Les développements de la technologie mobile et la popularité des appareils et applications d’auto-mesure permettant aux personnes d’enregistrer toutes sortes de données, ont fait naître des réflexions sur le besoin de protéger ces données dès lors qu’il s’agit de « données de santé ».
En réponse à une demande de la Commission européenne, le G29[1] vient de lui adresser une lettre où il clarifie les cas dans lesquels des données collectées par des appareils et applications concernant le mode de vie et le bien-être[2] doivent être considérées comme des données de santé.
Contexte : travaux de la Commission sur la santé mobile
Cette demande intervient à la suite de plusieurs travaux de la Commission européenne relatifs à la « santé mobile ». Dans son Livre Vert sur la santé mobile[3], la Commission définit cette notion et reconnaît les avantages actuels des applications de santé mobile, ainsi que les risques potentiels qui y sont associés. Ce livre Vert s’accompagne d’un document de travail des services de la Commission qui décrit le cadre juridique existant de l’UE applicable aux applications « mode de vie et bien-être »[4]. Enfin, la Commission européenne a lancé une consultation sur la santé mobile dont les résultats ont révélé un large intérêt des participants pour la protection de leur vie privée.
Données de santé selon le G29
Le G29 identifie les cas dans lesquels des données personnelles collectées par des dispositifs et applications peuvent être des données de santé :
1/ Données médicales et de santé
Les données médicales proprement dites
Les données médicales sont des données sur l’état de santé physique ou mentale d’une personne qui sont générées par un professionnel de santé dans un contexte médical (données de diagnostic et de traitement et données associées). Elles incluent aussi les données générées par les dispositifs ou applications qui sont utilisés dans ce contexte, sans tenir compte de l’éventuelle qualification de dispositif médical. Un exemple donné par le G29 est l’application de mesure du glucose qui alerte la personne en cas de taux trop élevé.
Les données de santé de façon plus générale
Les données de santé ont une définition plus large que les données strictement médicales.
Il s’agit de données qui permettent de déduire un état de santé, physique ou mental, peu importe le contexte dans lequel elles ont été collectées (privé, professionnel, administratif) ou la façon dont elles ont été recueillies (questionnaire, analyse médicale réalisée par des médecins, appareils et applications disponibles sur le marché ou à vocation médicale…).
L’état de santé n’a pas à être mauvais pour qualifier une donnée de santé (par exemple, les résultats d’une prise de sang). Il peut aussi s’agir d’un simple risque de détérioration de santé (par exemple risque induit par l’obésité, consommation d’alcool, prédispositions héréditaires).
Tombent notamment dans cette catégorie :
- les données de test sur les capacités intellectuelles ou émotionnelles, les données sur les habitudes « alimentaires ou assimilées » (y compris cigarette et alcool) ou sur les allergies (notamment alimentaires), les renseignements des fiches informations pour activités scolaires ou extra scolaires, les adhésions à des groupes de soutien à caractère de santé (cancer, addiction) et même, en matière de ressources humaines, l’information d’absence pour raison de santé… ;
- les données collectées par les administrations, les organismes de sécurité sociale ou organismes d’aide sociale… ainsi que toutes les données concernant l’achat de dispositifs médicaux et médicaments ou le remboursement de frais médicaux ;
- selon la définition proposée pour la proposition de Règlement, toutes les données d’examen corporel ou de substances corporelles (y compris les échantillons biologiques), que les tests soient ou non effectués par les professionnels de santé. Ceci inclut notamment toutes les données des dispositifs ou applications mesurant la pression artérielle, le rythme cardiaque et autre, qu’ils soient ou non qualifiés de dispositifs médicaux.
Par ailleurs cela inclurait aussi des traitements dans lesquels un responsable de traitement utilise toute sorte de données (de santé ou non) pour identifier des risques de pathologies (par exemple l’étude des habitudes en matière d’exercice physique ou alimentaire, pour identifier des nouvelles corrélations avec certaines maladies).
