RGPD et e-santé
Les objets connectés sont emblématiques de cette multiplication des sources de collecte de la donnée de santé et posent avec encore plus d’acuité la question du respect du consentement de l’individu dans le partage de ses données. Comment le consentement sur la finalité de l’exploitation de ses données de santé, est-il respecté par les différents responsables de traitement ? En d’autres termes, comment peut-on utiliser les outils du RGPD pour redonner à l’individu la maîtrise de l’utilisation de ses données de santé collectées par des objets connectés ?
La M-santé ou santé mobile, terme apparu en 2005 sous la signature du Professeur Robert Istepanian, universitaire londonien, pour désigner « l’utilisation des communications mobiles émergentes en santé publique », regroupe en 2019, les objets connectés et applications de bien-être utilisables via un réseau mobile : smartphone, tablettes numériques. Elle est une composante de la Télésanté, qui elle-même relève de ce qu’on appelle la santé connectée (e-santé), c’est-à-dire l’application des technologies d’information et de communication à l’ensemble des activités en rapport avec la Santé. Cette dernière gère l’information et les données de santé. Elle est considérée comme une science de la mesure alors que la médecine est « l’art de guérir » régie par le serment d’Hippocrate.
Avec l’explosion des objets connectés dans le domaine de la santé, et la « médicalisation » des appareils connectés, ou en tout cas la revendication d’un bénéfice sanitaire, la frontière entre les objets utilisés dans le domaine du bien-être, dans celui de la santé d’une part, et, les dispositifs médicaux réglementés[1], dont la mise sur le marché est subordonnée à un marquage CE préalable qui est sous la responsabilité du fabricant, d’autre part, se brouille.
Les informations collectées par ces objets connectés revêtent un intérêt non seulement pour les professionnels de la santé, mais pour les banques, les assurances, et les data brokers (courtiers en données) en raison de leur richesse informationnelle résultant notamment de leur caractère intrusif. Il existe donc un risque réel de déviance compte tenu de l’importance de l’accès à ces données, par différents acteurs économiques, puissants et organisés.
Tous les objets connectés n’ont pas vocation à rentrer dans les processus de soins. Cependant, compte tenu de la sensibilité des données collectées, il apparaît nécessaire d’appliquer à tous les objets connectés, une obligation d’information claire et loyale et détaillée sur les conditions d’emplois, pour permettre aux utilisateurs de donner un consentement éclairé.
Ces objets connectés collectent des données de santé, considérées comme des données sensibles par le RGPD[2] et dès lors soumises à un régime d’interdiction générale de collecte sauf exception. Elles sont réglementées en France, par la loi informatique et liberté modifiée, par le code de la santé publique, par des lois spécifiques[3]. Le RGPD se superpose aux règles spécifiques régissant les droits du patient dans le contexte de la relation thérapeutique et dans ses relations avec l’équipe de soin. Il va offrir des moyens complémentaires pour préserver ses droits. C’est dans cette logique d’exploitation du RGPD, pour protéger le consentement du patient et de manière plus générale, tout utilisateur d’objet connecté, réglementé ou non, qu’il convient de réfléchir au moyen le plus approprié pour favoriser le partage des données de santé dans le respect du consentement de l’utilisateur pour instaurer un climat de confiance, une éthique dans la m-santé.
Le RGPD a introduit la privacy by design[4] (art.25§1), méthodologie popularisée au Canada à la fin des années quatre-vingt-dix par A Cavoukian, consistant à intégrer la protection des données personnelles dès la conception des outils de collecte, de traitement et d’exploitation des données en préconisant une approche proactive du responsable de traitement afin de prévenir des risques. Cette approche s’inscrit dans la philosophie de l’adage « code is law » théorisé par L Lessig[5], selon lequel le net est régulé par celui qui écrit le code. Le recours PETs (« privacy-enhancing-technologies »)[6] permet de faire respecter notamment le consentement, en introduisant dans le code informatique, les conditions qui doivent être satisfaites pour autoriser le transfert de données vers un responsable de traitement déterminé. Ces technologies reposent sur le mécanisme des smart contracts, fonctionnant comme toute instruction conditionnelle de type « if-then », si telle condition est vérifiée, alors telle conséquence s’exécute. Le RGPD n’impose pas au fabriquant d’objet connecté de respect le principe de privacy by design, seul l’exploitant en tant que collecteur de données et donc responsable de traitement est soumis à cette obligation. Par cette approche technico-légale mise en œuvre au niveau de la conception, le code n’est plus la loi, mais c’est la loi qui devient le code, dès lors que cette dernière est incorporée au code informatique.
