Nos données médicales sont-elles bien protégées ? (Photo d'illustration Adobe Stock)
Selon Medappcare, société spécialisée dans la certification des applications mobiles santé, rachetée par le groupe Dekra en mai 2020, les applications mobiles de santé seraient au nombre de 325 000 aujourd'hui dans le monde contre 17 000 en 2012. 70% d'entre elles concernent le bien-être et 30% la santé. Les montants des deals dans le secteur peuvent vite s'envoler : l'assurtech Alan a racheté l'application américaine de développement personnel Jour pour environ 20 millions de dollars (environ 17 millions d'euros).
« Cette rencontre entre l'individualisme et le bien commun est au cœur du vif débat des données de santé, qui ont par ailleurs fait l'objet de recommandations, notamment de la part de la Haute autorité de santé (HAS) qui a élaboré un référentiel de bonnes pratiques sur les applications et les objets connectés en santé (Mobile Health ou mHealth) à l'attention des éditeurs et évaluateurs, en coopération avec la Commission nationale de l'informatique et des libertés (CNIL) et l'Agence nationale de la sécurité des systèmes d'information (ANSI) » déclare Delphine Jaafar Avocate associée du cabinet Vatier en charge de la pratique santé.
« Cette rencontre entre l'individualisme et le bien commun est au cœur du vif débat des données de santé, qui ont par ailleurs fait l'objet de recommandations, notamment de la part de la Haute autorité de santé (HAS) qui a élaboré un référentiel de bonnes pratiques sur les applications et les objets connectés en santé (Mobile Health ou mHealth) à l'attention des éditeurs et évaluateurs, en coopération avec la Commission nationale de l'informatique et des libertés (CNIL) et l'Agence nationale de la sécurité des systèmes d'information (ANSI) » déclare Delphine Jaafar Avocate associée du cabinet Vatier en charge de la pratique santé.
Le RGPD, facteur de blocage ?
D'abord, les données de santé sont personnelles. L'Europe classe les données de santé parmi les données personnelles dites « sensibles ». D'après le Règlement européen de protection des données (RGPD), elles comprennent l'ensemble des données à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. Par cette large définition, l'Europe a fait le choix de protéger ces informations, tout en y instituant le principe d'interdiction générale de traitement et de collecte des données personnelles.
Mais les données personnelles relatives à la santé deviennent aussi - par leur mise en commun - les composantes d'un réseau d'informations utile à l'intérêt général. Ce réseau constituerait un bien « commun » relevant d'une protection collective de la vie privée. Dans cette approche, le consentement individuel, une des bases juridiques possibles du traitement des données personnelles relatives à la santé, pourrait ne plus être nécessaire, s'il existe une forte probabilité que le traitement contribue à améliorer la santé de la personne et au-delà celle de la collectivité (principe de réciprocité), et lorsque le risque de nuisance est faible (principe de proportionnalité).
Mais les données personnelles relatives à la santé deviennent aussi - par leur mise en commun - les composantes d'un réseau d'informations utile à l'intérêt général. Ce réseau constituerait un bien « commun » relevant d'une protection collective de la vie privée. Dans cette approche, le consentement individuel, une des bases juridiques possibles du traitement des données personnelles relatives à la santé, pourrait ne plus être nécessaire, s'il existe une forte probabilité que le traitement contribue à améliorer la santé de la personne et au-delà celle de la collectivité (principe de réciprocité), et lorsque le risque de nuisance est faible (principe de proportionnalité).
Le caractère équivoque du consentement
Si en l'état le traitement des données de santé peut rendre méfiants les patients, ces derniers sont en revanche susceptible de lui accorder une confiance démesurée dès lors que la médecine algorithmique, qui s'appuie sur des données massives, aura prouvé son efficacité en termes de qualité des soins et de réduction d'erreurs de diagnostic. En 2019, 80 % des entreprises de santé digitale et 71% des sociétés de diagnostic déclaraient avoir utilisé l'intelligence artificielle et le big data dans leurs activités (France Biotech). La réalité du consentement du patient et l'effectivité de son choix risquent ainsi d'être amoindries (1). Le consentement libre et éclairé, sur lequel repose le choix de la thérapeutique et la garantie de sa mise en œuvre, serait ainsi automatiquement donné aux propositions de décisions fournies par le / les traitements des données de santé.
Pourtant, la réussite d'une thérapeutique dépend en partie de son acceptation par le patient eu égard à ses préférences ou aux nombreux aspects psychiques engagés, paramètres dont il est craint qu'ils ne soient pas ou mal intégrés dans le traitement des données de santé. Le Conseil d'État relevait à cet égard que ces derniers ne sont pas infaillibles. La médecine algorithmique ne doit donc pas « donner au patient l'illusion que le regroupement de grandes masses de données permet, à lui seul, d'aboutir à des diagnostics et des propositions de thérapie plus pertinents que les prescriptions d'un médecin » (2).
Dans la perspective du futur espace européen des données de santé (EHDS), qui est à l'agenda de la présidence française de l'Union européenne, une réflexion autour d'une protection collective, et pas seulement individuelle, des données de santé et de leur traitement semble nécessaire et cela implique une nouvelle approche de la notion du consentement.
Pourtant, la réussite d'une thérapeutique dépend en partie de son acceptation par le patient eu égard à ses préférences ou aux nombreux aspects psychiques engagés, paramètres dont il est craint qu'ils ne soient pas ou mal intégrés dans le traitement des données de santé. Le Conseil d'État relevait à cet égard que ces derniers ne sont pas infaillibles. La médecine algorithmique ne doit donc pas « donner au patient l'illusion que le regroupement de grandes masses de données permet, à lui seul, d'aboutir à des diagnostics et des propositions de thérapie plus pertinents que les prescriptions d'un médecin » (2).
Dans la perspective du futur espace européen des données de santé (EHDS), qui est à l'agenda de la présidence française de l'Union européenne, une réflexion autour d'une protection collective, et pas seulement individuelle, des données de santé et de leur traitement semble nécessaire et cela implique une nouvelle approche de la notion du consentement.
Delphine JAAFAR, avocate associée du cabinet Vatier
(1) Rapport du CCNE et de la CERNA, « Numérique & santé, quels enjeux éthiques pour quelles régulations ? », 19 novembre 2018
(2) Rapport du Conseil d'État « Révision de la loi bioéthique : quelles options pour demain ? », 28 juin 2018
(1) Rapport du CCNE et de la CERNA, « Numérique & santé, quels enjeux éthiques pour quelles régulations ? », 19 novembre 2018
(2) Rapport du Conseil d'État « Révision de la loi bioéthique : quelles options pour demain ? », 28 juin 2018