Dans une décision en date du 8 août 2014, le juge des référés du TGI de Paris a enjoint à une société de cesser son activité de commerce électronique de médicaments, notamment du fait de l’absence de recours à un hébergeur de données de santé.

 

Cette décision, intéressante en ce qu’elle vient « borner » l’e-pharmacie, l’est tout autant sur un autre aspect, à savoir la notion de « donnée à caractère personnel relative à la santé ».

 

La juridiction a en l’occurrence considéré comme telles des informations telles que les traitements en cours et les antécédents médicaux. Normal.

 

Mais elle a ajouté à cette liste la situation de grossesse et d’allaitement. C’est déjà un peu plus étonnant, dans la mesure où l’information, prise isolément, ne permet pas de déduire quoi que ce soit sur l’état de santé de la personne concernée. Mais le droit médical ayant finalement accepté l’application de l’article L1142-1 à un accouchement par voie basse (initialement, les juges du fond s’y opposaient car cela ne pouvait pas s’analyser comme un acte de soins, de diagnostic ou de prévention), il est logique de voir le droit des données personnelles lui emboiter le pas.

 

Mais le meilleur reste à venir. Les trois premières données personnelles visées dans la partie de la décision relative à l’hébergement de données de santé sont : l’âge, le poids et le sexe. Des données en apparence bien anodines, mais qui peuvent donc s’analyser comme des données à caractère personnel relatives à la santé. L’apport de cette décision est ici extrêmement intéressant, puisque de telles données sont désormais collectées de façon régulière par des applications de mHealth et de wellness. Ce faisant, le TGI semble avoir retenu une acception large de la notion, à l’instar de la Cour de Justice de l’Union Européenne dans sa décision Lindqvist, plutôt que de s’être rangée à la position défendue par le Conseil d’Etat dans ses décisions BNIE et Base 1er degré, au terme desquelles les informations anodines semblaient être exclues du périmètre de la « donnée de santé ».

 

Il faudra donc désormais se montrer particulièrement prudent dans le développement de programme de Quantified Self, de wellness et de mHealth lorsque des données, en apparence anodines, seront demandées aux utilisateurs pour mesurer des informations telles que leur IMC.

Partagez l'article sur les réseaux sociaux

5 commentaires sur “L’âge, le poids et le sexe seraient des données de santé!

  1. Bonjour,

    Puis-je vous féliciter, cher Maitre, de ce nouvel Eldorado qui s’ouvre pour vous ?

    Chaque citoyen va-t-il pouvoir attaquer l’Etat français car il héberge des données biométriques comme la taille d’un individu sur des serveurs non homologués pour l’hébergement des données de santé ? Tous les passeports voient figurer cette information, il me semble ? D’autre part, le passeport en lui même ne peut-il, dans cette acceptation, être considéré comme un support d’information, tout au moins pour les versions récents à puce dites biométriques ?

    Quelle mouche a donc piqué le juge du TGI pour le conduire à assimiler données à informations, au sens informatique du raisonnement ? L’une est une valeur numérique brute, l’autre le résultat d’un traitement qui lui donne une signification supplémentaire à sa seule dimension numérique. Si je poursuis mon raisonnement, dois-je être considéré comme meurtrier en puissance par la simple détention dans un tiroir de ma cuisine d’un couteau, dit à découper, possédant une lame de plus de 18 cm de long, objet dont l’usage occupe de triste manière les chroniques judiciaires ?

    Cette analyse par extension progressive ne risque-telle pas de conduire à des résultats la rendant finalement impropre à l’usage ?

    Cordialement,

    Rémi Dufourcq-Lagelouse
    Pharmacien

    1. Bonsoir,

      Nouvel Eldorado, comme vous y allez! D’une part, je conseille depuis déjà un moment à mes clients de considérer ce trio de données comme des données de santé, d’autre part, il faut tenir compte du contexte.

      Comme vous le soulignez, ces données figurent par exemple sur un passeport biométrique. Mais la finalité n’est clairement pas d’ordre sanitaire, il s’agit ici d’authentifier le porteur du document d’identité. Dans cette hypothèse, les données ne sont pas collectées dans un but en lien avec la santé de l’individu. Il en irait de même lorsque la donnée est collectée par un site de commerce électronique proposant l’achat de vêtements.

      D’ailleurs, l’article 8 de la loi Informatique et Libertés évoque clairement des données « relatives à la santé« . Un lien avec l’état de santé est nécessaire.

      En revanche, si vous prenez en compte une application smartphone qui collecte ces données à des fins de « bien-être », la collecte de ces trois données est clairement en lien avec la (bonne) santé de la personne (à cet égard, la définition de la « santé » donnée par l’OMS est éclairante).

      L’apport de cette ordonnance, dont les termes peuvent encore être invalidés en appel, doit donc être relativisé.

      Bien à vous,

  2. Bonjour,

    Nous sommes bien d’accord que c’est la finalité qui prime pour déterminer si cette ordonnance du tribunal est applicable ou non.

    Cependant, je constate un flou (volontaire ?) chez beaucoup de fabricants d’objets connectés. Les frontières du marché du bien être (wellness) sont poreuses et certains poussent leurs clients à déborder vers la santé.

    Pour les professionnels de santé, cette demande va donc créer un besoin d’équipement (plateformes applicatives permettant le collecte des données partagées, voire leur traitement informatique; hébergement conforme avec la règlementation…). L’offre est pour l’instant assez limitée, surtout du côté de l’hébergement informatique. A lire les documents où sont listés les hébergeurs autorisés, la déclaration administrative faite par ces hébergeurs semble comporter une description succincte de l’usage de cet espace de stockage : Stockage des données produites par l’exploitation du logiciel machinchose 2.1.15 de la société bidulchose, par exemple. Je crains que la règlementation ne facilite pas l’extension de ce type d’offre destinées à des professionnels individuels.

    Cordialement

    1. Bonjour,

      Je suis parfaitement d’accord avec vous concernant ce flou juridique en matière d’objets connectés. La notion de « donnée de bien-être« , qui serait distincte de celle de « donnée de santé« , me paraît extrêmement délicate à justifier, notamment au vu de la jurisprudence communautaire.

      Et effectivement, ce genre de nuance constitue un enjeu majeur pour les professionnels de santé. Un médecin ne peut ainsi pas sérieusement envisagé d’utiliser ce genre d’outil dans le cadre de son activité professionnelle si l’objet n’est pas marqué CE (et dans ce cas, autant parler directement de dispositif médical). Et à supposer qu’il puisse le faire dans des conditions de sécurité adéquates, cela supposerait un système d’information entièrement conforme aux dispositions du Code de la Santé Publique.

      En revanche, concernant l’hébergement de données, le résumé figurant sur le site de l’ASIP Santé est trompeur. Les candidats à l’agrément doivent en effet fournir un dossier de plus ou moins 1 000 pages. La description y est complète, mais elle est couverte par le secret industriel et commercial. Elle ne peut donc pas être publiée en accès libre. En pratique, les clients des hébergeurs ont accès aux informations nécessaires lorsqu’ils contractualisent.

      bien cordialement,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *