Qu’est-ce qu’une donnée personnelle de santé ?

Le phénomène Big data multiplie les pratiques de recueil de données dans tous les secteurs, mais c’est certainement dans le domaine de la santé, que celles-ci suscitent le plus de questions sur leur statut et sur leur partage. Ces données ont aujourd’hui une valeur qui a dépassé sur le marché noir la valeur des numéros de sécurité sociale ou de cartes bancaires. Elles attisent, en conséquence, les convoitises de nombreux tiers comme certains géants du numérique, professionnels de l’assurance, de la banque, ou tout hackers mal intentionnés. Mais au-delà de ce pur potentiel économique, les données de santé revêtent aussi un intérêt sanitaire certain. L’exploitation des données de santé permettra  ainsi d’individualiser, de personnaliser la prise en charge médicale des patients: identification de facteurs de risque de maladie, aide au diagnostic, au choix et au suivi de l’efficacité des traitements, pharmacovigilance, épidémiologie… À l’heure où se diversifient les pratiques de collecte la question de la protection des données se pose de façon urgente. Si elle trouve d’ores et déjà des réponses techniques, cette sempiternelle question en cache une autre, plus fondamentale, qui en constitue pourtant un préalable nécessaire : comment définir aujourd’hui ce qu’est une donnée de santé et, partant de là, ce qu’il s’agit de protéger ?

Appréhension de la notion de donnée de santé par sa définition

La communauté juridique^[1] s’accorde pour définir la donnée « classique » comme une « information informatisée » ou plutôt une « information  technologisée ». Le premier acte juridique notable en matière de droit des données a été la Loi du 6 janvier 1978 dite Loi « Informatique et Liberté ». Il s’agissait alors de protéger les individus, les personnes, de toute atteinte à leur vie privée, que l’industrie informatique facilitait. La Loi qui avait pour ambition de répondre aux grands enjeux juridiques du numérique, via le prisme des libertés publiques et individuelles a dans son sillage défini la notion de données cette fois ci personnelles comme suit : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». La règlementation européenne s’appuie sur une définition presque identique^[2].

Si une donnée est une « information technologisée », on peut en déduire qu’une donnée de santé serait en toute logique « une information technologisée de santé ». Cela nous impose donc de définir ce qu’est la santé. C’est la définition de l’Organisation Mondiale de la Santé (OMS) qui est classiquement retenue : « la santé est un état de complet bien-être physique, mental et social, et ne consiste pas seulement en une absence de maladie ou d’infirmité »^[3]. Le Règlement européen les a ainsi défini sur la base de cette définition. Il en résulte que les données personnelles de santé sont « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». La CNIL (Commission Nationale Informatique et Libertés), autorité de référence en matière de protection de la vie privée informationnelle, indique qu’entrent dans cette notion « trois catégories de données :

• celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
• celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
• celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical»^[4]

Inversement, n’entrent pas dans la notion de données personnelles de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne concernée (ex : une application collectant un nombre de pas au cours d’une promenade sans croisement de ces données avec d’autres). Notons, par ailleurs, qu’une donnée de santé n’est plus considérée comme « personnelle » quand elle est anonymisée de manière à ce que la ré-identification du patient ne soit plus possible.

Appréhension de la notion de donnée de santé par son régime

Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la sensibilité des données s’applique. Si les lois françaises et la réglementation européenne sont venues encadrer strictement les pratiques de collecte et de traitement des données « classiques », les données personnelles de santé ont été, en effet, classifiées dans un sous ensemble qui bénéficie d’une protection encore plus accrue que les données « classiques » : les données personnelles dites sensibles. Ces données jouissent d’un régime juridique spécifique du fait du type d’information particulièrement intime qu’elles contiennent. Si la donnée personnelle de santé jouit du statut de données sensibles c’est parce que son lien avec l’intimité, la vie privée, est particulièrement fort, plus que pour d’autres données. Cet aspect montre bien toute la spécificité de la santé à l’égard du numérique, car les données personnelles concernant ce secteur ont trait à une dimension « intime de l’intime ». En conséquence, le Règlement européen pose une interdiction générale à la collecte ou au traitement de ces données^[5], sauf, notamment, dans les cas suivants^[6] :

• si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL.

La difficulté à circonscrire la notion qui nous occupe ainsi que la particularité de ses usages, révèle tout l’intérêt de nombreuses études centrées sur ces éléments. L’exploitation de nos données de santé pose de nombreux défis techniques et humains, et pose autant de questions éthiques que juridiques. Ces données relevant à la fois du bien commun de l’Humanité et du plus profond de l’intime, nous poussent dès lors à nous interroger sur l’efficacité de son régime, et surtout sur sa mise en oeuvre afin de préserver au mieux le sensible équilibre entre protection de la vie privée des personnes et innovation. L’Intelligence Artificielle (IA) promet, en effet, une métamorphose complète du secteur de la santé. La maitrise de ces données concourent d’ailleurs à l’aube de cette nouvelle ère en ce qu’elles offrent un vaste champ d’exploration aux algorithmes. Il convient, dès lors, de s’interroger sur la manière dont les instruments, les nouveaux acteurs de partage et les autorités de régulation parviendront à coordonner leurs efforts pour répondre aux exigences de ce secteur clef de l’économie non plus de demain mais bien d’aujourd’hui^[7].

^[1] Ainsi, Mme DE LA LAMBERTHERIE a affirmé qu’il « ressort des définitions qu’une donnée est une information valorisée qui possède une valeur ajoutée d’ordre technologique » : I. DE LALAMBERTERIE, « Qu’est-ce qu’une donnée de santé ? », dans « Le droit des données de santé », (2004), RGDM , Numéro spécial, LEH, p. 13 ; Mme Frison-Roche l’envisage comme un « élément de fait qu’une personne extrait du monde réel, c’est-à-dire une information » : M. – A. FRISON-ROCHE, « Les conséquences régulatoires d’une monde repensé à partir de la notion de données », (2016), Internet, espace d’interrégulation (ss. dir. M. – A. FRISON-ROCHE), Dalloz, Thèmes et commentaires, p. 7

^[2] Article 4 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données) : « toute information se rapportant à une personne physique identifiée ou identifiable ».

^[3] Préambule à la Constitution de l’Organisation mondiale de la Santé, tel qu’adopté par la Conférence internationale sur la Santé, New York, 19-22 juin 1946; signé le 22 juillet 1946 par les représentants de 61 Etats. 1946; (Actes officiels de l’Organisation mondiale de la Santé, n°. 2, pp.100) et entré en vigueur le 7 avril 1948

^[4] CNIL, « Qu’est ce qu’une donnée de santé », Site internet (Consulté le 08/03/20), En ligne: https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

^[5] Article 9 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données)

^[6] Article 6 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 96/46/CE (règlement général sur la protection des données)

^[7] T. RAY, « L’IA se heurte à un problème massif de données dans le diagnostic du Covid-19 », ZDNET, 06 Avril 2020 (Consulté le 08/03/21), En ligne: https://www.zdnet.fr/actualites/l-ia-se-heurte-a-un-probleme-massif-de-donnees-dans-le-diagnostic-du-covid-19-39901817.htm