A- Définition

Le RGPD définit les données de santé comme les “données à caractère personnel relatives à la santé physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne”. Le considérant 35 du RGPD précise que les données de santé devraient comprendre l’ensemble des données se rapportant à l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne collectées ou lors de l'inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services, qu’il s’agisse d’un identifiant patient, des informations obtenues lors du test ou de l’examen ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques, et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.

Sous l’ancienne réglementation, la notion de données de santé n’était pas définie. Au regard de la doctrine définie par la CNIL en la matière, devait être considérée comme une donnée relative à la santé une donnée en lien avec une pathologie ou, plus généralement, l’état de santé de la personne concernée. Le RGPD élargit ainsi la notion de donnée de santé, laquelle ne couvre plus la seule hypothèse d’une information en lien direct avec une pathologie, mais plus largement avec tout l’environnement lié à la prestation de santé. Ainsi, selon la nouvelle définition, les objets connectés et dispositifs de quantified self qui collectent par exemple des données brutes relèvent désormais du régime des données de santé. De la même manière, les données de remboursement des prestations de soins auprès de la sécurité sociale, données considérées jusqu’à présent comme des données administratives, sont susceptibles d’être désormais considérées comme des données de santé.

B- Périmètre

Les traitements de données susceptibles d’être mis en œuvre dans le domaine de la santé sont très divers, et concernent autant les responsables de traitement du secteur public que du secteur privé. De manière schématique, on peut évoquer les typologies suivantes de traitements de données :

- les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients, ceux permettant d’effectuer des études à partir des données ainsi recueillies si ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif, ceux effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie et ceux effectués au sein des établissements de santé par les médecins responsables de l’information médicale dans les conditions prévues au deuxième alinéa de l’article L. 6113-7 du Code de la santé publique ;

- les traitements “ayant pour fin la recherche dans le domaine de la santé” ;
les traitements de données de santé à caractère personnel qui ont pour fin l’évaluation des pratiques de soins et de prévention ;

- les traitements de recherche mis en œuvre par de nombreux organismes publics ou privés et qui impliquent la collecte et l’analyse de données sanitaires, médico-sociales ou issues de traitements médico-administratifs.

C- Secret médical

La protection des données de santé est, sur le plan juridique, tout d’abord assurée par la règle du secret médical, consacrée à l’article L. 110-4 du Code de la santé publique qui dispose que tout patient a droit au respect de sa vie privée et au secret des informations la concernant. Le même article dispose que : “Ce secret couvre l’ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes”. Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du Code pénal.
La loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé a sensiblement modifié la portée du secret médical afin de permettre la meilleure prise en charge possible du patient. Le texte instaure ainsi le dossier médical partagé impliquant le stockage des données auprès d’un hébergeur spécifiquement titulaire d’un agrément délivré par le ministère de la santé. Il prévoit par ailleurs la possibilité de partager les informations concernant le patient, consacré dans le cadre de la notion de l’équipe de soins ( Code de la santé publique, article L. 1110-4 et suivants)

D- Traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients

Ces traitements ( dossier médical du patient) étaient soumis à un simple régime de déclaration préalable auprès de la CNIL. Il en allait de même pour les traitements qui permettaient d’effectuer des études à partir de données ainsi recueillies si ces études étaient réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif, par exemple :

- les études monocentriques ( sans transmission d'informations à caractère personnel à l’extérieur) ;
- le traitement ayant pour fin le suivi thérapeutique ;
- les traitements en lien avec une autorisation temporaire d’utilisation (ATU) ;
- les enquête de satisfaction auprès des patients ;
- la constitution d’une collection d’échantillons biologiques humains ( biothèque, tumorothèque, sérothèque …).

De même, le traitement de données à caractère personnel effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ( CSS, art. L161-29 et L. 161-33), et les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale dans les conditions prévues au deuxième alinéa de l’article L. 6113-7 du Code de la santé relevaient a priori du régime de la déclaration normale. Enfin, la CNIL avait décidé de soumettre au régime de la déclaration normales certains traitements de données de santé tels que les dossiers médicaux partagés, les dispositifs de télémédecine ou d’éducation thérapeutique.

