En ces temps complexes liés à la crise sanitaire du Covid-19, le développement des projets « E- santé », portés par des applications mobiles explosent.
Nous vous proposons dans ce présent article de réfléchir à quelques définitions et problématiques liées aux « données de santé » au sens très large.
Nous avons préparé cet article en vous commenttant la « Recommandation CM/Rec (2019)2 du comité des ministres aux états membres sur la protection des données relatives à la santé (adoptées par le comité des ministres le 27 mars 2019) ». https://www.apda.ad/sites/default/files/2019- 03/CM_Rec%282019%292F_FR.pdf
Ce texte particluièremen riche concerne la « Donnée de santé », notion transversale à de nombreuses réglementations : RGPD, Directive E- Privacy de 2002, Loi informatique et liberté .
Nous nous adressons plus particulièrement aux « développeurs d’ applications », « financeurs de projets innovants », et aux « responsables de traitement » pour souligner à leur attention les enjeux juridiques applicables à leurs innovations, dans le contexte où depuis le début de la crise sanitaire de 2020, la CNIL procède par ses avis et recommandation à un travail auquel il est intéressant de se référer pour tout ce qui touche de près ou de loin à la « donnée de santé ».
Nous vous proposons d’ouvrir un cycle de plusieurs publications sur ces diverses thématiques :
1)Qu’est-ce qu’une « donnée de santé » exactement ?
La donnée de santé n’est pas définie explicitement par le RGPD qui vise en article 9 § 1 cette donnée comme appartenant à la « catégorie spéciale
des données sensibles », dont le traitement est soumis à des conditions spécifiques.
Pour l’article 9 précité le traitement d’une donnée de santé et par principe interdit sauf à rentrer dans les 10 exceptions limitativement prévues et énumérées par le § 2 alinéas (a), (b), (c), (d), (e),(f), (g),(h),(i),(j), qui soumettent ces traitements à des conditions de forme et de fond très précises.
Le RGPD n’est pas le seul texte européen à s’intéresser à la « donnée de santé ».
La « Convention 108 + » (Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel ) prévoit en son article 6 la protection de « catégories particulières de données » ou « spécial catégories of data » et vise :
Pour ces 3 hypothèses de « spécial catégories of data », l’article 6 de la Convention 108+ ne donne pas non plus de définition de la donnée de santé sauf à soumettre le traitement de ces 3 catégories à des « garanties appropriées ».
C’est la Recommandation CM/Rec (2019)2 précitée qui donnent des définitions explicites afin :
d’éclairer les gouvernements des états membres de l’union sur la prise de
mesures nécessaires pour veiller à la protection des droits des personnes
concernées dans le contexte :
La Recommandation CM/Rec (2019)2 définit différents termes parmi lesquels :
Les données relatives à la santé : « Ce sont toutes les données à caractère personnel concernant la santé physique ou mentale d’une personne, y compris la prestation de services de soins de santé, qui révèle des informations sur la santé passée, actuelle et future de cette personne » (Le DMP évidemment appartient au périmètre de la donnée de santé)
Pour le traitement de ces données particulières le Responsable de traitement se définit : « comme la personne physique ou morale, l’autorité publique, le service, l’agence ou tout autre organisme qui, conjointement avec d’autres, dispose d’un pouvoir de décision en matière de traitement des données ».
Le sous-traitant lui est « Toute personne physique ou morale, autorité publique, services, agents ou tout autre organisme qui traite des données
pour le compte du responsable de traitement ».
Les développeurs d’applications mobiles de santé devraient particulièrement s’intéresser à 2 autres définitions importantes issues de cette Recommandation CM/Rec (2019)2 :
Si la « donnée de bien-être » n’est pas définie par la Recommandation, celle-ci la prend en compte de manière indirecte par la notion d’appareil mobile pour l’intégrer dans la sphère des garanties spécifiques pour tous les traitements qui touchent de près ou de loin à la santé.
Il était difficile pour les autorité européennes de donner une définition de la donnée de bien-être dans un domaine où les technologies innovantes
peuvent rendre très rapidement désuète une définition ; ce qui dans les éventuels contentieux d’application de la réglementation peut s’avérer en
définitive préjudiciable notamment pour la garantie des droits des personnes concernées par le traitement et les problématiques de responsabilité à raison de l’usage de l’application.
