Données personnelles relatives à la santé : les précisions du Conseil de l’Europe et la CEPD.

Le 27 mars 2019, le Conseil de l’Europe a publié des lignes directrices afin d’encadrer le traitements des données de santé. Elles viennent étendre les principes énoncés dans l’avis rendu le 23 janvier 2019 par le Comité Européen de la Protection des Données (CEPD) sur l’interaction entre le CTR et le RGPD

La notion de données de santé

Définition

Sont considérées comme données personnelles relative à la santé :

  • Les données médicales, (données concernant l’état de santé physique ou mentale d’un individu)
  • Les données de santé générale (données concernant les habitudes alimentaires, les adhésions à des groupes de soutien de santé, les données récoltées par les organismes de sécurité sociale ou encore les celles qui concernent l’achat de médicaments & appareils médicaux)
  • L’association de données (ex : le nombre de pas enregistrés par une application combinée comme le poids de la personne qui permet d’établir avec précision dans quel état de santé ce trouve la personne ).

Les données de santé sont diverses et amènent avec elles de nombreux enjeux majeurs, qui ne cessent de prendre le l’importance de par le développement des technologies qui permettent des traitements de plus en plus important, et de par les problématiques de vie privée qu’elles posent (à qui sont destinées les données, finalité ultérieure, le recueil du consentement …).

Le RGPD reprend cette définition large en donnant trois catégories :

  • les données de santé par nature
  • les données qui deviennent des données de santé suite à un croisement avec d’autres données ( permettant ainsi de tirer des conclusions sur l’état de santé)
  • les données qui deviennent des données de santé en raison de leur finalité sur le plan médical

Comment son protégées les données de santé ?

Les données de santé sont protégées par des articles de la loi Informatique et Liberté, du RGPD et du code de la santé publique.

La loi Informatique et Libertés dispose que les données de santé sont particulières et leur traitement interdit sauf exception particulière l’autorisant. Construit sur le même format, L’article 9 du RGPD impose également une interdiction complétée par des exceptions.

L’article L. 1110-4 du code de la santé publique précise quant à lui quelles catégories de professionnels sont susceptibles d’avoir un rôle à jouer dans le traitement des données.

De la même façon, le paragraphe 3 de l’article 9 du RGPD dispose que « les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ». 

Il est ainsi indispensable de lire le RGPD à la lumière des articles du code de la santé publique.

Le secteur de la santé étant ainsi particulièrement impacté par le RGPD, le traitement des données de santé a été précisé par le Conseil de l’Europe et par le CEPD.

Intéraction RGPD – CTR

Afin de mieux comprendre comment va s’articuler la coexistance RGPD – CTR (suite à une demande de la Commission Européenne), un avis explicatif à été transmis par le CEPD.

L’encadrement éthique et réglementaire des essais cliniques en Europe repose sur la directive 2001/20/CE du 4 Avril 2001.

Cependant, afin de simplifier et d’harmoniser les réglementations relatives aux essais cliniques, un règlement le un règlement (536/2014) relatifs à ces derniers (CTR) devrait entrer être mis en place en 2020. 

Cet avis, permet au CEPD de concilier la mise en application du CTR avec le RGPD. La nature des traitements de données relatifs au essais cliniques y est précisée et l’utilisation des données de santé y est clarifié.

Il s’agit ainsi de ne pas opposer les deux textes.

Le CEPD fait ainsi la différence  :

  • entre l’utilisation première des données et l’utilisation secondaire des données
  • parmi les utilisations premières, entre les actions relatives à la recherche et les traitements liés à la protection de la santé (en s’assurant par exemple du bon respect des normes sanitaires) 

Le schéma ci-dessous résume les principes présentés par le CEPD :

Essai clinique : utilisation première des données

Dans l’avis publié par le CEPD, il est considéré comme utilisation première, l’intégralité des traitements réalisés durant l’essai clinique. Ainsi, du commencement à l’archivage de l’essai clinique, les données servent à des traitements initiaux. Mais les traitements ne visent pas tous la même finalité. Il faut ainsi opérer la distinction entre recherche et protection de santé. Cette distinction est primordiale afin de déterminer la base légale du traitement.

