Collecte des données de sante : ce à quoi il faut faire attention !
By Anne Marie
Published On 13 juillet 2020
La définition d’une donnée personnelle et d’une donnée de santé
La matière première ou encore l’essence même de la transformation digitale dans le secteur de la santé est la notion de « données » L’efficacité des décisions prises dans un process de digitalisation dépendra en grande partie de la qualité des données collectées. Mais avant tout, posons-nous ces questions : Qu’est-ce qu’une donnée personnelle ? Comment interpréter la notion de donnée de santé ?
Une donnée personnelle est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail etc. Ces données dites sensibles, relèvent d’un cadre particulier qui interdit toute collecte préalable sans consentement écrit, clair et précis et pour certains rares cas validé par la CNIL (Commission Nationale de l’Informatique et des Libertés). En effet la quasi-totalité des formalités déclaratives auprès de la CNIL est supprimée depuis l’entrée en application du Règlement Européen sur la Protection des Données Personnelles (RGPD) https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-faut-il-encore-effectuer-des-declarations-la-cnil
Les données de santé elles, sont spécifiquement liées au domaine de la santé. Selon le Règlement Européen sur la Protection des Données Personnelles (RGPD) qui est entré en application le 25 mai 2018, les données de santé sont : « Des données à caractère personnel concernant la santé qui sont relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». Cette définition implique les informations relatives à une personne physique, celles obtenues lors du test ou de l’examen d’une partie du corps ou encore relatives à une maladie. La notion de données de santé est intrinsèquement liée à la nature des données recueillies. Cette notion révèle donc trois catégories de données : celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…. celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc. et enfin celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
Les données de santé sont donc d’une certaine manière des données personnelles liées à un état de santé.
Les mesures informationnelles dans le cadre de la collecte de données et la certification HDS
Les données de santé ont un caractère « personnel » d’où leur sensibilité grandement liée au facteur de confidentialité. C’est bien pour cela qu’un cadre juridique a été mis en place pour le traitement des données de santé. En effet elles relèvent des dispositions concernant les données personnelles, harmonisées au niveau européen. A cela s’ajoutent des dispositions spécifiques qui imposent des contraintes particulières de fiabilité, de disponibilité, et de sécurité. Dans ce contexte, et comme nous le démontre le site de la HAS (Haute Autorité de Santé) en France un certain nombre de dispositions informationnelles sont à respecter dans le cadre de la collecte de données à consulter à titre d’exemple sur : https://www.has-sante.fr/jcms/c_2905666/fr/protection-des-donnees-personnelles . Il existe également une certification dénommée HDS (Hébergeur de Données de Santé) qui concerne particulièrement l’hébergement et le traitement de données de santé. Il est donc important que vous ou votre prestataire de service en charge de la digitalisation choisissez des hébergeurs adéquats pour l’infrastructure informatique que vous utiliserez ainsi qu’un lieu physique de stockage de données (datacenter) compatibles avec la RGPD.
Les personnes dont les données seront collectées doivent en être informées de même qu’une attention particulière doit être portée sur le choix de l’hébergeur de données de santé.
Le Règlement Général sur la Protection des Données (RGPD) : la conduite à tenir
Après avoir clarifié ce qu’est une donnée de santé et les aspects importants à considérer pour leur collecte, il convient de mettre en lumière les autres points qui devraient retenir toute notre attention lorsque nous parlons de collecte de données afin d’en garantir l’exploitabilité.
La collecte de données dans un processus de digitalisation a un but principal : les exploiter afin que des décisions soient prises pour impacter la vie des citoyens. Ces données collectées sont donc reliées comme nous l’avons exposé plus haut à des personnes physiques. Ces personnes ont le droit d’être informées de l’utilisation qui sera faite de leurs données personnelles. Les informer leur permet de conserver une maîtrise des données les concernant ; ceci étant une obligation du Règlement Général sur la Protection des Données (RGPD).
Le responsable de la collecte des données doit collaborer étroitement avec le responsable des traitements des données qui lui, doit prendre les mesures appropriées pour informer les personnes concernées. En pratique, ce sont les acteurs opérationnels (professionnels de santé notamment) agissant au nom et pour le compte du responsable de traitement (établissement de santé, service de soins, etc.) qui délivrent l’information.
L’information délivrée doit revêtir un caractère concis, transparent, compréhensible. Elle doit être accessible par le citoyen lambda.
