Par Stéphane ASTIER et Thomas LAJUDIE
La numérisation de la santé, avec l’apparition de la e-santé, de la m-santé et, dans une certaine mesure, du quantified self, permet une collecte massive de données sur les personnes[1].
Pour preuve, de 73 millions en 2016, le nombre d’appareils de santé connectés devrait passer à 161 millions à l’horizon 2020[2]. Au cours des trois dernières années, plus de 150.000 applications de santé ont été introduites sur les Apple et Google stores. Au rythme actuel, ce sont ainsi près de 200 nouvelles applications de santé qui sont rendues disponibles quotidiennement[3].
Cette collecte à grande échelle de données de santé pourrait apparaître comme une aubaine : mieux comprendre l’être humain, mieux diagnostiquer ses maladies, mieux prévenir leur occurrence etc. Pour autant une telle multiplication des dispositifs de captation d’informations sensibles sur les personnes doit être strictement encadrée[4].
1. Données de santé & recherche scientifique : un régime particulier
Le régime de traitement des données de santé, sensibles par nature, est strictement encadré par une interdiction de principe de leur traitement et des exceptions dont la plus notoire est le consentement explicite[5]. Ce caractère explicite suppose que la personne consente expressément au traitement, par exemple une case à cocher à côté de laquelle est décrite la finalité. Ce consentement se distingue du consentement dit « simple », qui peut résulter du consentement à des conditions générales.
En dehors de cette exception du consentement de la personne, le Règlement Général Européen sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018 prévoit que les données de santé peuvent être traitées lorsque « le traitement est nécessaire (…) à des fins de recherche scientifique ».
La loi Informatique et Libertés restreint cette possibilité en prévoyant que le traitement de données de santé dans le cadre de la recherche publique est soumis à l’avis préalable de la CNIL (rendu dans les deux mois avec possibilité de décision implicite d’autorisation). A contrario, cet avis préalable n’est pas rendu nécessaire dans le cadre de la recherche privée.
2. Une finalité spécifique à fixer lors du paramétrage du traitement
Le RGPD prend en compte la difficulté de définir précisément la finalité de recherche médicale. Ainsi, il est énoncé au considérant 33 que « souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données ». Le considérant 159 ajoute que « le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large ».
Cela ne constitue pas un blanc-seing à la réalisation de toute recherche sur la seule finalité de « recherche scientifique ». Néanm
oins, un responsable de traitement peut interpréter largement la recherche sur laquelle porte l’étude des données personnelles concernées, quitte à préciser par la suite le sujet de la recherche.
En outre, les données à caractère personnel peuvent bénéficier d’une seconde vie dans la recherche scientifique, l’article 5.1.a. RGPD disposant que le traitement ultérieur de données personnelles dans un but de recherche scientifique n’est pas incompatible avec toute finalité initiale.
3. Une durée de conservation étendue
Par cela, les données traitées dans le cadre d’une application e-santé peuvent bénéficier à la recherche sans que cette finalité soit prévue lors de la collecte initiale.
Une dérogation importante concerne la conservation des données. Celle-ci peut être étendue au-delà de la réalisation de la finalité pour laquelle les données sont traitées à la condition qu’elles soient exclusivement traitées à des fins de recherche scientifique.
Ainsi, les données peuvent être conservées après la conclusion et la publication de la recherche scientifique correspondante. Elles pourraient même être utilisées pour de nouvelles recherches scientifiques considérant que cette finalité ultérieure est de facto compatible.
4. Une information des personnes tenant compte des contraintes
Le RGPD permet, dans une certaine mesure, de déroger à l’obligation d’information des personnes sur l’existence et les détails du traitement.
Ceci est explicitement mentionné à l’article 14.5.b. RGPD qui exonère le responsable de traitement de son obligation si « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier (…) à des fins de recherche scientifique ».
On peut ainsi imaginer qu'un laboratoire collectant les seuls résultats d’un examen particulier afin d’étudier la prévalence d’une maladie au sein d’une cohorte ne disposera pas des informations permettant de contacter les personnes concernées si ces éléments ne figurent pas directement sur les résultats desdits examens. Dans cette hypothèse, les efforts à fournir afin de contacter l’ensemble des personnes apparaît disproportionné.
Enfin, si le responsable du traitement dispose des données nécessaires afin d’informer les personnes, il doit y procéder conformément à l’article 14 RGPD. L’information des personnes devra aussi intervenir si la finalité de la recherche en question est modifiée de façon substantielle. Afin de déterminer le caractère substantiel de la modification, la CNIL a mis à disposition un tableau fournissant de précieux exemples[6].