L’autre question est de savoir qui devra mettre en œuvre cette approche ex ante ? En principe, tout responsable de traitement est soumis à l’obligation de privacy by design. Cependant, la mise en œuvre de cette obligation est liée à l’approche par les risques. En effet, l’article 25 §1 du RGPD, conditionne la mise en œuvre de mesures techniques et organisationnelles dès la conception à la prise en compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement pour les droits et les libertés des personnes physiques ». Cette évaluation de la gravité et de la proportionnalité des risques pour les droits et libertés des utilisateurs d’objets connectés repose sur le responsable de traitement. Dès lors, en confiant à l’exploitant de l’objet connecté le pouvoir d’adopter ou non des mesures pour faire respecter le consentement de l’utilisateur sur les réutilisations des données de santé, il existe une incertitude sur la mise en œuvre effective de la privacy by design.
L’option la plus adaptée pour réduire les risques de contournement de cette approche ex ante et garantir l’effectivité de sa mise en oeuvre, pourrait être le recours à ce nouvel acteur, intermédiaire qui gère les informations personnelles des utilisateurs (Personal Information Management Systems, PIMS), selon les principes du RGPD. Il permet aux utilisateurs d’objets connectés de reprendre le contrôle de leurs données à caractère personnel, par le recours aux technologies introduisant les principes du RGPD dans le code. Dès lors, le consentement éclairé permettra de transférer les données de santé vers les responsables de traitements récipiendaires autorisés par l’utilisateur, son retrait entraînera une interruption automatique du flux.
L’introduction de ce nouvel acteur dans le partage des données de santé, collectées par les objets connectés, pourraient se révéler une option pour garantir le respect du consentement de l’utilisateur dans l’exploitation de ses données de santé et réconcilier l’objectif d’empowerment de l’individu sur ses données garanti par le RGPD et la nécessité de faire circuler la donnée de santé pour améliorer la recherche médicale et les soins personnalisés.
L’intégration de ce nouvel acteur dans l’écosystème de la donnée de santé collectée par tout objet connecté est une piste à exploiter pour garantir l’effectivité du consentement du patient, de l’utilisateur d’objets connectés, et d’imposer le respect de l’éthique pour créer un environnement de confiance nécessaire au développement de la santé connecté. Cependant, cette intégration ne pourra être effective que si elle est imposée par les acteurs du corps médical à tous les acteurs de la santé connectée[7].Avocat à la Cour
Eléonore Scaramozzino
Avocat à la Cour- E-SCARA LEGAL AVOCAT, Constellation Partenaires
http://www.constellation.avocats
Constellation partenaires
[1] Règlement (UE) 2017/745 du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n° 178/2002 et le règlement (CE) n° 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE.
[2] Règlement Général sur la Protection des données personnelles, Règlement (UE) n°2016/679,
[3] Dont notamment, Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, dite la loi Kouchner, Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, créant le système National des Données de Santé (SNDS)
[4] DEBET (A) : « Les nouveaux instruments de conformité », Dalloz IP/IT, 2016 592
[5] LESSIG (L.): Code is law, On liberty in cyberspace, Harvard magazine, jan.-fév. 2000, adresse : http://harvardmagazine.com/2000/01/code-is-law-html. Pour une traduction française de l’article, v. http://www.framablog.org/index.php/post/2010/05/22/code-is-law-lessig
[6] Debet (A), Massot (J) et Metallinos (N), Informatique et libertés. La protection des données à caractère personnel en droit français et européen, Lextenso, coll. Les intégrales, 2015, spéc. nos 55, CE : Etude annuelle 2014, le numérique et les droits fondamentaux, Ed. La documentation française, 2014, spéc. p. 179
[7] Avis 9/2016, avis du CEPD sur les systèmes de gestion des informations personnelles, vers une plus grande autonomie des utilisateurs dans la gestion et le traitement des données à caractère personnel, 20 octobre 2016. 5�’&
A reblogué ceci sur E-SCARA LEGAL.