L’essor de données relatives à la santé recueillies en dehors

 Deux grandes catégories de données sont susceptibles d’être mobilisées pour  nourrir les dispositifs d’intelligence artificielle en matière de santé. 

D’une part, des grands volumes de données sont recueillis par des acteurs médicaux  dans le cadre des parcours de soins des individus. Il s’agit ici pour l’essentiel des  données médico‐administratives du système national des données de santé (SNDS),  qui regroupe principalement les données de l’Assurance maladie (SNIIRAM), les  données des hôpitaux (base PMSI) et celles relatives aux causes médicales de décès  (base du CépiDC de l’Inserm), ainsi que des données figurant dans les dossiers  médicaux.  Le  recueil, le  traitement et l’accès  à  ces  données  font  l’objet d’un  encadrement juridique spécifique. La loi de modernisation de notre système de santé  du 26 janvier 2016 a ainsi partiellement ouvert l’accès à ces données selon deux  régimes distincts. Les jeux de données pour lesquelles aucune identification n’est  possible ont été rendus libres d’accès dans une logique d’open data. S’agissant des 

484 Par ex. en 2013, la base de données du SNIIRAM a permis d’étudier le risque d’AVC et  d’infarctus du myocarde chez les femmes utilisant une pilule contraceptive de 3^e génération. 

Page 195 

données comportant un risque de réidentification (nom, prénom ou numéro de  sécurité sociale), le législateur en a élargi l’accès, rendu payant, aux organismes  d’études et de recherches poursuivant un but lucratif (personnes produisant ou  commercialisant des produits à finalité sanitaire, établissements de crédit, sociétés  d’assurance) selon une procédure⁴⁸⁵ et des conditions⁴⁸⁶ rigoureuses. 

D’autre  part,  des  masses  importantes  de  données  relatives  à  la  santé  sont  désormais recueillies en dehors de toute relation de soin. De nombreux dispositifs  reposant sur l’intelligence artificielle apparaissent, qui permettent aux individus, dans  une logique de quantification de soi (quantified self), de « mettre en chiffres le  maximum d’informations relatives au corps humain, que celles‐ci se rapportent à des  performances  physiques,  à  des  comportements, à des émotions »⁴⁸⁷. Ces objets  connectés offrent  la possibilité de mesurer diverses caractéristiques, comme le  nombre de calories ingérées dans la journée, le nombre de pas parcourus ou le  nombre d’heures de sommeil. Une telle démarche procède de trois logiques : la  surveillance, par le suivi d’un ou de plusieurs paramètres à risque ; la routinisation,  aux fins d’inciter à la pérennisation d’un comportement ; la performance, les données  servant alors  à matérialiser  l’accomplissement  d’un  objectif⁴⁸⁸. Au‐delà  de  leur  utilisation par l’individu dont elles émanent, ces données sont également conservées  par les acteurs privés proposant de tels services, qui les analysent pour améliorer la  pertinence de leur offre, voire les monnaient auprès d’autres acteurs.

 Cette mobilisation de données relatives à la santé par des acteurs privés et en  dehors de toute relation de soin fait apparaître trois séries de risques. 

Tout d’abord, il convient de se garder de l’illusion selon laquelle les dispositifs en  cause seraient neutres et produiraient des résultats incontestables car objectifs. 

D’une part, les données collectées dans ce cadre peuvent ne pas être fiables en raison  de l’imprécision de leurs modalités de collecte. D’autre part, la donnée ne revêt  jamais  un  caractère  immanent :  son  recueil  et  le  processus  d’annotation  l’accompagnant  procèdent  de  choix,  plus  ou  moins  conscients,  qui  véhiculent  toujours  des  hypothèses  scientifiques,  des  intentions  de  recherche,  des  représentations sociales et des valeurs morales.  

Ensuite, cette multiplication des données de santé peut conduire à une perception  étendue du domaine de la maladie. Faisant écho au constat amusé d’Aldous Huxley  qui relevait que « la médecine a fait tellement de progrès que plus personne n’est en 

485 L’art. L. 1461‐3 du CSP prévoit notamment l’avis de l’Institut national des données de santé  (INDS) et l’autorisation préalable de CNIL.  

486 En particulier, deux finalités sont interdites : l’utilisation des données ne doit conduire ni à une 

sélection du risque pour les assureurs, ni au ciblage commercial des professionnels de santé pour  les industriels en produits de santé. 

487 CNIL, Le corps, nouvel objet connecté, cahiers IP, juin 2014, n° 2, p. 38. 

488 Ibid., p. 12. 

Page 196 

bonne santé », les instruments de quantified self introduisent une logique anxiogène  de médicalisation « rampante », au nom de laquelle les individus acceptent de se  soumettre  à  des  injonctions  comportementales,  fussent‐elles  implicites,  pour  conjurer les risques éventuels censément révélées par les données ainsi recueillies. 

