Marguerite Brac de la Perrière : "les utilisateurs doivent rester maîtres de leurs données"

Le 17/10/2017 (Mis à jour le 19/10/2017) - Par Bruno Texier
"A ce jour, la protection des données de santé est a priori garantie", Marguerite Brac de la Perrière. (DR)

Sommaire du dossier :

Marguerite Brac de la Perrière est avocate et directrice du département santé numérique au sein du cabinet Lexing Alain Bensoussan Avocats. Elle est également co-auteure de l'ouvrage « Informatique, télécoms, internet » (éditions Francis Lefebvre, 2012).

Quelle est la législation actuelle en matière de protection des données personnelles à caractère médical ?

Il existe une base de réglementation sur les données à caractère personnel avec la loi Informatique et libertés de 1978 et le Règlement général sur la protection des données (RGPD, 2016).

Il existe ensuite des dispositions issues du Code de la santé publique. Celui-ci couvre notamment la notion de secret médical ainsi que le partage des données de santé entre professionnels de santé.

Rappelons également l'existence de dispositions sur l'hébergement des données de santé : cet hébergement est aujourd'hui conditionné par un agrément, demain il le sera par une certification sur la base d'un référentiel

Le passage d'un agrément à une certification signifie-t-il des contraintes supplémentaires pour les acteurs de l'hébergement ?

Aujourd'hui, il suffit de déposer un dossier de demande d'agrément et d'y répondre de façon déclarative ; demain, il faudra réaliser un audit avant la délivrance d'une certification. Cela débouchera sur une meilleure homogénéisation des pratiques. La certification va surtout permettre plus de... 

...transparence et des traitements plus rapides.

À ce jour, les acteurs se positionnent tous pour recevoir ou renouveler leur agrément, car aucun d'entre eux ne veut payer les pots cassés de la certification. Mais il n'y aura pas forcément de pots cassés !

Cette législation est-elle adaptée à la multiplication des objets connectés (montres, bracelets, balances, capteurs divers...) qui recueillent de nombreuses données sur les utilisateurs ?

Le règlement européen est très, très strict sur la confidentialité des données personnelles en général. Il rappelle que les utilisateurs doivent rester maîtres de leurs données et qu'ils sachent où elles sont hébergées et à quelles fins elles sont utilisées. Est-il adapté aux nouveaux usages générés par ces objets connectés ? Il convient de distinguer les dispositifs destinés à des fins médicales (détection de la glycémie pour les patients diabétiques par exemple) et ceux qui sont dédiés au bien-être ou aux activités sportives.

Il n'y a pas le même degré d'exigence de confidentialité des données entre les dispositifs strictement médicaux et ceux qui calculent le nombre de kilomètres que vous effectuez lorsque vous courrez. Dans le premier cas, des données médicales qui tomberaient entre des mains malveillantes pourraient par exemple donner lieu à une interdiction de prêt immobilier.

Pour les industriels, il s'agit d'une vraie difficulté de distinguer les données médicales qui sont très sensibles, les données de santé à caractère personnel qui sont sensibles, et les données personnelles liées au bien-être. Les frontières entre ces différentes catégories ne sont pas faciles à tracer.

Faut-il faire évoluer le droit ?

Le droit a déjà beaucoup évolué ces dernières années ! Le RGPD qui sera applicable à partir du 25 mai 2018 est une avancée considérable pour la protection des données à caractère personnel en général.

Citons également la loi nº 2016-41 du 26 janvier 2016 pour la modernisation de notre système de santé qui a complètement redéfini le régime de partage des données et la définition d'une équipe de soins. De nombreuses ordonnances accompagnant ces nouvelles dispositions ainsi qu'une réforme du droit des contrats ont impacté l'exploitation des données personnelles. Je ne crois pas nécessaire de faire évoluer le droit qui propose aujourd'hui de nombreuses garanties.

Que dit le droit sur l'hébergement des données de santé ?

Un établissement habilité à traiter les données de santé et mettant en œuvre les mesures de sécurité et de confidentialité nécessaires n'a pas besoin de recourir à un hébergement agréé ou d’être agréé. En revanche, un établissement qui souhaite externaliser l'hébergement de ses données de santé doit faire appel à un prestataire agréé, et bientôt certifié. À ce jour, la protection des données de santé est a priori garantie.

À lire sur Archimag