Selon le considérant 35 du Règlement général de la protection des données (RPGD), « Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique ».
De nombreux objets connectés, sites internet et autres dispositifs technologiques sont concernés par l’e-santé. Les données de santé sont à apprécier au cas par cas selon la nature des données. On estime par ailleurs le nombre d’objets connectés à environ 80 milliards en 2020 ce qui est considérable et qui ne va cesser d’augmenter.
La santé connectée de plus en plus présente dans nos vies
On sait que les données médicales sont extrêmement sensibles et protégées. Elles dépendent du secret médical mais doivent également être traitées de façon très minutieuse.
Il en est de même pour les données de santé. Les données de santé sont donc distinctes des données médicales mais elles sont aussi protégées. Les données de santé peuvent par exemple concerner les données récoltées par une montre connectée. Cette montre qui analyse les battements de notre cœur deviendra alors un objet connecté qui collecte ces données importantes. Tout dépend alors de la nature de ces données et de quelle façon ces données seront traitées. Depuis une recommandation du 27 mars 2019, les données de santé appartiennent à une catégorie particulière qui bénéficie d’un niveau de protection plus élevé en raison du risque de discrimination pouvant résulter du traitement de ces données.
La santé connectée est utilisée de plus en plus pour innover dans le secteur médical. En effet, récemment, des algorithmes et capteurs ont été développés notamment dans le but de détecter et prévenir les crises d’épilepsie. Les lunettes connectées également sont au cœur de l’actualité avec l’entreprise Atol qui choisit d’investir dans l’innovation. L’intelligence artificielle devient alors importante dans le secteur de la santé. On numérise et on automatise de plus en plus. La santé devient alors en partie numérique, étant donné l’ampleur de la transformation digitale.
L’article L111-8 du Code la santé publique organise le dépôt et la conservation des données de santé à caractère personnel afin de garantir leur confidentialité et leur sécurité.
Or, cela se complique lorsque des entreprises telles que les GAFAM entrent en jeu et s’intéressent à l’e-santé, en la fusionnant ensuite avec le business.
Un problème pour la protection des données personnelles avec l’impact des GAFAM sur l’e-santé
Au coeur du commerce mondial, on retrouve encore et toujours les GAFAM (Google, Amazon, Facebook, Apple et Microsoft), très présents au sein du marché des objets de santé connectés et au niveau de la santé numérique. Leur but est la course à l’innovation, parfois au détriment des données personnelles.
Le but des GAFAM est d’investir dans la santé numérique et d’avoir donc une longueur d’avance les uns sur les autres. A titre d’illustration, Apple dispose d’Apple Health Records pour partager les données avec les professionnels. Google dispose de nombreuses entreprises relatives à la santé également comme le système « Calico », qui investit dans la vie après la mort ou encore Fitbit, une entreprise de montres connectées qui est spécialisée dans la santé. Apple a également la volonté d’étendre les fonctionnalités de certains de ces produits. C’est par exemple le cas de l’Apple Watch qui devrait à l’avenir pouvoir mesurer la température de l’individu ou encore sa pression sanguine.
Récemment, on a eu affaire à un scandale de grande ampleur « le scandale Nightingale ».
Google avait conclu un partenariat avec la société Ascension, qui est le deuxième plus grand organisme de soins aux Etats-Unis. Or, il a été précisé que Google a eu accès aux données de santé de nombreux américains, et ce, de prime abord, « en toute légalité » même si cela pose un problème considérable quant à la collecte de ces données. Dans ce contrat, Google pouvait alors collecter plusieurs centaines de données d’organismes américains de santé afin de créer un « moteur de recherche de santé » destiné aux professionnels de santé. Plus de 2500 organismes étaient concernés. Or, le problème de ce contrat a été le fait que Google n’a pas informé les patients concernés par la collecte de ces données.
Toutefois, une enquête est en cours visant à la légalité des agissements de Google. En effet, il est nécessaire de vérifier si la Health Insurance Portability and Accountability Act (HIPAA) est respectée. Les données collectées allaient du nom du patient jusqu’à l’historique de ses analyses de santé. Aux USA la pratique est légale, étant donné que Google ne partageait pas ces données, sauf avec le corps médical.
En France, la question n’est pas la même. Si cela a fait un scandale aux USA, en France l’impact aurait sûrement été encore plus violent car la protection des données est considérée comme moins souple en Europe. En effet, notamment grâce au RGPD, nos données collectées nécessitent l’obtention d’un consentement préalable avant d’être utilisées, il y a une forme de protection. Aux USA le business existe parfois au détriment de la protection des données personnelles de ses citoyens.
Néanmoins, la question notamment du Dossier Médical Partagé (DMP) en France est toujours d’actualité et soulève de nombreux questionnements pour la protection des données. Si le patient dispose normalement de tous les droits prévus par le RGPD sur ses données médicales, on dispose d’exceptions aussi en France. Une obligation en termes de santé publique justifie la collecte de données par exemple. Cependant, en France le patient a aussi le droit de conservation de ses données médicales. Cela concerne notamment l’accès au portail en ligne comportant le Dossier Médical Partagé. Les données de personnes hospitalisées doivent être protégées par le secret médical. La contrainte du secret médical pèse donc sur tous ceux qui utilisent et ont accès aux données.
En tout état de cause, les données concernant une personne hospitalisée doivent donc être rendues protégées, et protégées également par le secret médical. Le patient doit être avisé que la contrainte du secret médical pèse sur l’utilisation des données par ceux qui y ont accès. Le Bureau des droits civiques aux USA devra alors trancher sur le scandale Nightingale et déterminer si l’usage de ces données par Google était parfaitement licite ou si l’entreprise a usé de ses pouvoirs dans un but purement commercial en ignorant les droits de nombreux citoyens sur leurs données personnelles sensibles.
Sources :
BECHADE C., « Vie privée : Google a aspiré les données de santé de millions de patients aux Etats-Unis », Les Numériques, novembre 2019.
BERNHEIM-DESVAUX S, « L’objet connecté sous l’angle du droit des contrats et de la consommation », RevueContrats Concurrence Consommation n° 1, Janvier 2017.
DE SILGUY S., « E-santé et protection de la vie privée : à la recherche d’un équilibre », Revue Lamy Droit civil, numéro 143, 1erdécembre 2016.
GRIGUER M.,« Quel cadre légal pour l’e-santé ? »,Cahiers de droit de l’entreprise n° 5, Septembre 2016.
LAUDE A., « Développement des pratiques de e-santé », Partie 6 Santé numérique, Lamy droit de la santé, Octobre 2019.
PÉRISSAT G., « Nightingale, quand Google accède aux données de santé des hôpitaux américains », L’informaticien, Novembre 2019.
WERY E., « Nightingale, le nouveau scandale « made in Google » », Droit et Technologies, Novembre 2019.
« « Nightingale », quand Google fait la chasse aux données médicales », Le Point, Novembre 2019.
Code de la santé publique, 2019.
Health Insurance Portability and Accountability Act (HIPAA), 1996.
Loi nº 78-17 « relative à l’informatique, aux fichiers et aux libertés », 6 janvier 1978.
Règlement Général sur la Protection des Données (RGPD), 25 mai 2018.
Site de la Commission Nationale de l’Informatique et des Libertés (CNIL).