Institutmontaigne.org/ressources/pdfs/publications/e-sante-augmentons-la-dose-rapport.pdf

2 M.Quéméner , C.Wierre, F .Dalle, Quels droits face aux innovations numériques , Lextenso , 2020

3 Considérant 35 et art. 4 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir

4 https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-desante

5 https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER