Cinq ans après le RGPD, quelles protections pour les données de santé ? 

Selon la définition du RGPD, une donnée de santé est une donnée qui permet d'obtenir une information sur la santé physique ou mentale d'une personne. Les données personnelles de santé comprennent à la fois les informations relatives aux remboursements et à la consommation de soins, ainsi que l'ensemble des données cliniques du patient (tests, examens…). Le cadre juridique distingue trois catégories de données de santé : 

- Les données de santé par nature recueillies dans le cadre du soin ; 

- Les données, qui, croisées avec d'autres données deviennent des données de santé car elles permettent de tirer une conclusion sur l'état de santé d'une personne (par exemple en croisant des informations sur le poids et sur le nombre de pas ou l'apport calorique) ; 

- Les données qui deviennent des données de santé par leur destination (par exemple le fait qu’une personne soit en arrêt maladie). 

Le caractère très personnel de ces données pose la question des risques d’usage malveillant. En effet, partagées auprès des mauvaises personnes, ces données pourraient porter préjudice à l’usager, car dévoilant des informations personnelles. À titre d’exemple, si ces données se retrouvent en la possession d’un futur employeur, d’assureurs ou de banquiers, un individu pourrait être discriminé sur la base des informations relatives à sa santé. 

Au regard de la sensibilité de ces données, un cadre juridique particulier s'applique afin de protéger les droits des personnes concernées. À ce titre, les réglementations européenne et française se complètent. Au niveau européen, le Règlement Général de Protection des Données (RGPD) est en vigueur depuis le 25 mai 2018. Il a vocation à s’appliquer à l’ensemble des pays européens, mais chaque État membre garde une marge de manœuvre sur l’application de certains articles. Ainsi, des formalités spécifiques peuvent être mises en place par les États membres concernant les données sensibles et/ou stratégiques (défense, intérieur etc.). 

Avant la mise en place du RGDP, la France disposait déjà d’un cadre très protecteur sur les données personnelles de santé. On peut notamment citer la loi Informatique et Libertés du 6 janvier 1978, qui, dans sa version modifiée de 2019 reprend des éléments du RGPD: à titre d’exemple, elle conserve le régime des autorisations dans le domaine de la recherche en santé mais propose des méthodologies de référence pour alléger certaines formalités pour les organisations. Le code de santé publique contient d’autres textes permettant de réglementer ces données, en particulier la loi Kouchner, relative aux droits des malades et à la qualité du système de santé de 2002, qui prévoit des éléments relatifs au droit d’accès des malades à leur dossier médical. On peut citer également le code des actions sociales et des familles ou encore des textes extraordinaires, comme celui pris lors de la crise du Covid-19, qui a permis la création du système national de dépistage SI-DEP. 

En plus de ce cadre déjà protecteur, d’autres textes sont en cours d’élaboration. Au niveau européen, le Data Act pour "l’accès, le partage et la réutilisation responsables" des données a pour objectif de maximiser la valeur des données et permettre une utilisation plus importante, tout en garantissant leur sécurité et le contrôle des parties prenantes sur leurs données. Les textes relatifs à l'European Health Data Space sont également en cours d’élaboration. Ce projet devrait permettre d'accélérer l’utilisation secondaire des données de santé pour la recherche. L’objectif est également de mettre en place un dispositif fiable et sécurisé dans lequel les différents pays européens pourront travailler avec les données de plusieurs pays. Ces textes seront publiés prochainement. 

La majorité des Français craignent en effet de partager leurs données de santé. Ce phénomène s'explique par une méconnaissance du cadre juridique et par une crainte liée à la sensibilité de ces données. 

Il convient de rappeler que les données de santé, pour être utilisées, doivent avoir une finalité de traitement, c'est-à-dire qu'elles doivent être traitées dans un but déterminé et légitime. Dans les structures de soins, les données sont traitées pour diagnostiquer les patients et les prendre en charge. Les patients consentent à la prise en charge, ce qui implique légitimement le recueil et le traitement des données nécessaires les concernant pour cette finalité précise: c'est ce qu'on appelle l'utilisation primaire des données de santé.

Les données de santé peuvent également être utilisées de manière secondaire, pour la recherche médicale et l'innovation, à des fins d'intérêt public. En effet, le croisement d'un grand nombre de données offre des perspectives considérables pour les avancées médicales. Dans le cadre de projets de recherche, toutes les informations qui pourraient permettre d'identifier de manière directe une personne sont supprimées. Les données de santé, pour intégrer les bases de données à des fins de recherche, sont ainsi pseudonymisées ou anonymisées. 

La donnée pseudonymisée est une donnée où tous les identifiants personnels directs de la personne (nom, prénom, date de naissance) sont retirés et remplacés par un identifiant (une suite de caractères alphanumériques par exemple). Le traitement est réalisé de manière à ce qu'on ne puisse plus identifier la personne, sans avoir d'informations supplémentaires. La réidentification de la personne est possible grâce à la conservation d'une table de correspondance, qui rapproche l’identité de la personne à son identifiant dans la base de données. La donnée de santé anonyme consiste à supprimer l'ensemble des caractères d'identification de la personne ou d'une pathologie. À l'inverse de la pseudonymisation, l'anonymisation est une action irréversible. C'est un processus très complexe qui est, dans les faits et selon une étude de Nature, presque impossible à réaliser. En effet, pour une personne atteinte d'une maladie rare, il semble très difficile de supprimer tout ce qui peut identifier cette personne, surtout si on ne compte que quelques dizaines de cas de cette maladie. 

