Sécurisation et protection des données personnelles

Les données de santé sont d’avantage présentes avec le développement du numérique. On les retrouve dans toutes sortes de fichiers, qu’ils soient informatiques ou manuels. Ce sont des données à caractère personnel, considérées comme les plus sensibles permettant de garantir aux personnes un respect de leur vie privée. Elles se définissent par « l’ensemble des données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne » (165). Ces données de santé concernent uniquement des personnes physiques dont les informations sont récoltées lorsque les personnes s’inscrivent dans des fichiers informatiques afin de vouloir recevoir des services ou des prestations de soins de santé ou lorsqu’elles veulent obtenir des résultats d’examens corporels, biologiques, ainsi que toutes les informations relatives à une maladie, un risque de maladie, un handicap, un traitement médicamenteux, des antécédents familiaux de maladie, la physiologie de la personne et ce, quelles que soient leurs sources (professionnels de santé, cliniques privées, hôpitaux).

Cette définition comprend également les données obtenues à l’aide de mesures permettant de deviner l’état de santé d’un individu comme par exemple les applications mobiles santé, les objets connectés de santé. En revanche, concernant les applications mobiles santé ou objets connectés de santé, cette loi ne s’applique pas lorsque ces données sont conservées et enregistrées dans un Smartphone, si elles ne sont pas partagées et si elles sont consultées à titre uniquement personnel.

Voici un exemple ne faisant pas partie de la définition: les données de santé provenant d’application mobile santé ne provoquant aucune conséquence sur l’état de santé de la personne (podomètre évaluant le nombre de pas lors d’une randonnée).

Lorsque ces données de santé sont correctement identifiées, elles sont soumises aux différentes réglementations juridiques telles que la loi informatique et liberté, la disposition sur l’hébergement des données de santé ou la disposition sur le secret.

Le CNIL (Conseil National de l’Informatique et des Libertés) est l’autorité assurant la protection des données personnelles en vérifiant le respect de la réglementation à appliquer en vigueur.

A partir de 2016, le CNIL a mis en place des projets sur la réglementation européenne concernant les données à caractère personnelle (166). Ce projet est composé de nombreuses caractéristiques :

- Définir le champ d’application de cette réglementation : la protection des données ne s’applique que pour les données traitées concernant la personne intéressée dans l’Union, appliquant ainsi cette réglementation sauf exception.

- Cette réglementation est basée sur des principes concernant le traitement des données. En ce qui concerne le principe basé sur la responsabilité est la prise en compte des risques, il y a une nouvelle réglementation remplaçant les procédures initiales par un système d’analyse de risque où seules les données les plus risquées seront évaluées de façon plus approfondie. Le règlement a rédigé une liste des informations présentant le plus de risque comme par exemple des informations traitant des données à caractère personnelle de plus de 5000 personnes sur 12 mois ou alors des informations concernant des catégories particulières de données comme des données de géolocalisation ou des données d’enfants. Pour le principe basé sur la responsabilité, il faut que les personnes responsables du traitement et du sous traitement de ces données conservent une trace écrite régulièrement assurant le respect des exigences réglementaires. Le règlement a rédigé une liste des informations à conserver et chaque institution doit être capable de rendre ce compte rendu à l’Autorité de protection des données lorsque celle-ci le demande.

- Nommer un délégué à la protection des données personnelles notamment lorsque le traitement est réalisé par une société qualifiée de personne morale sur une population de plus de 5000 personnes et que cette société peut échapper à la réglementation de protection des données personnelles de santé. Cette personne désignée est nommée responsable pendant 4 ans si elle est salariée et durant 2 ans si elle est externe à la société.

- Informer l’autorité de protection des données et la personne concernée lorsque celle-ci réalise une violation de la réglementation.

- Les informations concernant les données personnelles de santé ne peuvent être partagées et collectées que si l’organisme traitant ces données a obtenu le consentement de la personne intéressée. En revanche, si la personne intéressée enfreint la réglementation également, l’obtention de son consentement s’annule. Le traitement, le partage et la collecte des données à caractère raciale, éthique politique, religieuse, à croyance philosophique ou à orientation sexuelle sont interdites. - Définir les principes généraux sur les droits des personnes concernées envers leurs

données de santé: fournir des informations claires et faciles, possibilité d’accéder à leurs données et de les modifier ou de les effacer, possibilité d’obtenir leurs données, possibilité qu’ils s’opposent aux traitements automatisés de leurs données (profilage), possibilité de faire une réclamation auprès de l’autorité en vigueur et possibilité de démarrer un procès en justice en cas de non-respect, et enfin

possibilité d’obtenir des indemnisations en cas de pratiques illégales sur leurs informations de données de santé.

- Garantir la sécurité des traitements de ces données de santé en garantissant l’intégrité, la confidentialité de la personne concernée, la disponibilité et la résilience de ses données de santé.