E- Traitement de recherche médicale

Les traitements ayant pour finalité la recherche dans le domaine de la santé étaient soumis à autorisation préalable de la CNIL (Loi n° 78-17, 6 janvier 1978 modifiée, article 53). Étaient concernés les projets de recherche médicale qui nécessitent le recueil et la transmission à l’organisme de recherche de données directement ou indirectement identifiantes ( par exemple, l’étude sur le rôle des facteurs de risques environnementaux et génétiques des cancers). L’autorisation de mettre en œuvre le traitement de recherche médicale était donnée par décision du président de la CNIL.

F- Information et consentement de la personne concernée

La CNIL exerce une vigilance particulière en ce qui concerne l’information des personnes concernées par les traitements de données de santé dans la mesure où cette information conditionne l’exercice du droit d'opposition reconnu par la loi. Aux termes de l’article 56 de la loi Informatique et Libertés, toute personne a le droit de s’opposer à ce que les données à caractère personnel la concernant fassent l’objet de la levée du secret professionnel rendue nécessaire par un traitement de recherche médicale.

L’obligation d'information n’est, par exception, pas applicable si, pour des raisons légitimes que le médecin traitant apprécie en conscience, le malade est laissé dans l’ignorance d’un diagnostic ou d’un pronostic grave. Par ailleurs, dans le cas où les données ont été initialement recueillies pour un autre objet que le traitement, il peut également être dérogé à l’obligation d’information individuelle lorsque celle-ci se heurte à la difficulté de retrouver les personnes concernées.

Dans le cas de recueil de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit par ailleurs être obtenu préalablement à la mise en œuvre du traitement de données. De même, le partage de données de santé entre professionnels de santé qui n’appartiennent pas à la même équipe de soins est soumis au recueil du consentement préalable de la personne concernée.

G- Sécurité et confidentialité des données

Les chercheurs doivent systématiquement recourir à des tables de correspondance entre l’identité du patient et son numéro d’inclusion dans l’étude conservées par les investigateurs. La CNIL veille alors au strict cantonnement de cette table de correspondance. Par exception, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d’études coopératives nationales ou internationales. Il peut également y être dérogé si une particularité de la recherche l’exige.

En outre, le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Ainsi, la communication de données directement ou indirectement identifiantes doit être sécurisée. La confidentialité, l’intégrité et l’authenticité des informations doivent être assurées. Si des échanges par messagerie électronique sont prévus, les pièces à transmettre doivent être chiffrées. La présentation des résultats du traitement de données ne peut en aucun cas permettre l’identification directe ou indirecte des personnes concernées. Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du Code pénal.

H- Droit d’accès

La loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé a posé le principe de l’accès direct du patient à l’ensemble des informations de santé le concernant et le décret n° 2002-637 du 29 avril a organisé cet accès ( désormais codifié Code de santé publique, article R. 1111-1 et suivants). Néanmoins, le patient peut toujours, s’il le souhaite, accéder à ces données par l’intermédiaire d’un médecin de son choix. La communication doit être faite au plus tard dans les huit jours suivant la demande et au plus tôt dans les quarante-huit heures. Si les informations remontent à plus de cinq ans, le délai est porté à deux mois. Cette période de cinq ans court à compter de la date à laquelle l’information médicale a été constituée.

I- Anonymisation des données de santé

Dans le secteur de la santé, la CNIL a défini depuis de nombreuses années, une doctrine relative à la mise en œuvre de dispositifs d’anonymisation ( études épidémiologiques multicentriques, suivi des déclarations obligatoires, etc.) ou de “ pseudo anonymisation ” lorsque les données restent indirectement ( voire très indirectement) identifiantes. Cette doctrine s’applique principalement aux opérations de suivi statistique sur une certaine durée que souhaitent réaliser les professionnels de santé dans le cadre de recherches sur leurs patients. La technique de l’anonymisation offre ainsi la possibilité de suivre le parcours d’un certain nombre d’individus sur un certain laps de temps sans avoir à connaître leur identité véritable.
La CNIL a par ailleurs adopté le 4 février 1997 une recommandation sur la mise en œuvre de système d'information médicale par des opérateurs privés sur la base de données collectées auprès de professionnels de santé. Il ressort des termes de cette recommandation que :
- les données de santé ne peuvent être utilisées que dans l'intérêt direct du patient et, dans les conditions déterminées par la loi, pour les besoins de santé publique ;
- les dispositions du Code de la santé publique font obstacle à une utilisation des prescriptions médicales ou des informations médicales détenues par les professionnels de santé à des fins de promotion commerciale.