Le Règlement général sur la protection des données personnelles (RGPD / GDPR) entrera en vigueur dans toute l’Union européenne le 25 mai 2018. Il définit de nombreux concepts indispensables dont la définition précise des données de santé.

Données de santé et RGPD

Dans le domaine de la santé, le RGPD adopte une définition qui clarifie la zone d’ombre qui depuis des années entourait les données de santé. Une précision d’importance dans un contexte où ces données sont de plus en plus utilisées par les organisations à des fins notamment commerciales. De plus, les citoyens manifestent une méfiance croissante sur ces utilisations comme le montre l’étude récente d’Odoxa sur ce sujet.

Données de santé : que couvrent-elles ?

Dorénavant, les données de santé sont définies en tant que « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (Chapitre  4 – Article 1 du RGPD).

Elles recouvrent toute information concernant, par exemple, « une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ». Mais également les données génétiques «  relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé », et les données biométriques, « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique ».

Données de santé : comment sont-elles utilisées par les acteurs de la santé ?

Ces données sont utilisées par les acteurs du secteur de la santé dans plusieurs cas. Que ce soit :

  • À des fins de recherche
  • Pour conduire et analyser des études cliniques
  • Analyser et gérer des échantillons
  • Assurer les activités de pharmacovigilance
  • Permettre le développement des bio-banques ou de l’e-santé
différences montant des sanctions avec le RGPD et sans le RGPD

le rgpd définit les Données de santé

Jusqu’à l’adoption du RGPD, les données de santé n’étaient pas définies en droit français. Il appartenait aux différents acteurs de déterminer ce qui relevait de ces données et donc des mesures de sécurité associées. Une gageure quand on sait combien ces données sont sensibles de par ce qu’elles peuvent révéler. Sans compter l’impact négatif que des détournements ou des mésusages pourraient produire sur la vie privée des personnes. Outre les restrictions d’utilisation, le RGPD prévoit notamment qu’une analyse d’impact (AIPD) soit réalisée préalablement à la mise en œuvre d’un traitement. Par la suite, l’AIPD doit être réalisée annuellement, dans la limite de la durée du traitement et de l’utilisation des données.

%

reconnaissent que l'utilisation des données peut faire avancer la recherche médicale

%

sont favorables au partage de leurs données pour de grandes causes

%

ne sont pas prêts à partager leur données sans condition

%

ne les transmettraient pas au-delà des personnels de santé qui les traitent

%

veulent savoir à quelles fins leurs données seront utilisées et faire valoir leur droit d'opposition

Données de santé : entre intérêt et défiance

Un récent sondage réalisé par Odoxa met en lumière la prise de conscience par nos concitoyens de l’intérêt de partager leurs données de santé afin de faire progresser la médecine.

Mais ce sondage révèle également le niveau de méfiance qu’ils manifestent à l’égard des utilisations qui pourraient être faites de leurs données.

Ces résultats démontrent une fois de plus l’intérêt du RGPD, dont l’un des objectifs est de rétablir la confiance entre les citoyens à qui appartiennent les données et les organisations qui les utilisent.

Les personnes interrogées reconnaissent, à une très large majorité (72%), que l’utilisation de leurs données peut faire avancer la recherche médicale et améliorer la santé et sont favorables à 80% au partage de ces données pour de grandes causes : amélioration de diagnostics et de la qualité des soins, mises au point de nouveaux traitements…  

Néanmoins, seules 6% des personnes interrogées sont prêtes à partager leurs propres données sans condition quand elles sont 14% à affirmer qu’ils ne les transmettraient pas au-delà des personnels de santé qui les traitent. Pour les autres, 83%, non seulement cela doit être sous réserve d’anonymat et de partage sécurisé mais de plus elles veulent savoir à quelles fins leurs données seront utilisées et pouvoir faire valoir à tout moment leur droit d’opposition.

Le RGPD : un moteur de confiance

Adopté en 2016, le RGPD a été développé pour favoriser la libre circulation des données personnelles au sein de l’UE. Il favorise la croissance en apportant des garanties sur la sécurité et le respect de la vie privée et les droits des personnes qui se retrouvent renforcés. La non-conformité au RGPD s’accompagne de sanctions financières dissuasives déterminées par les Autorités de contrôle locale (jusqu’à 4% du CA annuel monde ou 20 millions d’euros, le montant le plus élevé étant appliqué) et pour de nombreuses organisations elles sont la raison première d’initier une démarche de mise en conformité au règlement.

Pourtant, les organisations intégrant l’utilisation des données personnelles dans leur métier –  voire même au cœur de leur stratégie de développement – ne pourront le faire sans la confiance des personnes à qui appartiennent ces données comme le montre l’étude Odoxa sur les données de santé.

Finalement, que les organisations agissent par peur des sanctions ou afin de tirer profit du règlement, on peut anticiper que leurs relations avec leurs différents ayant droit internes et externes seront renforcés pour le bénéfice de chacun, la confiance restant la base d’une relation gagnant-gagnant.