Le management des données de santé

Le management des données de santé, sujet déterminant dans le secteur de la santé et notamment dans la frange des technologies innovantes, est particulièrement d’actualité en raison des problématiques soulevées par les applications liées à la pandémie de COVID-19 (par exemple, l’application TousAntiCovid ou les applications de suivi de la vaccination).

Cette actualité est l’occasion de revenir sur le cadre relatif au traitement des données de santé, et plus précisément sur les principes applicables à l’utilisation, la réutilisation, voire la valorisation de ces données. En effet, les évolutions de la réglementation en la matière ainsi que le contexte de crise sanitaire actuel conduisent les acteurs du secteur à s’interroger sur les conditions encadrant le management des données dont ils disposent.

En complément, nous proposons à la fin de cet article, à titre d’illustration, de présenter les points d’attention à avoir à l’esprit dans le cas de la conception d’un objet connecté ou de la mise en place d’une recherche.

I - Rappel du cadre applicable au traitement des données de santé

Le traitement de données de santé constitue un traitement de données sensibles strictement encadré par le Règlement général sur la protection des données dit ‘RGPD’ (Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et par la loi Informatique et Libertés dite ‘LIL’ (loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux liberté(s)).

1. Qu’est-ce qu’une donnée de santé ?

Les données de santé sont les données à caractère personnel concernant l’état de santé physique ou mental, présent ou futur d’une personne identifiée ou identifiable. Cette notion large de données de santé s’apprécie au cas par cas, compte tenu de la nature des données recueillies.

Les données de santé peuvent être classées en trois grandes catégories :

  • celles qui sont des données de santé par nature (e.g., une maladie, les résultats d’un examen médical) ;
  • celles qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne (e.g., croisement d’une mesure de poids avec le nombre de pas) ;
  • celles qui deviennent des données de santé en raison de leur destination (e.g., le numéro de la chambre d’hôpital d’une personne).

Les données de santé dont des données sensibles – elles sont par conséquent soumises à un régime spécifique et font l’objet d’une attention particulière. 

2. Spécificité du traitement des données de santé : l’interdiction de principe du traitement des données de santé

Le traitement des données de santé est défini comme toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable.

Définies comme étant des données sensibles, les données de santé ne peuvent en principe pas faire l’objet d’un traitement. Néanmoins, le RGPD et la LIL listent les exceptions autorisant le traitement des données de santé. Ainsi, à titre d’exemples (non exhaustifs), le traitement de données de santé peut être autorisé (i) lorsque que la personne concernée par le traitement de données de santé a donné son consentement à ce traitement, (ii) lorsque ce traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, (iii) lorsqu’il est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou encore (iv) lorsqu’il est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

3. Droit des personnes dont les données sont collectées

Les personnes dont les données sont traitées disposent des droits habituels prévus par le RGPD, à savoir droit à l’information, droit à l’accès et à la rectification, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données, droit à l’opposition, et droit lié à la prise de décision automatisée y compris le profilage.

Les entreprises/organisations responsables des traitements doivent indiquer aux personnes comment elles peuvent exercer leurs droits et répondre à leurs demandes le cas échéant. Le non-respect de ces règles constitue une violation du RGPD faisant l’objet de sanctions.

4. Obligations des acteurs intervenant dans le traitement des données de sant

Le RGPD a allégé les obligations en matière de formalités préalables avec, pour contrepartie à cet allègement, une responsabilisation des acteurs. Ainsi, le responsable de traitement, qui détermine les finalités et les moyens du traitement, doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches qu’il entreprend (principe d’accountability).

À ce titre, il doit, notamment, mettre en place un registre des traitements (dans la plupart des cas), mener une analyse d’impact pour certains traitements, veiller à encadrer l’information des personnes concernées, et désigner un délégué à la protection des données (DPO) le cas échéant.

Quant au sous-traitant, qui traite des données personnelles pour le compte du responsable de traitement, ses obligations ont été renforcées par le RGPD. Il a notamment à sa charge des obligations de traçabilité et de transparence, ainsi que des obligations de s’assurer et de garantir la sécurité des données traitées, d’alerter, d’assister et de conseiller, ainsi que, d’une façon générale, des obligations d’observer scrupuleusement les grands principes de protection des données.

**
*

Une fois les données traitées dans le cadre de leur traitement initial, la question de la réutilisation de ces données, pour d’autres finalités notamment, est particulièrement intéressante.