Le cas des traitements à des fins d’activités de recherche

En ce qui concerne les activités de recherche relatives aux essais cliniques, les actions effectuées sur les données doivent obligatoirement se baser sur le respect d’une obligation. C’est pourquoi  le CEPD décrit 3 bases de licéité possibles et spécifie parmi elles, lesquelles sont les plus appropriées.

Consentement

Le CEPD vient étendre le consentement concernant les essais cliniques. Le consentement diffère en fonction du texte, RGPD d’une part et CTR de l’autre. Comme l’explique l’avis, le consentement du CTR dépend de la dignité humaine tandis que le consentement du RGPD est une base légale permettant de traiter les données et offre la possibilité de ne pas être soumis aux interdictions de traitement.

Le CEPD se penche sur le consentement du RGPD et souligne qu’il faut porter son attention particulière sur le fait que le consentement conserve son aspect libre. En ce qui concerne les essais cliniques, plusieurs situations peuvent outrepasser un consentement délivré de manière libre.

Par exemple si l’on a affaire à une personne appartenant à un groupe socio-économique défavorisé ou, si une influence déséquilibrée poussait une personne à participer à un essai (comme la présence d’une forte dépendance hiérarchique et/ou institutionnelle).

Le CEPD alerte également sur les risques éventuels en cas de retrait du consentement de la personne soumise à l’essai pendant sa durée. En effet, en effet le CTR (article 28.3) et le RGPD (article 7.3) permettent à la personne concernée de « retirer son consentement à tout moment ».  Si le consentement est la seule base légale pour le traitement, la continuation de l’essai clinique peut être arrêté à tout moment par le retrait du consentement.

C’est pourquoi le CEPD considère que faire appel au seul consentement de la personne concernée n’est pas adapté pour tous traitements relatif à l’essai clinique.

Il existe ainsi plusieurs alternatives au consentement prévue notamment par le RGPD.

L’intérêt public

Décrit par le RGPD (article 6), le principe d’intérêt public rend le traitement d’une donnée licite s’il est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ». Il peut s’agir d’une base légale viable pour l’épidémiologie par exemple.

L’intérêt légitime du responsable de traitement

L’intérêt légitime du responsable de traitement est également une base légale mise en avant par le CEPD (RGPD l’article 6(1)(f)). Il énonce que le traitement est licite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement». Il est ainsi important de peser le pour et le contre entre les intérêts de la personne concernée et du responsable de traitements, pour ne pas enfreindre ses droits fondamentaux.

Le cas des traitements à des fins de fiabilité et de sécurité

Si un traitement de données est imposé par le CTR ou par une loi nationale à des fins de protection de la santé, le CEPD considère le traitement comme étant licite. Il faut ainsi qu’il soit « nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis »(RGPD l’article 6(1)(c)).

En ce qui concerne les données sensibles (comme les données personnelles de santé), le traitement est considéré comme étant licite s’il « est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique » (RGPD article 9(2)(i)). C’est par exemple le cas pour la protection contre des menaces transfrontalières graves pesant sur la santé ou afin d’assurer la qualité et la sécurité des normes concernant les les soins, médicaments ou dispositif médical.

Essai clinique : utilisation secondaire des données

Le périmètre du traitement des données en cas d’essai clinique peut évoluer au cours du temps. Le responsable du traitement peut-il utiliser les données, collectées et traitées dans le cadre de l’essai clinique, pour répondre à d’autres finalités ?

Selon le CEPD, si le responsable de traitements souhaite utiliser les données à d’autres fins, le traitement nécessite une nouvelle base légale.

Il existe cependant des exceptions à ce principe. Pour les utilisations relatives aux nouvelles recherches scientifiques par exemple, il existe une notion de « présomption de compatibilité » RGPD (article 5), qui peut permettre de justifier l’utilisation des données sans qu’une autre base juridique que celle qui a autorisée la collecte ne soit nécessaire.

L’article 89 du RGPD relatif aux « garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » permet d’outrepasser l’obligation de fonder son traitement sur une nouvelle base légale.

Données de santé : Recommandation du Comité des Ministres

Pour mieux encadrer l’utilisation des données de santé, et afin d’assurer le respect des droits fondamentaux des personnes,  une nouvelle recommandation a été établie, impliquant les états membres sur le sujet. Elle intègre les lignes directrices du RGPD et s’applique à toutes les données dans le secteur public et privé de la santé.

