Contribution proposée par Anaïs Person* et David Gruson**.
« Digital Human Rights » (#DigitalHumanRights) est une initiative menée par des acteurs du monde de la recherche, du droit, du monde économique et de la société civile. De Boston à Paris, en passant par Helsinki, Alger, Tunis, Dakar, Moscou ou encore Hong Kong, ils travaillent activement à l’élaboration de standards technologiques utiles à la protection des droits et libertés fondamentaux du numérique. Leur initiative est soutenue par de grandes institutions internationales.
Selon eux, il est primordial de consacrer un droit fondamental à la protection des données personnelles de santé à l’ère numérique.
L’appel à contribution pour le « Digital Rights Summit » (ou Sommet des Droits fondamentaux du Numérique) a été officiellement lancé le 22 octobre 2019 à Paris, à l’université Paris 1 Panthéon-Sorbonne. À cette occasion, ont été traités les sujets de la santé, mais également de la FoodTech, de la citoyenneté, du logement, de la mobilité, de l’éducation, des Smart City et de l’énergie.
Les participants au programme souhaitent attirer l’attention du plus grand nombre sur le sujet de la protection des données personnelles de santé comme composante essentielle de la démocratie sanitaire à l’échelle internationale.
Qu’est-ce qu’une donnée personnelle de santé ?
Une donnée personnelle de santé est une information qui donne des indications ou permet de tirer des conclusions sur l’état de santé physique ou mental, passé, présent ou futur d’une personne.
La liste des données de santé est longue. Le droit considère comme données personnelles de santé : « un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro. »[1]
Le régime juridique des données personnelles de santé
En principe, il est interdit de traiter[2] les données personnelles de santé[3].
Aller chez le médecin, à la pharmacie, commander des lunettes ou des lentilles de contact en ligne, se faire rembourser par la Sécurité sociale, utiliser une balance connectée, utiliser des applications sportives, souscrire un contrat d’assurance santé… sont autant de faits ou d’actes juridiques qui donnent lieu au traitement de données de santé, pourtant interdits en pratique.
Ces traitements sont autorisés parce qu’ils sont nécessaires à la sauvegarde des intérêts vitaux des personnes, à l’exécution d’un contrat auquel elles sont parties ou parce que les personnes y ont consenti.
Par ailleurs, l’avis n°129 du Comité consultatif national d’éthique émis dans le cadre de la préparation de la révision de la loi bioéthique a reconnu tout l’intérêt, dans le cadre de dispositifs de confiance comme le nouveau Heath Data Hub (plateforme nationale des données de santé sous égide des pouvoirs publics), d’un partage et d’un pilotage par les données pour renforcer l’efficacité de notre système de santé au service des patients.
Et la démocratie sanitaire ?
En France, la démocratie sanitaire est une démarche réunissant les différents acteurs du monde de la santé dans le but de protéger au mieux les intérêts des patients pendant le parcours de soin.
La concertation de ces permet de garantir les droits et libertés fondamentaux des patients : le droit au respect de la vie privée et au secret des informations, mais aussi le droit fondamental à la protection de la santé, le droit au respect de la dignité, l’interdiction de la discrimination dans l’accès aux soins, le droit de recevoir des soins appropriés, le droit de recevoir des soins visant à soulager la douleur, le droit à une vie digne jusqu’à la mort, le droit à un suivi scolaire adapté au sein des établissements de santé.
Cette démocratie sanitaire s’enrichit d’un nouveau principe : le principe de garantie humaine du numérique et de l’IA en santé, proposé par Ethik-IA, relayé par le CCNE et portée par l’article 11 du projet de loi bioéthique.
Secret professionnel et droit au respect de la vie privée
Tous les professionnels du système de santé sont soumis au secret des informations.
Le respect de la vie privée et des données personnelles complète cette obligation, avec notamment la loi Informatique et Libertés[4] et le RGPD[5].
Cette obligation au secret couvre l’ensemble des informations concernant les patients et dont disposent les professionnels de santé, les membres du personnel des établissements de santé, les services, organismes et tout autre personne en relation avec ces établissements.
Un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge, à condition qu’ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social.
Le partage d’informations nécessaires à la prise en charge d’une personne, entre des professionnels ne faisant pas partie de la même équipe de soins, requiert son consentement préalable. Le consentement peut être recueilli par tout moyen, y compris de façon dématérialisée.
Les droits des personnes relatifs à leurs données de santé
Toute personne dont les informations personnelles sont traitées dispose de droits concernant ses données, notamment d’un droit d’accès aux données la concernant.