II - Principes applicables à la réutilisation des données de santé

1. La réutilisation des données de santé, une opération conditionnée

La réutilisation des données de santé est une opération qui consiste à ré-employer des données collectées auprès d’une personne pour une ou plusieurs finalité(s) déterminée(s) initialement, pour un autre projet / un autre objectif / une autre finalité.

La réutilisation des données (y compris des données de santé) peut se concevoir, mais elle est soumise à des conditions strictes.

Par principe, les données ne pourront pas être réutilisées pour d’autres finalités, excepté pour des finalités considérées comme compatibles avec la finalité initiale. Si la finalité n’est pas compatible, la réutilisation n’est pas possible, sauf à se ‘re-conformer’ aux obligations portant sur la réalisation d’un nouveau traitement (par exemple, obtenir le consentement de la personne concernée pour le traitement de ses données pour une nouvelle finalité).

Une telle réutilisation ne dispense pas des procédures qui réactualisent la conformité au RGPD (par exemple, information des personnes, etc.).

Un autre moyen permettant une réutilisation est l’anonymisation des données.

2. L’anonymisation des données en vue d’une réutilisation ultérieure

Le terme d’anonymisation est réservé aux opérations irréversibles, tandis que l’on utilise le terme de pseudonymisation lorsque l’opération est réversible. Une anonymisation consiste à supprimer tout caractère identifiant à un ensemble de données et ce de façon irréversible. Concrètement, cela signifie que l’opération rend impossible toute ré-identification des personnes.

La pseudonymisation est une technique qui consiste à supprimer les informations directement identifiantes, par exemple en remplaçant un identifiant par un pseudonyme. Cette technique n’empêche pas la ré-identification des personnes concernées, par exemple avec un tableau de corrélation.

Après une anonymisation, les données ne sont plus des données personnelles, et la réglementation (RGPD/LIL) n’est plus applicable. En cas de pseudonymisation, une ré-identification reste possible, la réglementation reste donc applicable car les données concernées sont toujours des données personnelles.

Pourquoi anonymiser des données personnelles ?

L’anonymisation simplifie d’une certaine façon l’utilisation ultérieure des données à d’autres fins. En effet, la réglementation relative à la protection des données n’étant plus applicable, il n’existe plus de contraintes particulières sur ces données. Comme l’indique la CNIL, « l’anonymisation ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur « gisement » de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver des données au-delà de leur durée de conservation ».

Ceci étant dit, la réalisation d’une ‘anonymisation’ peut en pratique soulever des difficultés techniques. Différents procédés d’anonymisation existent, regroupés en deux grandes familles : la randomisation et la généralisation.

  • La randomisation consiste à modifier les attributs dans un jeu de données de telle sorte qu’elles soient moins précises, tout en conservant la répartition globale. Cette technique permet de protéger le jeu de données du risque d’inférence. 
  • La généralisation consiste quant à elle à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes. Cette technique permet ainsi d’éviter l’individualisation d’un jeu de données et limite également les possibles corrélations du jeu de données avec d’autres.

Il convient ensuite de vérifier l’anonymisation effective des données. Trois critères permettent de s’assurer qu’un jeu de données est véritablement anonyme :

  • L’individualisation : il ne doit pas être possible d’isoler un individu dans le jeu de données.
  • La corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu.
  • L’inférence : il ne doit pas être possible de déduire de façon quasi certaine, de nouvelles informations sur un individu.

Une solution résistant à ces trois risques offrirait par conséquent une protection fiable contre les tentatives de ré-identification, même si aucune technique n’est infaillible. Il faut en effet avoir à l’esprit que ces techniques, examinées par le G29 dès 2014 (avis 05/2014), sont complexes et rarement efficaces à 100%.

3. Valorisation des données

L’explosion du marché des big data a mené à une prise de conscience croissante, dans la plupart des secteurs, des possibilités de valorisation des données. Cependant, la valorisation des données à grande échelle n’est rendue possible que par le jeu de ce processus d’anonymisation.

En effet, hors anonymisation, la valorisation des données est limitée par les principes portés par le RGPD et la LIL. Ces principes sont par ailleurs complétés par des restrictions spécifiques applicables aux données de santé, du fait de leur sensibilité.

Ainsi, l’article L.1111-8 du code de la santé publique prévoit un principe d’interdiction de la cession de données de santé identifiantes : « Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l’accord de la personne concernée, est interdit sous peine des sanctions prévues à l’article 226-21 du code pénal ».