Dans le cadre d’utilisation de données pseudonymisées, le patient doit consentir ou être informé de l’utilisation de ces données. Pour une information au patient, deux voies distinctes peuvent être identifiées: l'opt-in et l’opt-out. Dans le cas de l’opt-in, si le patient n’a pas consenti explicitement à la réutilisation de ces données, les données ne peuvent pas être utilisées. En revanche pour l’opt-out, si le patient ne s’oppose pas de manière explicite à la réutilisation de ses données, elles peuvent être utilisées : en France, c'est principalement l'opt-out qui s’applique pour l'information patient. À titre d'exemple, lors de la création d'un entrepôt de données de santé dans le cadre de l'application du référentiel ou sur autorisation de la CNIL, les patients sont informés du transfert de leurs données au sein de l'entrepôt : sans opposition explicite du patient, les données peuvent intégrer l'entrepôt. La personne conserve bien entendu le droit de s'opposer à tout moment et de demander le retrait de ses données de l'entrepôt. 

Ce cadre juridique très protecteur demeure encore trop peu connu des professionnels de santé et des citoyens ce qui freine sa bonne application et l'avancée des projets de recherche. Les données de santé ont été mises en avant depuis la crise du Covid-19, sans sensibiliser les citoyens à leur potentiel et aux protections existantes. Un sondage récent de l'UFC Que Choisir a d’ailleurs montré que 66 % des Français s'opposent à ce que leurs données soient partagées au niveau européen. 

Une éducation aux données de santé est ainsi nécessaire, à la fois pour les soignants et pour les citoyens. Les professionnels de santé ont un rôle important à jouer auprès des patients pour entretenir leur confiance et leur expliquer l'utilisation qui pourrait être faite de leurs données. Le renforcement de la confiance des Français appelle également une meilleure application de la réglementation en vigueur. Aujourd'hui, elle n’est pas toujours suffisamment respectée car mal comprise par les professionnels, qui ne disposent pas des bons outils pour la faire appliquer. Pour y remédier, il faudrait mettre en avant les "bon élèves" et s’appuyer sur des outils innovants pour faciliter les processus. 

L'European Health Data Space (EHDS), ou Espace européen des données de santé, vise à encadrer l'utilisation des données de santé au sein de l'Union européenne. L'EHDS a pour objectif de permettre aux citoyens d'accéder, de contrôler et de transmettre leurs données de santé aux professionnels de santé des États membres (usage primaire). 

Ce nouvel espace a également pour objectif d'offrir un cadre juridique européen commun sur l'utilisation de la donnée de santé dans la recherche, l'innovation ou les politiques publiques. L'EHDS a en effet pour ambition de créer une plateforme commune regroupant les données de santé des citoyens européens : cet espace constitue une opportunité unique pour les chercheurs de travailler sur des masses de données importantes et ainsi "libérer tout le potentiel des données de santé". L'accès à cet espace sera bien entendu réglementé et conditionné à des finalités de traitement d’intérêt public. 

Le 3 mai 2022, la Commission européenne a publié une proposition de loi détaillant les modalités de fonctionnement de cet espace. Il est à noter que cette proposition entre en contradiction avec le RGPD en introduisant une dérogation à l'information des citoyens sur l'utilisation de leurs données de santé. Ce texte pose encore de nombreuses questions, notamment en termes de sécurité et de souveraineté des données. Une plateforme sécurisée sera mise en place, mais concentrer les données des citoyens européens au même endroit, rendra cette infrastructure particulièrement vulnérable aux cyberattaques. Il convient ainsi de définir les modalités de sécurité acceptables pour nos citoyens et de maintenir le droit des personnes à l'information avant le lancement de cet espace. 

Il semble nécessaire de déployer un écosystème qui inclut davantage les usagers dans l’utilisation de leurs données de santé. Les citoyens seront amenés de plus en plus à partager leurs données de santé et à avoir une existence numérique autour de leurs problématiques de santé. À l'image de la démocratie sanitaire, il convient de définir une démocratie numérique qui inclut les citoyens dans l'écosystème de la donnée de santé pour participer au respect de leurs droits. À titre d'exemple, des représentants des usagers sont déjà associés à la gouvernance des entrepôts des données de santé. 

Il y a en outre de plus en plus de technologies (intelligence artificielle, blockchain) qui vont permettre de faciliter l'information des usagers. Ces outils facilitent la transparence et l'information au patient et permettent d'entretenir la confiance des patients, puisqu'ils savent qu'ils ont la possibilité de retirer leur consentement à tout moment. À titre d’exemple, la solution isalid, grâce à la blockchain, informe, recueille et trace le consentement des patients de manière automatique et individuelle. Elle offre également une plateforme pour permettre au patient de retirer son consentement au traitement des données s'il le souhaite. Pour finir, des technologies de décentralisation de la donnée doivent être développées afin de réduire drastiquement les conséquences des cyberattaques. 

Copyright Image : Mart Production / PEXELS