Une telle logique procède d’une confusion entre « la conscience de ses propres  déterminations telles qu’elles se formalisent dans les données et la capacité à agir sur  ces dernières »⁴⁸⁹. Dans cette optique, la quantification de soi peut même être « une  source d’aveuglement, qui entraîne une sous‐estimation de ses symptômes ou une  autopersuasion de sa capacité à se rétablir »⁴⁹⁰. 

Enfin, ces données peuvent  être réutilisées à des fins  non anticipées  par les  utilisateurs au moment où elles ont été collectées. Ce risque est d’autant plus  prégnant que les entreprises proposant de tels services ont souvent un modèle  économique biface : le prix du service facturé au client ne couvre pas nécessairement  leurs coûts, la rentabilité de leurs activités reposant davantage sur l’exploitation qu’ils  feront des données, le cas échéant en les revendant à d’autres acteurs (compagnies  d’assurances par exemple). 

 Face à de tels risques, il convient de s’interroger sur l’encadrement juridique  auquel sont soumis, d’une part, les objets connectés en santé, d’autre part, les  données recueillies dans ce cadre 

Lorsque le fabricant de l’objet connecté attribue à celui‐ci une destination médicale, il  est soumis au régime applicable aux dispositifs médicaux, défini par les articles  L. 5211‐1 et suivants du code de la santé publique, qui transposent les dispositions  issues des directives 93/42/CEE et 90/385/CEE. Ce cadre a été remanié par le  règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif  aux dispositifs médicaux, dont la plupart des dispositions seront applicables à partir  du 26 mai 2020.  

Pour l’essentiel, la finalité de ce cadre juridique est de s’assurer que ces produits  offrent aux utilisateurs un niveau de sécurité élevé et qu’ils atteignent les objectifs  que leur a assignés le fabricant. De telles exigences impliquent notamment une  déclaration à l’Agence nationale de sécurité du médicament et des produits de santé  (ANSM) ainsi qu’une certification dont les modalités varient selon le niveau de risque  de l’objet en cause. L’agence dispose dans ce cadre d’un pouvoir de police sanitaire  qui lui permet d’empêcher la mise sur le marché de dispositifs médicaux, en prenant  en compte tant le risque spécifique que présente en elle‐même l’utilisation du  dispositif en cause que les risques induits par son utilisation⁴⁹¹. Ainsi qu’a pu le 

489 L. Coutellec et P.‐L. Weil, « Big data ou l’illusion d’une synthèse par agrégation. Une critique  épistémologique, éthique et politique », Journal international de biomédecine, 2017‐3, vol. 28. 

490 C. Erhel  et L. de La Raudière, Rapport d’information par la commission des affaires  économiques de l’Assemblée nationale sur Les objets connectés, n° 4362, 10 janvier 2017. 

491 CE, 16 mars 2015, Société Le complément alimentaire, n° 369854. 

Page 197 

relever le Conseil national de la consommation⁴⁹², cette réglementation est de nature  à garantir un niveau satisfaisant de conformité et de sécurité des dispositifs en cause. 

L’entrée dans  ce  régime  juridique dépend de la  finalité  revendiquée  par les  fabricants eux‐mêmes. Ces derniers peuvent donc être tentés, afin de se soustraire  au régime des dispositifs médicaux, de n’assigner qu’une finalité éducative voire  ludique aux objets et applications de santé qu’ils entendent commercialiser. Ils le  peuvent d’autant plus aisément que la nouvelle réglementation exclut du champ des  dispositifs médicaux « les logiciels destinés à des usages ayant trait au mode de vie ou  au bien‐être »⁴⁹³. Sans doute lorsque la finalité affichée ne correspond manifestement  pas  à  la  finalité  réelle  de  l’objet en cause, le  fabricant  est  susceptible  d’être  pénalement sanctionné pour n’avoir pas respecté les règles applicables aux dispositifs  médicaux. Subsistent néanmoins un très grand nombre de cas dans lesquels il est  difficile de déterminer avec certitude la finalité des objets en cause, notamment  lorsque des considérations d’ordre commercial conduisent les fabricants à prendre  des libertés avec les potentialités véritables des dispositifs concernés. 

Face à une telle zone grise, inhérente au caractère ténu de la frontière entre « santé »  et « bien être », la Haute autorité de santé (HAS) a récemment élaboré un référentiel  de bonnes pratiques portant sur les applications et objets connectés en santé⁴⁹⁴. Le  Conseil d’État estime nécessaire de prolonger un tel effort au niveau de l’Union  européenne afin de garantir aux utilisateurs des objets connectés en santé un niveau  de sécurité et de fiabilité satisfaisants. Une telle démarche pourrait aller jusqu’à la  mise en place d’un mécanisme de certification propre aux applications et objets  connectés en santé qui ne relèvent pas du régime des dispositifs médicaux. 

