Le RGPD appliqué à la recherche médicale

Le Règlement Général sur la Protection des Données a notamment pour but principal de renforcer les droits des internautes européens quant à leurs données personnelles, en responsabilisant les acteurs. Mais qu’en est-il du traitement des données de santé issues de la recherche médicale dans ce nouveau cadre législatif européen ?

Le RGPD contraint désormais les acteurs de la collecte de données personnelles, quels qu’ils soient (organismes, sociétés, associations…), à respecter un ensemble de règles et critères quant à la collecte et au traitement des informations à caractère personnel. À ce sujet, nombreuses sont les interrogations des professionnels de santé, libéraux ou non. Parmi ces questions fondamentales auxquelles la CNIL – autorité en charge de l’application du RGPD en France – se doit de répondre : qu’est-ce qu’une donnée de santé et qu’en est-il des traitements de données personnelles à des fins de recherche médicale ? L’enjeu est de taille, car les données de santé, considérées comme des informations personnelles, sont particulièrement sensibles. Elles font d’ailleurs l’objet d’une protection toute particulière de la part de plusieurs textes tels que le Règlement européen sur la protection des données personnelles (RGPD), la loi Informatique et Libertés, le Code de la santé publique, etc. Des textes qui poursuivent tous un seul but : garantir aux personnes concernées le respect de leur vie privée.

Qu’est-ce qu’une donnée de santé ?

Les données de santé, manipulées quotidiennement par le secteur médical, sont des données à caractère personnel concernant donc la santé physique, ou bien mentale, d’une personne. Ces données peuvent être relatives à la santé passée, présente ou bien future d’un individu, y compris les prestations de soins de santé auxquelles la personne a recours et qui révèlent des informations quant à son état de santé.

• À titre d’exemple, sont considérées comme données à caractère personnel concernant la santé toutes informations relatives à une personne physique collectées en vue de bénéficier d’un soin de santé ou bien lors de la prestation de ce type de services (un numéro ou tout autre symbole permettant d’identifier cette personne physique de manière unique, à des fins médicales).
• Les informations obtenues lors de l’examen ou du test d’une partie du corps sont également considérées comme des données à caractère personnel, de même que les informations obtenues à partir de l’analyse d’échantillons biologiques ou de données génétiques.
• Toute information concernant une maladie ou bien un risque de maladie, comme un handicap, un traitement clinique, des antécédents médicaux ou l’état physiologique d’un individu, quelle que soit la source de cette information (un médecin ou tout autre professionnel de santé, un hôpital, un test de diagnostic in vitro, un dispositif médical, etc).

Les données de santé, dont la définition englobe certaines données de mesure permettant de déduire une information quant à l’état de santé d’une personne, sont donc soumises à l’application du RGPD, au même titre que toute autre information à caractère personnel.

En pratique, l’impact du RGPD sur le secteur de la recherche médicale est donc large. En raison de la nature des informations recueillies, la notion de donnée de santé est donc à apprécier au cas par cas, toutefois cette notion permet de distinguer trois catégories de données personnelles :

• Les données de santé par nature, c’est-à-dire celles qui proviennent d’antécédents médicaux, de prestations de soins réalisés ou bien pour lesquelles un rendez-vous a été pris, de traitements médicaux, d’un handicap, de résultats d’examen, etc.
• Les données de santé qui n’en sont pas au départ, mais qui du fait de leur croisement avec d’autres données personnelles, permettent d’en conclure quant à l’état de santé présent ou futur d’un individu : croisement du poids avec l’apport calorique journalier ou bien les habitudes de santé (fumeur ou non, etc).
• Les données de santé qui le deviennent de par leur destination, c’est-à-dire leur utilisation sur le plan médical.

Les données de santé dans leur globalité sont donc soumises aux exigences du Règlement Général sur la Protection des Données. Il existe toutefois quelques exceptions.

Les exceptions au RGPD en matière de données de santé

Il est important de noter que les seules données de santé qui ne sont pas encadrées par le RGPD sont celles destinées à l’usage exclusif de la personne concernée, comme par exemple les données personnelles récoltées par les applications mobiles de santé, qui dans leurs fonctionnalités proposent à l’internaute la collecte, l’enregistrement et la conservation de données de santé. À condition, toutefois, que ces opérations s’effectuent sans aucune connexion extérieure, de manière locale sur un ordinateur, une tablette ou un smartphone, et ce, à des fins personnelles exclusivement.

Les données de santé qui ne permettent pas de tirer de conclusion quant à l’état de santé de la personne concernée (comme le nombre de kilomètres effectués lors d’une sortie à pieds, sans que cette information soit croisée avec d’autres données) ne sont pas soumises au cadre du RGPD.

Les données de santé particulièrement encadrées

Les données de santé retenues comme telles sont soumises à un régime juridique soutenu, justifié par la sensibilité de ces informations personnelles. En plus du Règlement Général sur la Protection des Données, ces données de santé sont également concernées par différentes législations susceptibles de s’appliquer, au cas par cas :

• La loi Informatique et Libertés (art. 8, chapitre IX) ;
• Les dispositions relatives au secret (art. L. 1110-4 du CSP) ;
• Les dispositions portant sur les référentiels de sécurité et d’interopérabilité des données de santé (art. L. 1110-4-1 du CSP) ;
• Les dispositions touchant à l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;
• Les dispositions portant sur la mise à disposition de ces données de santé (art. L. 1460-1 et s. du CSP) ;
• L’article L. 1111-8 et l’article L 4113-7 du CSP qui interdisent la cession ou l’exploitation commerciale des données de santé, etc.

En conclusion, la notion de données de santé est désormais définie par le RGPD, de manière large. Il incombe donc aux professionnels de santé et aux acteurs de la recherche médicale de les appréhender au cas par cas. D’autant plus que cette notion de données de santé recouvre non seulement l’ensemble des données personnelles collectées et générées dans un parcours de soins, mais également celles détenues par d’autres acteurs du secteur de la santé, tels que les développeurs d’application de santé, entre autres.