2- Les données « brutes » qui en elles-mêmes ou combinées avec d’autres permettent de tirer des conclusions sur l’état de santé ou les risques de santé d’une personne
Il s’agit de données en apparence « inoffensives » (dont on ne peut pas déduire l’état de la personne concernée) ou « neutres » comme, par exemple, le nombre de pas enregistrés par une application, qui ne préjuge en rien de l’état de santé de la personne, de même que son poids ou son rythme cardiaque (dans la limite du raisonnable)… à moins que cette information ne soit combinée avec d’autres (comme l’âge de la personne par exemple) ou qu’elle fasse l’objet d’un suivi continu et régulier (suivi qui permettra de constater une perte de poids importante par exemple).
Une donnée « brute » pourra ainsi être qualifiée de donnée de santé si elle permet, lorsqu’elle est transférée à un tiers, couplée à d’autres données et/ou traitée ultérieurement à d’autres fins (comme des fins de profilage ou de marketing), d’en tirer des conclusions sur l’état de santé de la personne.
Le G29 met en garde contre les utilisations négatives ou inattendues. La personne concernée n’a pas toujours conscience ou connaissance du fait qu’elle n’est pas seule destinataire de ses données, de même qu’elle ne mesure pas toujours la portée de son consentement sur les usages ultérieurs.
3- Les conclusions tirées sur l’état de santé et les risques de santé d’une personne (peu importe qu’elles soient fidèles, légitimes ou adéquates).
Quand des conclusions sur l’état de santé ou les risques de santé peuvent être tirées de l’exploitation d’une donnée « brute », c’est non seulement cette donnée « brute » mais également les conclusions elles-mêmes qui seront traitées comme des données de santé, peu importe qu’elles soient fidèles, légitimes ou adéquates. Ainsi, si un suivi régulier du poids d’une personne (le poids étant la donnée « brute ») permet de constater une rapide perte de poids, il sera possible de conclure aussi bien à un régime drastique, qu’à un traitement médical ou à une dépression.
L’exclusion de traitements purement personnels
Le G29 rappelle que la Directive 95/46/CE ne s’applique pas pour le traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, autrement dit pour le sujet qui nous concerne, si aucune donnée n’est transmise à l’extérieur de l’appareil.
Les gardes fous
Le G29 souligne que, dans la majorité des cas, seul le consentement explicite et informé de la personne concernée est susceptible de constituer une dérogation à l’interdiction de traitement de ces données de santé (article 8-2-a de la Directive 95/46/CE).
Il rappelle l’importance des principes de transparence, de proportionnalité et d’absence d’utilisation ultérieure pour un but différent, qui permettent de prévenir tout abus. Il évoque aussi les techniques d’anonymisation, de sécurité, de « privacy by design » et de minimisation des données, exposées dans son avis sur les applications et smartphones[5].
Traitement de données de santé à des fins de recherche historique, statistiques et scientifique
Le G29 aborde la question de la réutilisation de données de santé à des fins de recherche historique, statistique ou scientifique dont il reconnait l’intérêt fondamental. Le G29 adhère à la vision restrictive du Parlement européen qui propose comme condition sine qua non à ce type de traitements ultérieurs, le consentement explicite et informé de la personne concernée, sauf cas exceptionnel d’ « intérêt public majeur », lorsque la recherche « ne pourrait être menée à bien d’une autre façon » et que d’autres mesures de sauvegarde sont appliquées. Le G29 ne pense pas en revanche qu’il faille accorder un régime dérogatoire en cas de pseudonymisation.
***
Ce document du G29 est l’une des briques sur lesquelles va se construire le traitement des données de santé. Son énumération à la Prévert montre à quel point il devient difficile de définir les données concernées. Les enjeux sont significatifs, car s’il s’agit de protéger les individus, il ne faudrait pas freiner les bénéfices indéniables des nouveaux outils ou la recherche médicale.
Contact : stephanie.faber@squirepb.com
[1] Groupement des Autorités de protection des données personnelles européennes
[2] Il s’agit principalement d’applications conçues pour préserver ou améliorer, directement ou indirectement, des comportements sains ainsi que la qualité de vie et le bien-être des individus.
[3] Livre Vert sur la santé mobile, 10 avril 2014, COM (2014) 219 final [4] Document de travail des services de la Commission sur le cadre juridique existant de l’UE applicable aux applications « mode de vie et bien-être ». [5] Avis 02/2013 sur les applications destinées aux dispositifs intelligents