- Les sanctions disciplinaires et administratives à appliquer en cas de non-respect du règlement sont : un avertissement écrit lors d’une première infraction si celle-ci et non intentionnelle, vérifier régulièrement les informations sur la protection des données, le paiement d’une amende forfaitaire pouvant aller jusqu’à 100 millions d’euros ou 5 % du chiffre d’affaire d’une entreprise. Si le responsable du traitement de ces données est européen, il devra payer une amende.

Enfin, un nouveau règlement sera à appliquer d’ici le 25 mai 2018 où de nombreuses réglementations vont disparaître auprès du CNIL mais la responsabilité des organismes réalisant le traitement de ces données sera renforcée (167). Il se divise en 6 étapes :

- Désigner un responsable du traitement des données personnelles de santé de sa structure.

- Etablir un registre afin de recenser correctement l’ensemble des données personnelles de santé traitées.

- Mettre en évidence les actions prioritaires à traiter dans le registre à partir de l’analyse des risques de ces données.

- Identifier les traitements des données personnelles les plus susceptibles d’engendrer des risques pour les droits et libertés des personnes intéressées afin d’analyser leur impact sur la protection des données.

- Mettre en place des processus internes permettant de prendre en compte la totalité des données à caractère personnel et de mieux organiser le traitement de ces données.

- Etablir une documentation solide prouvant que le traitement de ces données est conforme à la réglementation.

Le traitement de ces données et sa réglementation en vigueur est très important car elle permet de rassurer l’ensemble des utilisateurs sur l’interprétation et l’utilisation de leurs données de santé. Cette réglementation leur permet également d’acquérir une certaine confiance sur l’utilisation du numérique en santé car c’est un processus qui est de plus en plus sécurisé.

2.3.1. CNOM : Conseil National de l’Ordre des Médecins

Le CNOM (Conseil National de l’Ordre des Médecins) a réalisé un livre blanc sur la santé connectée et pense que le développement de ce secteur ne se fera que si les autorités arrivent à créer un climat de confiance sur l’utilisation de ces dispositifs (168). Ce livre énonce la réglementation concernant les outils digitaux permettant aux utilisateurs, aux professionnels de santé et aux patients de pouvoir être diriger correctement vers des choix de qualité et de fiabilité. Une série de réglementation est mis en place en Europe sur la m-santé concernant la protection des données personnelles, la conformité des dispositifs, la protection du consommateur, mais cela n’est pas suffisant pour rassurer les utilisateurs, les patients et les professionnels de santé. Pour cela, le CNOM essaye de mettre en place une déclaration de conformité des solutions connectées de santé et veut l’étendre à l’Europe.

Tout d’abord, concernant la réglementation existante, le CNOM énonce :

- L’application des lois générales de protection des données personnelles de l’UE énoncées dans la directive 95/46/CE. Les données concernant la santé sont à

caractère personnel et elles sont encadrées en France depuis la loi du 4 Mars 2002 dans le but d’assurer l’intégrité et la disponibilité des données des patients. Un décret du ministère de la santé fixe les conditions d’hébergements des données de santé sur les activités de prévention de diagnostic ou de soins.

- La législation sur les DM que l’on a énoncée précédemment.

- La directive 2011/83/CE sur les droits des consommateurs ne prenant pas en compte le champ de la santé, mais prend néanmoins en compte les applications en rapport avec le bien-être et le confort de vie. Elle émet des exigences sur les informations à divulguer lors d’une vente à distance ou d’un téléchargement en ligne avec un droit de se rétracter pour le consommateur.

Il existe de nouveaux contrôles qualités comme la société « dmd » ou « Medappcare » recommandant les applications et objets connectés santé existant en France. Ce sont des labels assurant la qualité des dispositifs. Ces sociétés ont été énoncées dans la partie concernant les applications santé et objets connectés santé.

Il y a également le CNIL (Commission National de l’Informatique et des Libertés) permettant de décerner des labels aux entreprises e-santé afin d’assurer un haut niveau de protection des données personnelles sur les outils digitaux qu’ils commercialisent.

Concernant la mise en place d’une déclaration de conformité sur les dispositifs connectés de santé, le CNOM veut l’élaborer afin de diffuser des informations claires et loyales sur les caractéristiques, les fonctions et les conditions d’utilisation de ces outils connectés. Cette déclaration de conformité doit comprendre des informations sur :

- Le fabricant, le distributeur et l’utilisateur ;

- Les différentes fonctions, les publics concernés par ces dispositifs connectés, les conditions et les limites d’utilisation.

Elle permet d’obtenir des informations sur 3 critères :

- La confidentialité et la protection des données recueillies (toutes ces informations à obtenir que le CNOM veut imposer à ces solutions connectées sont retrouvées en quelque sorte dans le label CNIL) ;

- La sécurité des logiciels, des matériels et de l’informatique (mis en place de support hotline, d’intégrité des données) ;

- La sureté des informations de santé (informations vraies/fausses, les sources par lesquelles on a pu obtenir ces informations)

Le CNOM veut étendre cette mise en place de déclaration de conformité à l’Europe. Il y a eu la mise en place d’un cadre juridique sur la santé mobile dans les pays membres de l’Union Européenne mais pas encore de cadre législatif sur la protection des données recueillies. Enfin, pour la prise en charge sociale de ces dispositifs connectés, le CNOM veut mettre en place une évaluation scientifique de ces objets connectées et applications santé en évaluant les bénéfices qu’ils apportent sur la santé individuelle et collective des patients. Cette étape est primordiale pour pouvoir bénéficier d’une prise en charge par la sécurité sociale.