Données de santé : conditions juridiques du traitement

Le texte met en avant quelles sont les conditions de tels traitements, qui se résument en 3 principes :

  • principe de loyauté
  • principe de licéité
  • principe de transparence

Doivent également être établies des mesures de sécurité appropriées, qui doivent tenir compte des développements technologiques récents, du niveau de sensibilité des données de santé, et du niveau des risques qu’ils impliquent.

Il est indispensable de mettre en oeuvre toutess ces mesures dès les phase de conception des SI impliqués par le traitement (Privacy By Design).

Les bases légales sont également précisées. La recommandation permet une application efficace du RGPD.

Il est donc possible de traiter des données de santé à partir du moment que :

  • le traitement est primordial et que des garanties adaptées sont imposées par la loi et que le traitement est primordial (ex: sauvegarde des intérêts vitaux ou des diagnostics médicaux)
  • le responsable du traitement à collecté le consentement (libre, spécifique, éclairé et explicite) de la personne concernée (sauf si le droit prévoit que le consentement ne permet pas de lever l’interdiction de traitement des données de santé)
  • l’exécution d’un contrat conclu par (ou au nom) de la personne concernée avec un professionnel de santé, nécessite le traitement des données.
  • la personne concernée à rendu publique ses propres données personnelles de santé

D’autres données sensibles, comme celle d’un enfant à naître ou des données génétiques sont encadrées de manière plus stricte par d’autres recommandations.

b) Droits de la personne concernée

Le traitement se doit d’être entièrement transparent. Ici, pas de nouveauté par rapport au RGPD, la personne concernée conserve son droit à l’information, les mêmes mentions obligatoires sont requises (Chapitre III du RGPD).

c) Recherche scientifique

En ce qui concerne la recherche scientifique, un principe prédomine : « les données relatives à la santé ne devraient, en principe, être traitées dans un projet de recherche scientifique que si la personne concernée y a consenti ».

Toutefois, comme la recommandation le reconnait, il est complexe de définir en amont les finalités des différents projets de recherche dès la collecte des données, « les personnes concernées doivent au moins pouvoir donner un consentement uniquement pour certains domaines de recherche ou certaines parties de projets de recherche » (15.6).

Néanmoins, «  la loi peut prévoir le traitement de données relatives à la santé à des fins de recherche sans que la personne concernée y ait consenti. Les dispositions d’une telle loi devraient être proportionnées à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée » (15.3).

Il demeure cependant des incertitudes concernant la recommandation. Alors que son article 5(a) peut rendre le traitement de données de santé légitime s’il est absolument nécessaire à des fins de recherche scientifique, le consentement de la personne semble tout de même obligatoire. Ainsi, s’agit-il d’une 2è base légale qui est imposée ?

D’autant plus que, pour ce qui relève des essais cliniques, la recommandation du Comité de l’Europe intervient en second, après l’avis du CEPD.

Et cet avis avait justement mis en exergue la non-pertinence du consentement en tant que base légale pour ce qui relève des essais cliniques.

Quoi qu’il en soit, la personne concernée par un tel type de traitement doit tout de même bénéficier de toutes les informations nécessaires le concernant. Ainsi, doit être porté à sa connaissance : 

  • la nature de la recherche scientifique prévue
  • les choix auxquels peut recourir la personne concernée
  • les conditions encadrant le traitement des données
  • les conditions en matière de conservation des données
  • les droits et garanties prévus par la loi, (comme par exemple celui de refuser et de se retirer à n’importe quel moment du projet de recherche)

Enfin, l’anonymisation est un des principes majeurs mis en avant par la recommandation : « l’anonymisation doit être pratiquée dès lors que les objectifs poursuivis par les recherches scientifiques le permettent ». 

Si les conditions ne sont pas réunies, la pseudonymisation reste également envisageable « afin de garantir le respect des droits et libertés fondamentales de la personne concernée » (15.9).

L’approche pragmatique du CEPD quant au traitement des données personnelles dans le cadre des essais cliniques sera d’une aide précieuse pour les professionnels du secteur. Quant à la recommandation du Conseil de l’Europe, cette dernière soulève quelques questions de par son manque de par endroit (base légale nécessaire à la recherche scientifique par exemple).

Reste à espérer que le RGPD sera intégré de façon plus efficace au sein d’autres secteurs sensibles, similaires à celui du secteur médical.