Applications de santé, Données de santé et RGPD.
En ces temps complexes liés à la crise sanitaire du Covid-19, le développement des projets « E- santé », portés par des applications mobiles explosent.
Nous vous proposons dans ce présent article de réfléchir à quelques définitions et problématiques liées aux « données de santé » au sens très large.
Nous avons préparé cet article en vous commenttant la « Recommandation CM/Rec (2019)2 du comité des ministres aux états membres sur la protection des données relatives à la santé (adoptées par le comité des ministres le 27 mars 2019) ». https://www.apda.ad/sites/default/files/2019- 03/CM_Rec%282019%292F_FR.pdf
Ce texte particluièremen riche concerne la « Donnée de santé », notion transversale à de nombreuses réglementations : RGPD, Directive E- Privacy de 2002, Loi informatique et liberté .
Nous nous adressons plus particulièrement aux « développeurs d’ applications », « financeurs de projets innovants », et aux « responsables de traitement » pour souligner à leur attention les enjeux juridiques applicables à leurs innovations, dans le contexte où depuis le début de la crise sanitaire de 2020, la CNIL procède par ses avis et recommandation à un travail auquel il est intéressant de se référer pour tout ce qui touche de près ou de loin à la « donnée de santé ».
Nous vous proposons d’ouvrir un cycle de plusieurs publications sur ces diverses thématiques :
- Nous commençons par un focus sur la « donnée de santé » et la « donnée de bien-être », pour une finalité d’utilisation pour une
application de santé.
1)Qu’est-ce qu’une « donnée de santé » exactement ?
La donnée de santé n’est pas définie explicitement par le RGPD qui vise en article 9 § 1 cette donnée comme appartenant à la « catégorie spéciale
des données sensibles », dont le traitement est soumis à des conditions spécifiques.
Pour l’article 9 précité le traitement d’une donnée de santé et par principe interdit sauf à rentrer dans les 10 exceptions limitativement prévues et énumérées par le § 2 alinéas (a), (b), (c), (d), (e),(f), (g),(h),(i),(j), qui soumettent ces traitements à des conditions de forme et de fond très précises.
Le RGPD n’est pas le seul texte européen à s’intéresser à la « donnée de santé ».
La « Convention 108 + » (Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel ) prévoit en son article 6 la protection de « catégories particulières de données » ou « spécial catégories of data » et vise :
- La donnée génétique,
- La données biométriques (données permettant d’identifier une personne de manière unique),
- La donnée de santé.
Pour ces 3 hypothèses de « spécial catégories of data », l’article 6 de la Convention 108+ ne donne pas non plus de définition de la donnée de santé sauf à soumettre le traitement de ces 3 catégories à des « garanties appropriées ».
C’est la Recommandation CM/Rec (2019)2 précitée qui donnent des définitions explicites afin :
d’éclairer les gouvernements des états membres de l’union sur la prise de
mesures nécessaires pour veiller à la protection des droits des personnes
concernées dans le contexte :
- D’abord de : « L’utilisation croissante des nouvelles technologies dans le traitement des données relatives à la santé, notamment par l’intermédiaire de la généralisation des traitements automatisés impliquant des prises de décision prédictive ou non »,
- Ensuite de : « La mobilité géographique et du développement des applications de santé mobile, des dispositifs médicaux, et des objets connectés qui contribuent à de nouvelles utilisations et à la production d’un volume rapidement croissant de données relatives à la santé traitées par des parties prenantes les plus diverses ». (C’est-à-dire aussi les intermédiaires qui ne sont pas strictement des professionnels de la santé)
La Recommandation CM/Rec (2019)2 définit différents termes parmi lesquels :
Les données relatives à la santé : « Ce sont toutes les données à caractère personnel concernant la santé physique ou mentale d’une personne, y compris la prestation de services de soins de santé, qui révèle des informations sur la santé passée, actuelle et future de cette personne » (Le DMP évidemment appartient au périmètre de la donnée de santé)
Pour le traitement de ces données particulières le Responsable de traitement se définit : « comme la personne physique ou morale, l’autorité publique, le service, l’agence ou tout autre organisme qui, conjointement avec d’autres, dispose d’un pouvoir de décision en matière de traitement des données ».
Le sous-traitant lui est « Toute personne physique ou morale, autorité publique, services, agents ou tout autre organisme qui traite des données
pour le compte du responsable de traitement ».
Les développeurs d’applications mobiles de santé devraient particulièrement s’intéresser à 2 autres définitions importantes issues de cette Recommandation CM/Rec (2019)2 :
- l’interopérabilité : « La capacité à communiquer et à échanger des données entre différents systèmes d’information ». En regard des difficultés dans la mise en œuvre pratique du lancement de l’application stop Covid pour des problématiques d’intéropérabilité, cette qualité de l’application sera particulièrement contrôlée par la CNIL lors d’éventuels contrôles si nécessaire.
- L’appareil mobile « Un ensemble d’outils accessibles dans un environnement mobile permettant de communiquer et de gérer à distance des données relatives à la santé ». « Ils peuvent prendre différentes formes, tels que des objets et des dispositifs médicaux connectés qui peuvent être utilisés à des fins de diagnostic, de traitement ou de bien-être, entre autres ».
Si la « donnée de bien-être » n’est pas définie par la Recommandation, celle-ci la prend en compte de manière indirecte par la notion d’appareil mobile pour l’intégrer dans la sphère des garanties spécifiques pour tous les traitements qui touchent de près ou de loin à la santé.
Il était difficile pour les autorité européennes de donner une définition de la donnée de bien-être dans un domaine où les technologies innovantes
peuvent rendre très rapidement désuète une définition ; ce qui dans les éventuels contentieux d’application de la réglementation peut s’avérer en
définitive préjudiciable notamment pour la garantie des droits des personnes concernées par le traitement et les problématiques de responsabilité à raison de l’usage de l’application.