La Commission européenne a publié un « document de travail des services de la commission » sur le cadre juridique de l’UE applicable aux logiciels relatifs au mode de vie et au bien-être afin de fournir justement une description non exhaustive de la législation de l’UE concernant ces applications spécifiques.
De ce document de travail, il apparaît que le RGPD ne s’appliquerait pas lorsque les données traitées par les applications relatives au mode de vie et au bien-être ne sont pas transmises en dehors de l’appareil de l’utilisateur. (Mais la plus grande prudence s’impose attention au contexte
de l’utilisation !)
Par contre lorsque les données sont transmises à l’extérieur de l’appareil, elles sont qualifiées de données de santé, et leur traitement n’est autorisé que dans les cas limités et strictement autorisés par l’article 9 § 1 du RGPD, avec au surplus l’obligation conformément aux dispositions de l’article 6 de la Convention 108+, de prévoir des garanties appropriées aussi bien pour la sécurité que l’exercice des droits de la personne.
C’est donc sur le fonctionnement du « Design numérique » (Design graphique et de développement) de l’application que le développeur fera porter ses meilleurs efforts en y incluant :
Les dispositions du RGPD, sur la transparence de l’information comprenant des engagements spécifiques sur l’organisation d’un régime de garantie d’exercice de droits spécifiques pour les personnes concernées par l’utilisation de l’application et des traitements de l’information collectée ne sont pas à prendre à la légère car la notion de « transparence »,prévue à l’article 12 est une notion « pivot » du RGPD.
L’article 12 n’a pas encore livré tous ses « secrets », et la CNIL dans ses 2 décisions rendues à l’encontre de 2 sociétés du groupe Carrefour en Novembre 2020 à justement « rénové » profondément l’interprétation du concept en écho aux avis du CEPD (Comité européen de la protection des données).
S’en découle que la notion de la « transparence » sur l’information préalable au traitement repose sur le principe de la Loyauté à interpréter par rapport à « l’assymétrie » de la situation entre le responsable du traitement qui notamment commercialise l’application et son utilisateur.
Tous les traitements de données permis par les applications mobiles de santé doivent garantir également l’ exactitude et la nécessaire mise à jour des données avec des mesures de sécurités appropriées.
Le § 4. 4 de la Recommandation soulignant que :
« Les responsables du traitement des données et leurs sous-traitants qui ne sont pas des professionnels de la santé ne doivent traiter les données relatives à la santé que conformément à des règles de confidentialité et à des mesures de sécurités qui garantissent un niveau de protection équivalente à celui imposé aux professionnels de la santé »
En matière d’application de santé la frontière entre « données de santé » et « données de bien être » est donc extrêmement poreuse et doit amener dans les 2 cas les développeurs à appliquer à leur développement la démarche « Privacy By Design complétée par un PIA ( Privacy impact Assessment) ou « Etude d’impact » sur la vie privée (EIVP) et la protection des données.
Pour les applications de santé , l’hébergeur doit donc être un prestataire agréé, habilité à stocker des données de santé , et nous ne pouvons que recommander d’envisager aussi de recourir à un hébergeur de santé habilité également pour les applications, et ou objets connectés traitant des données de bien-être.
2) Conclusion Provisoire :
Nous vous proposons de revenir dans un 2 e article sur le contenu de la Recommandation du comité des ministres aux états membres pour redévelopper les notions de :
Nous terminons cet article aussi sur 3 autres définitions qui restent importantes concernant les applications de santé notamment celles
développées contre le Covid 19 comme :
Ces 3 fonctionnalités sont sous la surveillance avisée de la CNIL notamment dans un contexte ou semble « s’institutionnaliser » des obligations de suivi pour des tests Covid, sans compter la collecte des données de santé concernant la vaccination dans le contexte Covid-19 !
Affaire à suivre donc !
Article rédigé à Marseille le 25 Janvier 2021 Véronique RONDEAU ABOULY Avocat au barreau de Marseille, DPO externe.
La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation
personnelle ou à visée professionnelle. Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.
Mots-clefs : Données de santé ; Donnée de bien-être ; Applications mobileE- santé ; traitement Big Data ; RGPD ; Convention 108+