Qu’est-ce ce qu’une donnée de santé ?


Le règlement européen sur la protection des données personnelles, qui entrera en application le 25 mai 2018, procède à une définition large des données de santé.

Quelle définition ?

  • Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
  • Cette définition comprend donc les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.

A noter : jusqu’à présent, la notion de données de santé n’était pas expressément définie par les textes. Seule la jurisprudence française et européenne procédait à cette définition.

  • Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

En pratique, quels impacts ?

  • La notion de données de santé est désormais large. Elle est à apprécier, au cas par cas, compte tenu de la nature des données recueillies.
  • Entrent dans cette notion trois catégories de données :
    • Celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
    • Celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
    • Celles qui deviennent des données de santé en raison de leur destination c’est-à-dire de l’utilisation qui en est faite au plan médical.

A noter : la loi ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne. A titre d’exemple, la loi ne s’applique pas aux applications mobiles en santé qui propose dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données localement sur Smartphone ou tablette, sans connexion extérieure et à des fins exclusivement personnelle.

  • N’entrent pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne concernée (ex : une application collectant un nombre de pas au cours d’une promenade sans croisement de ces données avec d’autres).
  • Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la sensibilité des données s’applique. La liste, ci-dessous, propose un aperçu des différentes législations susceptibles de s’appliquer (cette liste n’étant pas exhaustive, il est nécessaire de procéder à une analyse au cas par cas) :
    • Loi Informatique et Libertés ;
    • Dispositions sur le secret (art. L. 1110-4 du CSP) ;
    • Dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de santé (art. L. 1110-4-1 du CSP) ;
    • Dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8 et s. du CSP) ;
    • Dispositions sur la mise à disposition des données de santé (art. L1460-1 et s. du CSP) ;
    • Interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L 4113-7 du CSP)…

Questions / réponses

Les données recueillies, en dehors d’un contexte médical (nombre de pas, poids, activité quotidienne…), par des outils de mesure de soi (montres, bracelets connectés, applications mobiles, etc.) sont-elles des données de santé ?
Tout dépend d’une part de la nature des données (un poids excessif peut révéler une obésité),  d’autre part du croisement ou non de ces données à d’autres données révélant ainsi des informations sur l’état de santé de la personne.

L’information sur le handicap, contenue dans un traitement, est-elle une donnée de santé ?
Oui, une telle information avec l’entrée en vigueur du règlement européen est une donnée de santé. Pour mémoire, constitue un handicap toute limitation d'activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d'une altération substantielle, durable ou définitive d'une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d'un polyhandicap ou d'un trouble de santé invalidant (art. L. 114 du code de l’action sociale et des familles).

L’information sur un taux d’invalidité, contenue dans un traitement, est-elle une donnée de santé ?
Oui, si le taux d’invalidité révèle que la personne est atteinte d’un handicap au sens de l’article L. 114 du code de l’action sociale et des familles.

L’information sur la prise en charge dans une structure de soins, contenue dans un traitement, est-elle une donnée de santé ?
La seule mention, dans un traitement, qu’une personne est prise en charge dans une structure de soins n’est pas une donnée de santé en tant que telle. En revanche, si les informations collectées dans le traitement donnent des indications sur l’état de santé (ex : admission dans un service hospitalier spécialisé), elles constituent des données de santé.

Le codage CCAM (Classification Commune des Actes Médicaux) est-elle une donnée de santé ?
Oui, si l’information découlant de ce codage conduit à délivrer une information sur l’état de santé ou sur une prise en charge en lien avec une pathologie particulière.

Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est-il une donnée de santé ?
Non, le NIR n’est pas une donnée de santé, y compris lorsque celui-ci est utilisé comme identifiant national de santé.

L’aptitude à l’exercice d’une activité sportive est-elle une donnée de santé ?
Non, l’aptitude à l’exercice d’une activité sportive n’est pas en soi une donnée de santé. Néanmoins, si elle est associée et / ou croisée à d’autres informations comme les circonstances de délivrance du certificat, elle est considérée comme étant une donnée de santé.

 

A retenir

  • La notion de données de santé est désormais définie de manière large par le règlement européen.
  • Aussi, cette notion recouvre non seulement l’ensemble des données découlant des parcours de soins mais aussi celles qui, détenues par d’autres acteurs (développeurs d’application par exemple), constituent une information sur l’état de santé de la personne. 

Références

Considérant 35 et art. 4 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

CJUE, 6 novembre 2003, C-101/01

CE, 19 juillet 2010, n° 317182

CE, 19 juillet 2010, n° 334014

CE, 28 mars 2014, n° 361042