Le règlement général relatif à la protection des données (RGPD) précise les contours juridiques de la notion de donnée de santé. La CNIL s’est appropriée cette notion en posant trois critères de détermination. Explications.

Des années durant, professionnels de santé, juristes, industriels et autorités publiques se sont écharpés à propos de la notion de donnée relative à la santé. Pour l’anecdote, j’ai pu assister à un congrès de médecine légale qui considérait que les dossiers médicaux ouverts au sein d’une unité médico-judiciaire ne constituaient pas des données relatives à la santé.

Le Règlement Général relatif à la Protection des Données (RGPD), qui entrera en application le 25 mai 2018, constituait une première avancée. En effet, la loi n° 78-17 du 6 janvier 1978 et la directive n° 95/46 du 24 octobre 1995, si elles prohibaient par principe le traitement de données relatives à la santé, avaient omis de définir la notion. Reprenant l’essence de l’arrêt Lindqvist (CJCE, 6 novembre 2003, n° C-101/01, §50), l’article 4 du RGPD nous indique désormais que doivent être considérées comme des « données concernant la santé, les données (…) relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Soucieux de donner du corps à cette définition, le législateur a assorti cette définition de pas moins de 8 lignes d’illustration. Leur lecture nous apprend ainsi que les données relatives à la santé peuvent concerner « l’état de santé physique ou mentale passé, présent ou futur de la personne concernée », et ce « indépendamment de [leur] source ».

Ça y est. Vous disposez d’une définition. Je doute pour autant que celle-ci satisfasse la majorité des lecteurs, tant elle laisse le champ libre à l’interprétation, à la casuistique. 

Alors qu’elle avait jusqu’alors conservé un inexplicable silence – le guide Professionnels de santé[1] n’eut-il pas été le document dans lequel apporter quelques précisions ? – la CNIL a tiré les conséquences de l’adoption du RGPD et dégagé trois critères pour qualifier une information de donnée relative à la santé[2] :

• La nature même de la donnée : concrètement, les informations relatives aux antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements et même aux handicaps d’une personne sont relatives à sa santé ;

• L’apparition d’informations relatives à la santé du fait du croisement de données : le croisement de la taille et du poids d’un individu permet ainsi de dégager son indice de masse corporel (IMC) et de « tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne», de même que de croiser la seule information relative au poids de l’individu avec ses apports caloriques quotidiens ;

• La finalité d’utilisation de la donnée : il s’agit ici d’intégrer dans le champ de la notion de donnée relative à la santé des informations qui n’en ressortent manifestement pas, mais qui seront susceptibles d’être utilisées « au plan médical». L’exemple type, en médecine est la collecte de données sur l’origine ethnique de la personne qui permet une adaptation du traitement ou une meilleure évaluation du risque, pour certaines pathologies.

Les connaisseurs des jurisprudences Base Elèves 1er degré et BNIE[3], qui conditionnaient la qualification de donnée relative à la santé aux informations précises et non-neutres sur l’état de santé d’une personne, noteront certainement, à l’image de la CNIL, que « la notion de données de santé est désormais large ».

C’est indéniable. Mais cet élargissement s’accompagne d’une définition et de trois critères de qualification, ce qui devrait néanmoins renforcer la sécurité juridique des professionnels, établissements et industriels de santé.

[1] https://huit.re/Guide_Pro_Sante.
[2] https://huit.re/CNIL_Donnee_Sante.
[3] CE, 19 juillet 2010, n° 317182, 323441 et 334014.

Pierre Desmarais
Avocat
Consultant cybersécurité
(IS027001 LI / ISO27005 RM)

Article publié précédemment sur le site de mind Health

Partagez l'article sur les réseaux sociaux

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *