La protection des données personnelles médicales

A l’ère du numérique et de la crise sanitaire, la protection des données personnelles médicales trouve une importance toute particulière.

I – INTRODUCTION : DÉFINITIONS et ENJEUX

Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable »1(par ex : nom, revenus, activités personnelles et professionnelles, etc.).

Certaines d’entre elles sont sensibles et ne peuvent être exploitées qu’avec le consentement de la personne concernée.

Parmi les informations sensibles, l’on a les données médicales (relatives à l’état de santé d’une personne). L’on retrouve ce type de données, sur les rapports d’expertise, les prescriptions médicales, les certificats médicaux (d’où la transmission, pour un arrêt maladie, du volet dépourvu de données médicales à l’employeur).

L’on perçoit tout de suite la difficulté : comment assurer la sécurité des données médicales sachant qu’elles sont partout et toujours plus sensibles ? Comment donc contrôler et maîtriser ce flux des données médicales à l’heure du numérique ? A l’heure de la crise sanitaire actuelle ?

Le dispositif actuel visant à assurer la protection des données médicales n’est en effet pas sans faille. A titre d’exemple, le QR code du passe sanitaire2 d’Emmanuel Macron a été piraté et publié sur internet le 21 septembre 2021, à la suite « d’une négligence ou d’une malveillance des professionnels de santé »3.

Outre l’émoi suscité par la mise en place d’un tel système d’identification par QR code, et pour ne parler que de sécurité des données, cet incident laisse perplexe. La « guerre » 4 serait-elle perdue d’avance ? En effet, personne ne peut aujourd’hui certifier de la maîtrise des données dans un monde numérique en perpétuelle mutation.

Pourtant, les gardes fous ne manquent pas.

II – LES MOYENS

1er moyen : le dispositif légal général

  • Une mesure d’ordre public : le secret médical : les données médicales sont protégées par le secret médical qui s’applique à tous, et les personnes qui les traitent sont tenues au secret professionnel (toute violation est passible « de 1 an de prison et 15 000€ d’amende », et d’une interdiction d’exercer sa profession pendant 5 ans)5.
  • Le règlement général de protection des données personnelles (dit RGPD) de 2018 : poursuivant les buts fixés par la Loi française Informatique et Libertés de 1978, le RGPD « s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d’activité et sa taille »6. La CNIL (commission créée en 1978) donne des recommandations pour bien appliquer le RGPD.
  • Convention AERAS de 2019 (s’Assurer et Emprunter avec un Risque Aggravé de Santé) : « Dans la plupart des cas, il est nécessaire de souscrire une assurance emprunteur pour garantir un prêt immobilier ou professionnel. Pour aider les personnes dont l’état de santé ne permet pas d’obtenir une couverture d’assurance standard, les pouvoirs publics, les fédérations professionnelles du secteur et les associations de malades et de consommateurs ont signé la convention AERAS »7. Ici, un brillant exemple d’une belle initiative publique : les données médicales restent sécurisées par le secret médical qui ne fait pas obstacle à la possibilité désormais offerte aux personnes à « risque » (au niveau médical) de s’assurer ou d’emprunter !
  • Dossier médical : personnel (chacun en a un), accessible (transparence) et sécurisé : en effet, inutile de rappeler l’objectif affiché de protéger les données personnelles médicales (à ne pas confondre avec le dossier médical partagé ou le dossier pharmaceutique8 dont l’objectif est le partage des informations médicales) – notez que la consultation du dossier médical est un droit et que ce même dossier est conservé 20 ans !

2ème moyen : le dispositif légal de proximité

  • Le Délégué à la protection des données (dit DPO) a été instauré par la loi informatique et liberté : celui-ci doit être désigné par toute entreprise qui traite des données personnelles.
  • Le médecin conseil (dit aussi médecin référent depuis un arrêt de la cour de cassation de 2009 : le médecin « se porte garant du respect du secret des données médicales »9. Sa désignation permet l’échange des pièces médicales entre les parties à un procès notamment et ce, dans le but de préserver le principe du contradictoire.

EN CONCLUSION

L’on peut reconnaître la multiplicité des moyens œuvrant à la protection des données personnelles médicales mais l’on a trop souvent tendance à constater le manque de réactivité du cadre légal vis-à-vis des avancées du numérique.

Exemple parlant s’il en est de la garantie légale de conformité qui est enfin appliquée aux contenus et services numériques : en effet, après tout, internet est un bien de consommation comme un autre (comme une voiture qu’on utilise tous les jours et qu’on trouve indispensable). Il était donc logique de voir émerger l’ordonnance du 29 septembre 2021 (Ord. n° 2021-1247 du 29 sept. 2021, relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques) dans « un souci de modernisation du cadre juridique de la protection des consommateurs (ndlr : d’internet !) »10.

Cette lenteur à s’adapter semble curieusement avoir changé de camp et c’est désormais la loi qui donne le tempo et le numérique qui suit.

En effet, l’on connaissait déjà les consultations à distance (dite aussi : télémédecine) où la loi était à la traine devant le numérique ; l’on connait aujourd’hui le QR code appliqué à la médecine en ce qu’il nous identifie en tant que vacciné. Innovation majeure en médecine où un code-barres serait sur le point de remplacer l’expression même de « données personnelles médicales » !

Sujet hautement sensible et actuel11 qui s’inscrit lui-même dans la mise en place automatique (le 3 février 202212) de votre « espace de santé » qui se substitue au dossier médical !
La question qu’on n’ose se poser car elle fait froid dans le dos : l’automatisation (par définition « s’effectuant sans l’intervention humaine »13) des nouveaux dispositifs de récolte et de sécurisation des données personnelles médicales serait-elle sur le point de redéfinir la notion même de consentement ? 

Charles HANQUIER est juriste privatiste spécialisé en droit de la santé. Après 5 années d’expérience dans divers services juridiques (Lexis Nexis, Baker & McKenzie, Dechert LLP, …), il travaille actuellement chez AVIVA assurances.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.