5. Des garanties de sécurité impératives
Le responsable du traitement se doit, en toutes hypothèses, de justifier de garanties appropriées pour assurer la protection des droits et libertés des personnes.
Ces mesures organisationnelles et techniques seront déterminantes, dans une logique d’accountability[7] pour justifier de la conformité du traitement. Formaliser et déployer un « référentiel sécurité »[8] adapté sera ici déterminant. Charte « Utilisateurs », Charte « Administrateurs », Politique d’habilitation et de mots de passe, Politique de gestion des incidents[9], respect des recommandations de l’ASIP SANTE dans son référentiel PGSSI-S[10], etc. sont autant d’aspects à prendre en compte pour justifier de mesures conformes.
Parmi ces mesures, les dispositifs d’anonymisation (processus irréversible) et de pseudonymisation des données personnelles seront à prioriser au sein d’une politique globale associée au référentiel sécurité précité.
6. Un régime assoupli pour l’exercice des Droits des personnes
Le RGPD a laissé à l’appréciation des Etats-membres la possibilité de restreindre les droits d’accès et de rectification des données, ainsi que les droits de limitation et d’opposition à leur traitement dans le cadre de la finalité de recherche scientifique.
Le décret d’application de la loi Informatique et Libertés a opté pour une restriction de ces droits dans la seule mesure où « l’exercice par une personne de ses droits d’accès, de rectification ou de limitation entravera sérieusement ou rendra impossible la conduite d’une recherche. » Or, les recherches sont souvent conduites sur la base d’une quantité importante de données, et donc de personnes. L’opposition d’une personne au traitement de ses données ne devrait ainsi pas avoir un impact sérieux. En toutes hypothèses, l’opposition peut être refusée si le traitement est nécessaire à l’exécution d’une mission d’intérêt public.
Quant au droit à l’effacement (ou droit à l’oubli), le RGPD dispose clairement à l’article 17.3.d. qu’il ne peut être appliqué par la personne concernée dans le cadre d’un traitement à finalité de recherche scientifique.
7. Des outils méthodologiques à prendre à compte
Afin de fournir une aide aux chercheurs, la CNIL a publié quatre Méthodologies de référence qui décrivent les conditions dans lesquelles certains traitements à fins de recherche doivent être entrepris :
- MR-001 : Recherches dans le domaine de la santé avec recueil du consentement ;
- MR-002 : Études non interventionnelles de performances concernant les dispositifs médicaux de diagnostic in vitro ;
- MR-003 : Recherches dans le domaine de la santé sans recueil du consentement ;
- MR-004 : Recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé.
***
La facilitation de l’utilisation de données à caractère personnel à des fins de recherches scientifiques est une opportunité considérable pour l’ensemble des acteurs de la e-santé. Le traitement des données peut notamment permettre une optimisation des dispositifs proposés et, à terme, un accroissement significatif des parts de marché des acteurs y recourant.
Le Cabinet Haas Avocat accompagne les acteurs de la e-santé en leur fournissant un éclairage pragmatique sur les règles applicables.
Vous voulez en savoir plus sur nos prestations dédiées à l’e-santé ? Cliquez ICI
[1] Cf. https://www.haas-avocats.com/data/developpement-dispositifs-dapps-sante-les-bonnes-pratiques-adopter/
[2] Cf. https://www.grandviewresearch.com/industry-analysis/internet-of-things-iot-healthcare-market
[3] Cf. https://www.iqvia.com/-/media/iqvia/pdfs/institute-reports/the-growing-value-of-digital-health.pdf?_=1543414590650
[4] Cf. https://www.haas-avocats.com/actualite-juridique/le-secret-medical/
[5] Cf. https://www.haas-avocats.com/ecommerce/cles-pour-reussir-votre-projet-e-sante/
[6] Cf. https://www.cnil.fr/fr/modification-dun-traitement-de-donnees-ayant-pour-finalite-une-recherche-une-etude-ou-une-evaluation
[7] Responsabilisation des personnes impliquant une logique de documentation desdites mesures
[8] Cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
[9] Cf. https://www.haas-avocats.com/data/e-sante-mecanismes-protection-lintegrite-des-donnees-stockees/
[10] Cf. https://www.haas-avocats.com/data/lasip-sante-met-jour-son-referentiel-securite-pgssi-s/