Quant au régime juridique applicable aux données recueillies auprès des utilisateurs  de ces outils, il dépend du point de savoir si de telles données peuvent être qualifiées  de « données de santé » au sens de la réglementation sur la protection des données  personnelles. Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des  personnes physiques à l’égard du traitement des données à caractère personnel et à  la libre circulation de ces données (RGPD), applicable depuis le 25 mai 2018, définit  les données de santé comme les « données à caractère personnel relatives à la santé  physique ou mentale d’une personne physique, y compris la prestation de services de  soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». 

Le considérant qui l’éclaire semble élargir encore cette définition puisqu’il précise que  les données de santé comprennent « toute information concernant, par exemple, une  maladie, un handicap, un risque de maladie, un dossier médical, un traitement 

492 Rapport du Conseil national de la consommation sur les objets connectés en santé, 7 juillet  2017. 

493 Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux  dispositifs médicaux, cons. 18 bis. 

494 Haute Autorité de santé, Référentiel de bonnes pratiques sur les applications et les objets  connectés en santé, octobre 2016. 

Page 198 

clinique  ou  l'état  physiologique  ou  biomédical  de  la  personne  concernée,  indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un  autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de  diagnostic in vitro ». 

À s’en tenir à ces éléments de définition, les données recueillies par les acteurs non  médicaux, dès lors qu’elles présentent un lien avec l’état de santé d’une personne  physique, ont donc vocation à être regardées comme des données de santé au sens  du RGPD. Dès lors, de telles données constituent des données dites sensibles et, à ce  titre, leur traitement n’est possible que dans les conditions définies par l’article 9 du  RGPD, auquel font écho les dispositions de l’article 8 de la loi du 6 janvier 1978. 

Lorsque ces données sont collectées à des fins commerciales, le responsable de  traitement  est  soumis  à  trois  séries  d’exigences  principales :  tout  d’abord,  le  consentement préalable de la personne dont les données sont collectées est requis ;  ensuite et corrélativement, la finalité du traitement de données doit être déterminée  de façon suffisamment précise et être légitime ; enfin, s’applique un principe de  minimisation qui implique de ne traiter que les données strictement nécessaires au  regard de cette finalité.  

Deux séries de considérations sont susceptibles de remettre en cause le respect de  ces principes par les responsables de traitements collectant des données de santé en  dehors de toute relation de soin.  

En premier  lieu, la plupart de ces  acteurs sont établis  en  dehors de l’Union  européenne, ce qui semble faire obstacle à l’application à leur endroit des règles  issues du droit de l’Union relatives à la protection des données personnelles.  

En second lieu, le respect de ces principes semble fragilisé par les différentes  caractéristiques des dispositifs d’intelligence artificielle. En effet, ces techniques, qui  impliquent de recueillir des quantités massives de données pour « éduquer » la  machine, rendent plus délicat le respect du principe de minimisation. En outre,  l’apprentissage  automatique,  en  ce  qu’il  dote  les  machines  d’une  « capacité  à  construire d’elles‐mêmes des connaissances et à les utiliser pour se reconfigurer en  réécrivant leur propre programme »⁴⁹⁵, relativise la possibilité d’apprécier ab initio et  une fois pour toutes si les finalités poursuivies justifient la collecte envisagée. Enfin, la  perte de la richesse informationnelle d’une base de données impliquée par un  procédé d’anonymisation pourrait s’avérer incompatible avec la sophistication des  dispositifs d’intelligence artificielle, qui  nécessitent des données d’entrainement  toujours plus riches et nombreuses ; en d’autres termes, une contradiction existerait  entre l’approche aujourd’hui retenue qui conditionne la protection au caractère 

495 J.‐G. Ganascia, Le mythe de la singularité, op. cit., p. 47. 

Page 199 

personnel de la donnée et le traitement Big Data qui permet de transformer a  posteriori des données neutres en données identifiantes⁴⁹⁶. 