Accéder aux données personnelles détenues par un organisme permet à la personne concernée d’obtenir ses données dans un format ouvert, clair, lisible et facilement compréhensible.
Pour mieux maîtriser leurs données personnelles et déterminer elles-mêmes la manière dont elles sont traitées, les personnes peuvent exercer d’autres droits, selon les situations et les responsables de traitement[6], comme : le droit de rectification, qui permet de rectifier les informations inexactes, le droit d’opposition, qui permet aux personnes de s’opposer à tout moment à ce qu’un organisme utilise certaines données les concernant, le droit à la portabilité, qui permet d’emporter une copie des données pour les réutiliser ailleurs, le droit à la limitation, qui permet de geler l’utilisation des données personnelles, le droit au déréférencement, qui permet de ne plus associer une identité à un contenu rendu visible par un moteur de recherche ou encore le droit à l’effacement, qui permet d’effacer des données personnelles.
Concernant l’exercice du droit d’accès aux données de santé, le responsable de traitement doit répondre à la personne au plus tard dans les huit jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne – dans les 48 heures. Si les informations remontent à plus de cinq ans, ce délai est porté à deux mois.
Ce droit à la protection des données de santé a pour corollaire la reconnaissance d’un droit au pilotage par les données : les patients ne peuvent plus en effet rester à l’écart du mouvement d’innovations porté par l’IA et le numérique en santé.
Pourquoi protéger les données personnelles de santé ?
Trouver un bon équilibre entre besoin de partage et nécessité de protection : c’est le sens des actions à engager pour rendre soutenable le data management en santé.
L’association Privacy Tech œuvre au développement et à la promotion de solutions respectueuses des données personnelles et de la vie privée. Elle a créé avec l’AFNOR une certification pour ces solutions afin d’assurer à leurs utilisateurs et clients des garanties élevées en la matière, et travaille avec le monde universitaire ainsi que les organismes publics et privés à l’échelle internationale pour faire avancer la recherche relative à la protection des données personnelles.
Soutenue par madame la députée Paula Forteza, l’association a publié en avril dernier un livre blanc pour la circulation et la protection des données personnelles. Par ailleurs, l’association travaille à l’élaboration de Privacy Icons, destinés à faciliter la compréhension des politiques de confidentialité, et de référentiels pour garantir le droit à la portabilité des données et le respect des obligations relatives au recueil du consentement en termes d’UX[7] (Privacy UX).
La transformation digitale du monde de la santé appelle le déploiement de moyens proportionnels à la sensibilité des données et des droits dont il est question. Un effort de pédagogie doit être mis en place, à l’attention des professionnels de santé mais aussi des patients.
Par ailleurs et pour encourager la recherche et le développement de manière vertueuse, il faut aussi consacrer l’importance de l’intelligence artificielle en santé, qui ne grandira pas sans données personnelles de santé.
C’est le sens de l’association Ethik-IA, qui œuvre pour une régulation positive de l’intelligence artificielle en santé. L’association a obtenu la consécration du principe de garantie humaine à l’article 11 du projet de loi relatif à la bioéthique, qui précise « le caractère obligatoire de l’intervention d’un professionnel de santé pour l’adaptation des paramètres d’un traitement algorithmique de données massives pour des actes à visée préventive, diagnostique ou thérapeutique »[8].
La convergence des synergies permettra la consécration d’un droit fondamental international pour la protection des données personnelles de santé. La consécration de ce droit s’inscrit dans l’idée du développement de référentiels juridiques et techniques pour l’élaboration d’intelligences artificielles éthiques dans le domaine de la santé. Au niveau national, ces référentiels ont vocation à être homologuées par les autorités administratives et suivent les actions menées dans le cadre de l’engagement collectif « Ma Santé 2022 ».Pour y parvenir, il apparaît nécessaire de promouvoir le droit à la protection des données personnelles de santé au statut de droit fondamental à l’échelle internationale, en accord avec les principes de démocratie sanitaire français.
*Anaïs Person est Secrétaire générale de Privacy Tech, doctorante auprès de l’Institut Droit et Santé, déléguée à la protection des données de Seraphin.legal
**David Gruson est le fondateur d’Ethik IA, directeur programme Santé de Jouve et membre de la Chaire Santé de Sciences Po
[1] Considérant 35, RGPD.
[2] Traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (article 4, RGPD).
[3] Article 6 de la loi Informatique et Libertés.
[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[5] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[6] Responsable de traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre » (article 4, RGPD).
[7] UX : user experience, expérience utilisateur en français.
[8] Articles du projet de loi et principaux amendements adoptés par la commission spéciale bioéthique.