**

Comment ces principes et contraintes relatifs au traitement des données de santé s’appliquent-ils en pratique dans le cadre de la conception d’un objet connecté ou de la mise en place de recherches ?

III - Aspects pratiques

1. Points d’attention lors du développement d’une application mobile ou d’un objet connecté en santé

Développer une application mobile ou un objet connecté en santé impose de garantir la protection des données personnelles collectées, ce qui pose de multiples questions en pratique.

Ainsi, avant tout développement d’une application mobile ou d’un objet connecté, il convient d’examiner si la réglementation sur la protection des données personnelles est applicable. Pour cela, il faut notamment analyser si les données collectées correspondent à un usage autre qu’exclusivement personnel.

En effet, dans l’hypothèse où les informations des utilisateurs seraient enregistrées et conservées exclusivement localement, sans connexion extérieure et à des fins exclusivement personnelles, le RGPD ne s’appliquerait pas, ce dernier ne couvrant pas les traitements de données à caractère personnel effectués par une personne physique dans le cadre d’une activité strictement personnelle.

A noter que le fournisseur de l’application ou de l’objet connecté doit tout de même être en mesure de garantir à l’utilisateur le respect de règles minimum de sécurité, compte tenu des risques d’atteinte à la vie privée. 

À l’inverse, si la mise à disposition d’un objet connecté/d’une application permet de fournir un service à distance à l’utilisateur (ex : télésurveillance médicale de l’utilisateur par son professionnel de santé) ou fournit une connexion extérieure (ex : hébergement ‘cloud’ des informations concernant l’utilisateur), le RGPD s’applique.

Dès lors, les grands principes relatifs à la protection des données doivent être respectés par le développeur de l’application/l’objet connecté, et ce dès la conception (« Privacy by design »).

Par ailleurs, à titre exceptionnel, la nature des données collectées et/ou les finalités de l’application mobile/de l’objet connecté peu(ven)t justifier l’accomplissement d’une formalité spécifique auprès de la CNIL.

2. Points d’attention lors de la mise en place d’une recherche

Dans le cadre de la mise en place d’une recherche (recherche impliquant la personne humaine ou autre), différentes obligations vont être applicables : celles découlant du RGPD et de la LIL, mais également certaines dispositions du Code de la santé publique, les référentiels adoptés par la CNIL (« méthodologies de référence »), etc.

Par principe, les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont soumis à autorisation, sauf s’ils sont conformes à l’une des méthodologies de référence (qui sont des référentiels) homologuées et publiées par la CNIL. Dans ce cas, le responsable de traitement doit avoir adressé une déclaration attestant de cette conformité à la CNIL, préalablement au traitement.

Pour rappel, il existe à ce jour six méthodologies de référence (MR). Les trois premières MR (MR-001, MR-002 et MR-003) concernent les recherches impliquant la personne humaine (RIPH) :

  • la MR-001 : relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé nécessitant le recueil du consentement de la personne concernée ;
  • la MR-002 : relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro ;
  • la MR-003 : relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concerné.

Les trois MR suivantes (MR-004, MR-005 et MR-006) concernent quant à elles les recherches n’impliquant pas la personne humaine (RNIPH) :

  • la MR-004 : relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches, études, et évaluations n’impliquant pas la personne humaine ;
  • la MR-005 : relative aux traitements de données nécessitant l’accès par les établissements de santé et des fédérations aux données du Programme de médicalisation des systèmes d’information (PMSI) et des résumés de passage aux urgences centralisées et mises à disposition sur la plateforme sécurisée de l’Agence technique de l’information sur l’hospitalisation (ATIH) ;
  • la MR-006 : relative aux traitement de données nécessitant l’accès, pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l’article L.5311-1 du code de la santé publique, aux données du PMSI centralisées et mises à disposition par l’ATIH par l’intermédiaire d’une solution sécurisée.

Ces MR détaillent les conditions/modalités de mise en œuvre des traitements de données, par exemple : modalités d’obtention du consentement, information, sécurité, circulation des données entre les différents intervenants (ainsi, dans un essai clinique, le promoteur est généralement considéré comme le responsable de traitement ; pour autant, il n’est pas destinataire de l’ensemble des données de l’essai, il ne reçoit notamment pas de données directement nominatives).

POUR L'ARTICLE EN LIGNE : ICI

Retour