Face à de tels risques, certains ont pu plaider pour la reconnaissance d’un droit de  propriété de l’individu sur ses données, en soutenant que la valorisation de ces  dernières renforcerait la position des particuliers à l’égard des acteurs souhaitant  utiliser leurs données. Toutefois, comme le relevait déjà le Conseil d’État dans son  étude annuelle de 2014⁴⁹⁷, une telle perspective est à écarter pour au moins deux  raisons. D’une part, le prétendu rééquilibrage de la relation entre les éditeurs de service  numérique et les internautes qui découlerait de la reconnaissance d’un tel droit de  propriété apparaît largement illusoire dans la mesure où le rapport de force entre  l’individu,  consommateur  isolé  dont  la  valeur  de  l’actif  s’avèrerait  dérisoire,  et  l’entreprise resterait marqué par un déséquilibre structurel. D’autre part, une telle  perspective impliquerait de renoncer largement à la logique actuelle de protection  puisque les limites aujourd’hui existantes à la capacité de l’individu de décider de  l’utilisation de ses données seraient regardées comme autant d’atteintes à l’exercice du  droit de propriété. Ces limites, pourtant protectrices de l’individu, se verraient dès lors  confrontées aux exigences constitutionnelles et conventionnelles en matière de droit  de propriété, ce qui aurait nécessairement pour effet de les fragiliser. 

C’est pourquoi, le Conseil d’État estime que la logique de patrimonialité limitée qui  irrigue le droit national et européen de protection des données personnelles doit être  préservée, ce d’autant plus que les nouveaux principes issus du RGPD sont de nature  à remédier aux risques induits par la prolifération des données de santé. 

Tout d’abord, le règlement retient un champ d’application large, susceptible de  couvrir l’ensemble des responsables de traitements. En effet, son article 3 prévoit  qu’il s’applique aux acteurs européens, mais aussi aux responsables de traitement  extra‐européens, dès lors que leurs activités sont liées à l’offre de biens ou de  services à des ressortissants européens (qu’un paiement soit exigé ou non desdites  personnes) ou au suivi du comportement de ces personnes. À l’aune de ce critère  extraterritorial, repris à l’article 5‐1 de la loi du 6 janvier 1978, issu de la loi du 20 juin  2018 relative à la protection des données personnelle, la quasi‐totalité des acteurs  économiques proposant à des ressortissants européens des activités qui impliquent le  traitement  de données de  santé  devront respecter  les  exigences  européennes,  lesquelles figurent parmi les plus protectrices au monde. 

496 Comme le soulignent A. Bensamoun et G. Loiseau, « la conjugaison de l’intelligence artificielle 

et du Big Data dédouanera, à terme, de l’amont – et donc de la condition de mise en œuvre de la  législation – pour finalement obtenir, en aval, le même résultat » (« L’intégration de l’intelligence  artificielle dans certains droits spéciaux », Dalloz IP/IT, mai 2017, pp. 295 et s.). 

497 Conseil d’État, Le numérique et les droits fondamentaux, Les rapports du Conseil d’État, La  Documentation française, 2014, p. 265 et s. 

Page 200 

Ensuite, le RGPD renforce la responsabilisation des acteurs collectant ces données  en relativisant l’approche formelle traditionnelle, fondée sur l’autorisation ou la  déclaration préalable auprès de la CNIL, au profit d’une logique plus continue, qui  oblige les acteurs économiques concernés à s’assurer, par une analyse d’impact,  qu’ils respectent à tout moment les principes posés par le RGPD. À cet égard, la  promotion, par ce règlement, d’une démarche de privacy by design et de privacy by  default renforce également l’idée selon laquelle le responsable de traitement doit se  soucier dès l’origine  du  respect  des  exigences découlant  du  règlement,  et en  particulier du principe de proportionnalité.  

Enfin, en aval, ce règlement renforce les  sanctions pouvant être infligées aux  responsables de traitement qui méconnaissent les règles qui leur sont applicables. 

Son article 83 prévoit à cette fin des sanctions dissuasives, qui peuvent aller jusqu’à  10 millions d’euros ou 2% du chiffre d’affaires annuel mondial voire, dans les  hypothèses les plus graves, 20 millions d’euros ou 4% de ce chiffre d’affaires. 

Participe de cette même logique l’instauration, par l’article 25 de la loi du 20 juin  2018, d’une action de  groupe visant à obtenir, non seulement la cessation de  manquements aux règles relatives au traitement des données, mais également la  réparation sur le plan indemnitaire des préjudices matériels et moraux subis. Cette  approche collective permettant de réparer des préjudices qui, pris individuellement,  auraient souvent été trop véniels pour justifier l’engagement d’un recours, est de  nature à renforcer l’effectivité des règles relatives à la protection des données de  santé.  

Au demeurant, le Conseil d’État constate que le législateur semble avoir estimé que  ces nouvelles règles issues du RGPD étaient suffisamment protectrices. En effet, la  loi du 20 juin 2018 n’exploite pas la marge de manœuvre laissée aux États membres  par le paragraphe 4 de l’article 9 du RGPD, qui ouvre la possibilité d’introduire des  conditions supplémentaires encadrant le traitement des données de santé recueillies  après consentement explicite des personnes concernées.

3.4.1.2. Le risque d’une conditionnalité croissante de l'assurance maladie en fonction