RGPD : vos données de santé sont en sécurité

La réglementation française protège aujourd’hui parfaitementles utilisateurs, qui ne doivent pas avoir peur de confier leurs données à des services de santé. Le RGPD vient en complément de cette réglementation, pour faciliter l’accès et le contrôle des patients sur leurs données de santé.

Geoffroy Tremblin, CTO de Feelae

Geoffroy Tremblin, CTO de Feelae

Si le scandale Cambridge Analytica, au cours duquel les utilisateurs ont découvert que Facebook partageait massivement leurs données est loin d’être fini, il a mis en lumière le manque d’informations du grand public sur l’usage de ses données personnelles. C’est dans ce contexte de défiance que le RGPD* entre en vigueur et impose un cadre au secteur du numérique, jusqu’ici peu soucieux de confidentialité. Parce que toutes les entreprises qui ont des activités en Europe sont concernées, Google, Apple, Samsung et toutes les entreprises qui jusqu’à présent collectaient les données de santé des utilisateurs, entre autres via des objets connectés – type montres, smartphones, balances – vont devoir respecter le RGPD qui, bien que juridiquement européen, s’étend par ricochet au monde entier.

Les données de santé : un but médical et non commercial

Une donnée personnelle est une information qui définit une personne et permet de l’identifier. Une donnée de santé, quant à elle, est une donnée personnelle spécifique portant sur les informations de santé d’une personne comme son poids, sa fréquence cardiaque ou ses antécédents médicaux. Les données de santé sont très importantes pour les médecins lors de la prise en charge d’un patient, car elles lui donnent un contexte qui améliore son diagnostic. Il est particulièrement important de protéger ces données car, détournées de leur usage, elles pourraient servir à des dérives comme par exemple être exploitées par des mutuelles pour moduler leurs prix en fonction du profil des patients. Pour garantir un juste accès aux soins, il est fondamental que ces données soient utilisées dans un but médical et non commercial. Pour cela, il faut garantir que seules les personnes accréditées aient accès à ces données, c’est-à-dire le patient lui-même et son médecin traitant.

dsi defis cachés

Le RGPD simplifie le contrôle et l’effacement des données

Fort heureusement, la France dispose déjà d’une législation stricte en matière de données de santé. Depuis 1998, les lois informatiques sur la santé sont très protectrices vis-à-vis des patients. L’entrée en vigueur du RGPD n’y apportera pas de grand changement, si ce n’est de simplifier le droit à l’accès et à l’effacement de ses données par le patient, qui n’aura désormais plus besoin de passer par la CNIL**. Par exemple, un service de télémédecine est déjà dans l’obligation de stocker ses données en France, dans un DataCenter agréé données de santé. À cela, le RGPD ajoute l’obligation de faciliter leur accès : à partir d’un simple bouton, l’utilisateur doit pouvoir modifier l’accès des différents services à ses données y compris les retirer. Le véritable changement apporté par le RGPD en matière de données de santé n’est donc pas dans la protection des données en elles-mêmes mais dans la manière dont l’utilisateur y accède et en régule l’accès.

 Le RGPD n’empêche pas de profiter des données

Les données personnelles doivent être protégées. Néanmoins, il serait dommage de se priver des formidables améliorations que leur analyse peut offrir à la santé publique. Comment alors, parvenir à trouver le bon équilibre entre respect de la vie privée et utilisation des données à des fins médicales ? Grâce à l’anonymisation des données. Anonymes, elles deviennent des données spécifiques qui n’ont plus rien de personnelles et peuvent, par exemple, être utilisées pour améliorer la médecine préventive. Dans les années à venir, un nombre croissant de données de santé va être exploité par des services publics comme privés pour améliorer la prise en charge des patients. Grâce à la législation française et au RGPD, les utilisateurs ne doivent pas avoir peur pour leurs données de santé, mais au contraire accueillir cette transformation numérique de la santé comme une révolution de la prise en charge.

Le numérique a longtemps été un secteur concurrentiel très peu réglementé, ce qui a permis de faire émerger des acteurs majeurs. Cette situation doit pourtant aujourd’hui être encadrée pour protéger la vie privée des internautes et empêcher des dérives mercantiles. C’est la raison d’être du RGPD qui, en régulant ce secteur, lui donne le second souffle dont il a besoin pour retrouver la confiance des internautes.

*Règlement général sur la protection des données

** Commission nationale de l’informatique et des libertés