Qu’est-ce ce qu’une donnée de santé ?

08 janvier 2018

Le règlement européen sur la protection des données personnelles (RGPD), qui est entré en application le 25 mai 2018, procède à une définition large des données de santé.

Quelle définition ?

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

  1. les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  2. les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
  3. les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

En pratique, quels impacts ?

La notion de données de santé est désormais large. Elle est à apprécier, au cas par cas, compte tenu de la nature des données recueillies.

Entrent dans cette notion trois catégories de données :

  1. celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
  2. celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
  3. celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.

A noter : la loi ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne. A titre d’exemple, la loi ne s’applique pas aux applications mobiles en santé qui proposent dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données à condition que ces opérations s’effectuent localement sur un ordinateur, un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.

N’entrent pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne concernée (ex : une application collectant un nombre de pas au cours d’une promenade sans croisement de ces données avec d’autres).

Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la sensibilité des données s’applique. La liste, ci-dessous, propose un aperçu des différentes législations susceptibles de s’appliquer (cette liste n’étant pas exhaustive, il est nécessaire de procéder à une analyse au cas par cas) :

  • loi Informatique et Libertés (art. 8 et chapitre IX) ;
  • dispositions sur le secret (art. L. 1110-4 du CSP) ;
  • dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de santé (art. L. 1110-4-1 du CSP) ;
  • dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;
  • dispositions sur la mise à disposition des données de santé (art. L. 1460-1 et s. du CSP) ;
  • interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L 4113-7 du CSP)…

Questions / réponses

1. Les données recueillies, en dehors d’un contexte médical (nombre de pas, poids, activité quotidienne…), par des outils de mesure de soi (montres, bracelets connectés, applications mobiles, etc.) sont-elles des données de santé ?


2. L’information sur le handicap, contenue dans un traitement, est-elle une donnée de santé ?


3. L’information sur un taux d’invalidité, contenue dans un traitement, est-elle une donnée de santé ?


4. L’information sur la prise en charge dans une structure de soins, contenue dans un traitement, est-elle une donnée de santé ?


5. Le codage CCAM (Classification Commune des Actes Médicaux) est-elle une donnée de santé ?


6. Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est-il une donnée de santé ?


7. L’aptitude à l’exercice d’une activité sportive est-elle une donnée de santé ?


À retenir 

  • La notion de données de santé est désormais définie de manière large par le règlement européen.
  • Aussi, cette notion recouvre non seulement l’ensemble des données collectées et produites dans le cadre du parcours de soins mais aussi celles qui, détenues par d’autres acteurs (développeurs d’application par exemple), constituent une information sur l’état de santé de la personne.

Références

  • Considérant 35 et art. 4 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
  • CJUE, 6 novembre 2003, C-101/01
  • CE, 19 juillet 2010, n° 317182
  • CE, 19 juillet 2010, n° 334014
  • CE, 28 mars 2014, n° 361042
Texte reference

Pour approfondir