2.3.2. CNIL : Comité Nationale de l’Informatique et des Libertés

Le CNIL a mis en place la loi « informatique et libertés » en 1978 et l’a revue en 2004 (169). Cette loi énonce les principes à respecter sur le traitement et la conservation des données personnelles. Cette loi s’applique donc pour tous les fichiers informatiques ou manuels possédant des informations personnelles relatives à des personnes physiques, ce qui est le cas de toutes les nouvelles technologies connectées de santé. En revanche, elle ne prend pas en

compte les outils pour l’exercice d’activités exclusivement personnelles comme par exemple les agendas électroniques, les répertoires d’adresses, les sites internet familiaux… et les fichiers de personnes morales comme par exemple les fichiers de noms de société ne possédant pas de noms de personnes physiques. Le principe de cette loi est de consolider les droits des personnes sur leurs données, de simplifier et d’améliorer les formalités administratives et de pouvoir mettre en place des sanctions en cas de non-respect par le CNIL.

Le CNIL a réalisé une étude sur les objets connectés et les applications santé en essayant de proposer des moyens de régulation et de réglementation de ces dispositifs notamment en matière de protection des données personnelles (170). Cette étude a mis en évidence les différents points de régulation à inspecter :

- Les normes de sécurité et de qualité applicables ;

- Les procédures de déclaration, d’agrément, ou de classification selon le niveau de risque à appliquer ;

- Les régimes de responsabilité ;

- Les systèmes d’intermédiation entre les différents professionnels de santé; - Les modalités de contrôles des fabricants ;

- Les exigences sur les notices d’information

Elle a également réalisé une étude sur les règles concernant la protection des données personnelles et les droits des personnes utilisant ces nouvelles technologies de santé connectées. A la fin de cette étude, le CNIL constate qu’il n’y a pas de véritable réglementation en Europe concernant la santé mobile mais qu’il existe de nombreuses lois sur le secteur de l’e-santé. Parmi ces lois, il y a celles sur la protection des données personnelles publiées dans la directive 95/46/CE qui définit les « données de santé » comme des informations précises sur la santé d’une personne physique, identifiant ainsi une pathologie qu’elle possède ou risque d’ avoir . Cette directive classifie ces données de santé parmi les plus importantes avec une réglementation très stricte interdisant tout traitement, utilisation de ces données et transfert dans d’autres états sauf si l’on obtient le consentement de la personne concernée et de l’état initial. D’autre part, la RFID (radio-identification de mémorisation et récupération des données) a mis en place, avec l’aide du ministère des télécoms, une réglementation sur le droit au contrôle et au silence des puces électroniques hébergeant des données électroniques et cette réglementation peut s’appliquer aux données de santé sur les appareils et objets connectés utilisant le « quantified self » (outils connectés permettant de mesurer, analyser, partager ses données personnelles). Ceci permet de contrôler la diffusion des données personnelles et l’utilisateur peut activer ou désactiver les fonctions permettant la diffusion de ses données présentes dans les applications et objets connectés santé qu’il utilise.

Ensuite, il y a la convention européenne des droits de l’homme qui émet une loi sur « le droit au respect de la vie privée et la confidentialité des données de santé ».

L’OMS émet également une loi sur « le respect de la vie privée » en matière de données de santé.

Nous avons vu précédemment qu’il existe également une réglementation spécifique sur les DM énoncé par la directive 93/42/CEE mais celle-ci ne dispose d’aucune règle à appliquer sur la protection des données personnelles des DM. Cette limite a fait réagir la Commission Européenne qui a mis en place une consultation sur la m-santé en 2014.

Enfin, le CNIL veut mettre en place de nombreuses initiatives de régulation comme à fait par exemple le Royaume-Uni avec le « National Health Service », un service recensant toutes les applications et objets connectés de santé qualitatifs et sécuritaires avec des systèmes de notation

sur leurs utilités en santé, la conformité avec la protection des données personnelles, la collecte de nombreux avis par les utilisateurs. C’est le cas également en Allemagne avec la réalisation de label de qualité régit par un code de bonne conduite à respecter (protection des données personnelles, limites à l’utilisation de ces données, système d’évaluation) sur les applications et objets connectés santé.

L’Europe n’a pas encore mis en œuvre les dispositions nécessaires pour rassurer les populations de l’utilisation de nouvelles technologies connectées de santé. Le CNIL depuis septembre 2011, à l’ambition de vouloir décerner des labels certifiant que ces dispositifs possèdent un haut niveau de protection des données personnelles (168) mais la Commission Européenne ne le soutient pas beaucoup, car celle-ci s’interroge encore sur l’intérêt et l’utilité de développer ces labels pour l’e-santé et la m-santé.