La Commission européenne a publié un « document de travail des services de la commission » sur le cadre juridique de l’UE applicable aux logiciels relatifs au mode de vie et au bien-être afin de fournir justement une description non exhaustive de la législation de l’UE concernant ces applications spécifiques.
De ce document de travail, il apparaît que le RGPD ne s’appliquerait pas lorsque les données traitées par les applications relatives au mode de vie et au bien-être ne sont pas transmises en dehors de l’appareil de l’utilisateur. (Mais la plus grande prudence s’impose attention au contexte
de l’utilisation !)
Par contre lorsque les données sont transmises à l’extérieur de l’appareil, elles sont qualifiées de données de santé, et leur traitement n’est autorisé que dans les cas limités et strictement autorisés par l’article 9 § 1 du RGPD, avec au surplus l’obligation conformément aux dispositions de l’article 6 de la Convention 108+, de prévoir des garanties appropriées aussi bien pour la sécurité que l’exercice des droits de la personne.
C’est donc sur le fonctionnement du « Design numérique » (Design graphique et de développement) de l’application que le développeur fera porter ses meilleurs efforts en y incluant :
- D’abord sur les mesures permettant la protection et la
confidentialité des données, - Ensuite sur la délivrance d’une fourniture d’informations
transparentes ,claires, explicites , facilement accessibles aux
utilisateurs avant le téléchargement de l’application , ou l’achat de
leur appareil.
Les dispositions du RGPD, sur la transparence de l’information comprenant des engagements spécifiques sur l’organisation d’un régime de garantie d’exercice de droits spécifiques pour les personnes concernées par l’utilisation de l’application et des traitements de l’information collectée ne sont pas à prendre à la légère car la notion de « transparence »,prévue à l’article 12 est une notion « pivot » du RGPD.
L’article 12 n’a pas encore livré tous ses « secrets », et la CNIL dans ses 2 décisions rendues à l’encontre de 2 sociétés du groupe Carrefour en Novembre 2020 à justement « rénové » profondément l’interprétation du concept en écho aux avis du CEPD (Comité européen de la protection des données).
S’en découle que la notion de la « transparence » sur l’information préalable au traitement repose sur le principe de la Loyauté à interpréter par rapport à « l’assymétrie » de la situation entre le responsable du traitement qui notamment commercialise l’application et son utilisateur.
Tous les traitements de données permis par les applications mobiles de santé doivent garantir également l’ exactitude et la nécessaire mise à jour des données avec des mesures de sécurités appropriées.
Le § 4. 4 de la Recommandation soulignant que :
« Les responsables du traitement des données et leurs sous-traitants qui ne sont pas des professionnels de la santé ne doivent traiter les données relatives à la santé que conformément à des règles de confidentialité et à des mesures de sécurités qui garantissent un niveau de protection équivalente à celui imposé aux professionnels de la santé »
En matière d’application de santé la frontière entre « données de santé » et « données de bien être » est donc extrêmement poreuse et doit amener dans les 2 cas les développeurs à appliquer à leur développement la démarche « Privacy By Design complétée par un PIA ( Privacy impact Assessment) ou « Etude d’impact » sur la vie privée (EIVP) et la protection des données.
Pour les applications de santé , l’hébergeur doit donc être un prestataire agréé, habilité à stocker des données de santé , et nous ne pouvons que recommander d’envisager aussi de recourir à un hébergeur de santé habilité également pour les applications, et ou objets connectés traitant des données de bien-être.
2) Conclusion Provisoire :
Nous vous proposons de revenir dans un 2 e article sur le contenu de la Recommandation du comité des ministres aux états membres pour redévelopper les notions de :
- La transparence des traitements du fonctionnement de l’application,
- L’exercice des droits de la personne concernée en regard de l’article 11. 3 de la Recommandation qui précise que le Responsable de
traitement de l’application de santé doit garantir un traitement équitable et transparent : - notamment s’il y a mise en oeuvre par les traitements issues des données collectées d’ une prise de décision automatisée,y compris un profilage, qui selon la Recommandation n’est autorisée que si le traitement est autorisé légalement et soumis à des garanties appropriées.
Nous terminons cet article aussi sur 3 autres définitions qui restent importantes concernant les applications de santé notamment celles
développées contre le Covid 19 comme :
- Le tracing : qui se fait de manière plutôt rétrospective.
- Le tracking : il s’agit plutôt d’un traitement qui se fait en temps réel par des envois de données sur les utilisateurs en flux constant,
- La surveillance : qui concerne plutôt des applications d’autodiagnostic et de suivi et qui peut inclure du Tracing ou du
Tracking.
Ces 3 fonctionnalités sont sous la surveillance avisée de la CNIL notamment dans un contexte ou semble « s’institutionnaliser » des obligations de suivi pour des tests Covid, sans compter la collecte des données de santé concernant la vaccination dans le contexte Covid-19 !
Affaire à suivre donc !
Article rédigé à Marseille le 25 Janvier 2021 Véronique RONDEAU ABOULY Avocat au barreau de Marseille, DPO externe.
La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation
personnelle ou à visée professionnelle. Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.
Mots-clefs : Données de santé ; Donnée de bien-être ; Applications mobileE- santé ; traitement Big Data ; RGPD ; Convention 108+
Le cabinet de Maître Rondeau Abouly à Paris et Marseille vous accompagne dans les domaines du Droit du numérique et des technologies avancées, de la Blockchain et des Cryptoactifs, incluant la démarche protection des données et de la vie privée (RGPD & ePrivacy).
Maître Rondeau Abouly met également à votre disposition un service d’horodatage de vos documents numériques sur la Blockchain.
© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales
