Données de santé : l’U.E nous apporte-t-elle un remède miracle ?

 

RGPD_remede_miracle

 

A l’heure actuelle, plus de 15 milliards d’objets connectés sont présents dans le Monde. En 2020 ce nombre devrait passer à 65 milliards. De tels outils sont utilisés tant à des fins ludiques que professionnelles mais ils peuvent aussi avoir des applications médicales ou le plus communément ; participer au bien-être de l’utilisateur.

Le RGPD ayant une vocation protectrice étendue au regard des données personnelles collectées, reste à ce sujet plus que vague.

Données de santé : une définition aux contours flous

Sont considérées comme des « données concernant la santé » au sens de l’article 4, alinéa 15 du RGPD : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Une telle définition n’apporte pas en elle-même les clarifications souhaitées en matière de protectionnisme des données médicales. En effet une acception restreinte laisse à penser que la donnée de santé est limitée aux seules informations récupérées par le corps médical et les soignants. Il n’y a pas ici d’éclairage suffisant au sujet des données issues de la « mesure de soi » du quantified self. L’ensemble des objets connectés de bien-être, devenus monnaie courante fournissent depuis bientôt 10 ans une source quasi-intarissable de données sur l’état général du patient ainsi qu’une vision au long cours de sa forme physique ou de son sommeil pour les utilisateurs les plus assidus.

Une politique restrictive au détriment de la protection des sujets de droit

Ces données sont aujourd’hui soumises au régime commun du droit des données à caractère personnel et ne font pas l’objet d’un encadrement strict comme les données médicales. Force est de constater que le standard de sécurité proposé par le RGPD n’a pas été appliqué dans ce domaine. Il est à noter que le considérant N°35 du Règlement vient corroborer cela en proposant une panoplie d’exemples qui médicalise drastiquement la définition de la donnée de santé en ne laissant que peu de place à l’information récoltée par les outils de wellness (des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Les différentes communications du G29 à ce sujet sont donc restées lettre morte. Ce dernier propose une acception élargie de la donnée de santé en y englobant les données de bien -être. Malgré cela, le niveau de protection souhaitable en matière de gestion et de protection de ces données ne sera pas calqué sur celui de la donnée purement médicale.

Faute de grives on mange des merles

Malgré le manque de considération pour les données de bien-être, le RGPD permettra tout de même d’assurer une protection a minima de par les outils qu’il met en avant. En effet le Privacy by Design / Security by Default, sera ici l’élément essentiel à mettre en œuvre en vue de rendre les objets connectés de contrôle de soi sécuritaires au regard des données qui sont collectées. En effet, nos autorités nationales auront pour charge de vérifier la mise en application de ce nouvel outil. Elles devront au surplus contrôler la transparence des fabricants quant à l’information de ses clients au sujet du traitement, du stockage et de l’utilisation de sa donnée.

En conclusion, il nous faudra donc nous contenter pour le moment de l’arsenal classique de protection des données à caractère personnel en vue de protéger la donnée de bien-être. Il conviendra tout de même d’attendre les premières communications de nos autorités nationales en vue de savoir si le régime renforcé de la protection des données de santé s’appliquera à un tel type de données.


accueil Blog Actu-CIL