Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Les données de santé sous l’oeil du droit : 7 questions pour comprendre !
7 novembre 2024

La donnée, communément appelée « data », est souvent utilisée pour définir un ensemble d’informations produites par différents acteurs, les individus, les organismes et même les objets connectés.  A l’ère de l’intelligence artificielle (IA) et du fait de données toujours plus nombreuses et variés (Big data), comprendre comment nos données personnelles sont traitées est essentiel.

L’IA a transformé la gestion des données de santé en améliorant l’analyse, la sécurité et l’accessibilité des informations médicales, tout en permettant une prise de décision plus rapide et plus précise. Grâce à des algorithmes avancés, l’IA peut traiter d’énormes volumes de données notamment pour identifier des tendances, prédire des épidémies et personnaliser les traitements en fonction des caractéristiques spécifiques des patients. Pour encadrer cette évolution, le Règlement européen sur l’intelligence artificielle (AI Act) a établi un cadre juridique harmonisé au sein de l’Union européenne, visant à promouvoir le développement d’une IA « digne de confiance » tout en respectant les droits et valeurs fondamentaux de l’UE, comme la démocratie et la protection des données personnelles.

Que représentent les données de santé ? Qui les collecte ? Quels sont les enjeux tant pour les individus que pour les entreprises ? Nous vous proposons un tour d’horizon en 7 questions !

Qu’est-ce qu’une donnée de santé ?

Si l’on se réfère au Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) , la donnée « concernant la santé » se définit comme suit :

« Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (art.4 point 15 du RGPD)
Ainsi, cette définition comprend :

La CNIL rappelle que « le traitement des données de santé est interdit, sauf dans certains cas spécifiques (article 9 du RGPD et article 6 de la loi Informatique et Libertés) ». Néanmoins, le traitement de ces données concernant la santé peut être traité sous certaines conditions prévue à l’article 9.2 du RGPD et l’article 44 de la loi Informatique et Libertés.

Comment sont collectés les données concernant la santé et par qui ?

Les données concernant la santé sont collectées par divers acteurs à l’aide de méthodes adaptées aux besoins du secteur et aux avancées technologiques. Les professionnels de santé saisissent des informations lors des consultations et hospitalisations, centralisées dans des dossiers médicaux électroniques. Les enquêtes populationnelles et questionnaires aident les instituts de santé publique à suivre les tendances sanitaires à grande échelle. Les systèmes d’assurance maladie enregistrent les données sur les soins et traitements remboursés, tandis que les essais cliniques et études épidémiologiques fournissent des données-clés sur l’efficacité des traitements. Les objets connectés, tels que les montres intelligentes, permettent un suivi en temps réel de certains indicateurs de santé. Enfin, les bases de données et registres nationaux assurent un suivi précis et à long terme des pathologies, contribuant à une meilleure gestion des politiques de santé.

Quelles sont les obligations légales en matières de données concernant la santé ?

Les obligations légales en matière de protection des données de santé sont principalement définies par la loi Informatique et Libertés et le Règlement Général sur la Protection des Données (RGPD) . L’un des piliers de cette réglementation est la notion de consentement éclairé : l’individu doit être informé de manière claire et complète sur la nature des données collectées, l’objectif de leur collecte, et les modalités de traitement. Ce consentement doit être spécifique et explicite, notamment lorsque les données sont utilisées à des fins autres que les soins directs, comme la recherche médicale. En l’absence de ce consentement, la collecte est considérée comme illégale, à moins qu’elle ne réponde à des exceptions prévues par la réglementation (sauvegarde des intérêts vitaux, motifs d’intérêt public dans le domaine de la santé publique, etc.). En outre, le RGPD impose des règles stricte concernant la minimisation des données, leur sécurité et la limitation de la durée de conservation. La CNIL a publié un référentiel « durées de conservation » pour les traitements les plus fréquents dans les secteurs social et médico-social et une fiche pratique proposant une méthodologie aux professionnels concernés.

À ces obligations s’ajoute la certification HDS (Hébergement de Données de Santé), exigée pour « tous les organismes publics ou privés qui hébergent, exploitent le système d’information de santé ou réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé » (article L.1111-8 du code de la santé publique). Cette certification, spécifique à la France, vise à renforcer la sécurité des données de santé en s’appuyant sur la norme ISO/IEC 27001, et en intégrant des exigences supplémentaires adaptées au secteur, présentes dans le référentiel de certification.

Ainsi, le RGPD et la certification HDS offrent un cadre propice à la création d’un environnement de confiance autour de l’hébergement et du traitement des données de santé. L’objectif étant la protection des droits des patients et la conformité aux réglementations en vigueur.