Pour répondre à cette exigence, il faut aller à l’essentiel tout en faisant figurer l’ensemble des mentions obligatoires dans le document d’information. Il faut également opter pour un support rendant l’information la plus intelligible possible : utiliser par exemple des pictogrammes visuels, le surlignage des informations essentielles dans des documents écrits ou encore faire recours à des vidéos informationnelles à diffuser dans les salles d’attente etc… Le contenu des informations à délivrer aux « personnes-témoins » varie selon deux cas : celui selon lequel les données de santé ont été collectées directement auprès de la personne concernée et celui où la collecte des données s’est faite de manière indirecte. En fonction du contexte, une multitude de dispositions sont à prendre pour s’assurer que le patient comprenne bien que ses données personnelles seront utilisées, à quelles fins elles le seront et qu’il marque son accord de principe.
Il importe de souligner que lorsque que les données ne sont pas collectées directement auprès de la personne concernée, l’information assurée par le responsable de traitement, doit intervenir au plus tard dans un délai d’un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées. Si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, l’information doit intervenir au plus tard au moment de la première communication à la personne ou, s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
Il y a certaines dispositions à considérer et à respecter avant, pendant et après la collecte des données de santé.
La limite dans un processus de collecte de données de santé
Présenté ainsi l’on pourrait croire qu’il suffit d’informer pour avoir la possibilité de collecter toutes les données souhaitées ; ce qui dans la pratique n’est pas vraiment le cas. Cela nous emmène donc exposer la limite à s’imposer dans un processus de collecte des données : Où faut-il s’arrêter dans la dynamique de collecte des données de santé ?
En moyenne, un détenteur de smartphone sur deux a déjà installé au moins une application dédiée à sa santé. Les informations sont récupérées automatiquement par les objets intelligents puis traitées en masse. Cette pratique intrusive doit susciter la vigilance des utilisateurs, mais aussi celle des industriels et organes de santé qui peuvent ici engager leur responsabilité au regard du caractère sensible de ces informations personnelles collectées. Ces données font l’objet d’une protection renforcée tant au niveau de la collecte que du traitement, qui doivent être autorisés et soumises à un contrôle accru. L’une des inquiétudes majeures de la Commission nationale de l’informatique et des libertés (CNIL) est d’ailleurs liée à des risques potentiels tels que l’exploitation abusive des données personnelles et l’intrusion dans la vie privée des usagers ; nul doute que la Commission appuyée par le G20 ont à cœur la protection de ces données médicales.
Pour pouvoir collecter des données, puis les traiter tout en étant certain que ces informations personnelles ont été recueillies dans les règles de l’art, il convient avant toute chose d’obtenir un consentement en amont pour la collecte des données de santé, ensuite s’assurer qu’elles bénéficieront d’une protection renforcée lors de leur utilisation et enfin se conformer aux principes du cadre juridique en vigueur pour limiter les risques d’atteinte à la vie privée.
Mais une question demeure : la frontière, indéniablement fine entre la collecte des données de santé et le respect de la vie privée est-elle véritablement observée ?
La collecte de données de santé devrait se faire en gardant à l’esprit le respect de la vie privée des « personnes témoin » et les outils informatiques choisis devraient renforcer cet aspect (nous en parlerons dans nos prochains articles).
Restez informé ! Abonnez-vous pour recevoir nos prochains articles.
5 août 2020 at 20 h 25 min
[…] le déclare le RGPD (cf le précédent article relatif au RGPD et à la collecte de données : https://www.cloudlyyours.com/2020/07/13/collecte-des-donnes-de-sante-ce-a-quoi-il-faut-faire-attenti… ) , prévoit la réalisation d’une analyse d’impact sur la protection des données à […]
15 août 2020 at 23 h 40 min
[…] avoir abordé la question relative à la collecte des données à travers notre article, nous nous intéresserons dans cet article, au Dossier Patient […]
9 octobre 2020 at 9 h 56 min
[…] parle d’analyse de données, sous-entend de prime abord, une collecte de données maîtrisée, une thématique qui a fait l’objet d’un article […]
5 Comments
[…] Nous avons dans notre précèdent article abordé le thème relatif à la collecte de données de santé : comment ces données sensibles devraient être collectées tout en tenant en compte des recommandations et conformités des organes en charge du respect de la procédure ; que vous pouvez consulter à via ce lien : https://www.cloudlyyours.com/2020/07/13/collecte-des-donnes-de-sante-ce-a-quoi-il-faut-faire-attenti…. […]
[…] de collecte de données et des techniques de protection de ces données : cf nos articles https://www.cloudlyyours.com/2020/07/13/collecte-des-donnes-de-sante-ce-a-quoi-il-faut-faire-attenti… et https://www.cloudlyyours.com/?p=7634 , la customisation de la plateforme, le […]