Qu’en est-il de la conformité de votre organisme et de la formation de vos équipes à ce sujet ?

Quels sont les droits des individus concernant leurs données de santé ?

Le RGPD confère aux individus plusieurs droits en matière de gestion de leurs données personnelles de santé, leur permettant de garder le contrôle sur leur utilisation, notamment :

Spécificités en droit français concernant les droits des personnes concernées : les directives anticipées à savoir la possibilité de déterminer le destin de ses données personnelles après son décès.

Larticle 40-1 de la loi Informatique et libertés permet aux individus de formuler des directives concernant la conservation, l’effacement et la communication de leurs données après leur décès. Cette possibilité doit également être indiquée et mentionnée dans les mentions d’informations récapitulant l’ensemble des droits dont disposent les personnes ainsi que leurs modalités d’exercice.

Quelles sanctions sont prévues en cas du non-respect du RGPD pour les données de santé ?

En cas de non-respect du RGPD, les sanctions peuvent être élevées : la CNIL (Commission Nationale de l’Informatique et des Libertés) peut prononcer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entité concernée, en fonction de la gravité de la violation. Des amendes ont été appliquées pour divers manquements, tels que la collecte excessive de données, l’absence de registre des traitements, et le non-respect des droits des personnes concernées. A titre d’exemple, la CNIL a récemment sanctionné une société à hauteur de 800 000 euros pour avoir traité des données de santé sans autorisation préalable. Ces sanctions illustrent l’importance de la conformité au RGPD dans la gestion des données de santé.

Altruisme des données : comment favoriser un partage volontaire et sécurisé des données concernant la santé ?

L’altruisme en matière de données concerne les individus et les entreprises qui consentent à mettre à disposition leurs données — volontairement et sans rémunération — à des fins d’intérêt public. Ces données sont ensuite transmises à des « organisations altruistes en matière de données », qui doivent être enregistrées dans un registre national pour garantir la transparence et la responsabilité.

Dans le secteur de la santé, cet altruisme présente des enjeux significatifs pour la recherche, l’intérêt public et les organisations privées. Comme le souligne le Comité consultatif national d’éthique (CCNE), le traitement de données de santé variées permet de répondre à plusieurs objectifs :

  • Faire progresser la recherche biomédicale et l’innovation, améliorer la prise de décision médicale (comme la prescription et l’interprétation d’examens biologiques)
  • Optimiser les soins cliniques, assurer une veille sanitaire et une matériovigilance efficace (surveillance des dispositifs médicaux en conditions réelles)
  • Soutenir le pilotage du système de santé.

En intégrant ces données, le secteur de la santé peut mieux anticiper les besoins des patients et adapter les stratégies de soins en conséquence.

In fine, les données de santé sont des informations sensibles, dont la collecte et le traitement sont encadrés par le RGPD ; et dont la gestion doit respecter le consentement éclairé des individus. C’est pourquoi, il est essentiel de maintenir un équilibre entre protection des données concernant la santé et innovation, afin de préserver la confiance de tous.

Pour aller plus loin : comment prévenir une violation de données concernant la santé ?

Une violation de données désigne notamment la divulgation non autorisée de données d’un organisme à des tiers, que ce soit de manière délibérée ou accidentelle. Ce type d’incident de sécurité survient généralement à la suite d’une intrusion ayant compromis un système d’informations. L’attaque a pour effet de divulguer de manière non autorisée les données des personnes concernées (notamment dans le cadre des rançongiciels), pour des finalités illégitimes (usurpation d’identité, etc.). Ces violations peuvent également résulter de la perte ou du vol de dispositifs, tels que des clés USB, d’ordinateurs ou de documents papiers.

Pour mieux se prémunir contre ces risques, l’Agence du Numérique en Santé a élaboré une fiche technique détaillant les bonnes pratiques pour protéger les données sensibles. L’Agence de Sécurité des systèmes d’information (l’ANSSI) a quant à elle publié, en novembre 2024, un rapport sur l’état de la menace informatique dans le secteur de la santé. Il présente les éléments de tendance permettant de comprendre la nature et les évolutions de la menace, qui a fortement augmenté, depuis 2020 année du Covid-19, Ce rapport contient des recommandations de sécurité à destination des entités du secteur de la santé.

Comment pouvons-nous vous être utiles ? Développement de vos projets, sensibilisation de vos équipes, formation, mise en conformité et gestion des risques. Contactez-nous ! L’équipe de Mathias Avocats est à votre écoute.

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !