Comprendre pour entreprendre : Les données de santé bénéficient d’un régime de protection particulier. Pourquoi ?

Jessica Eynard : Il est, en principe, interdit de collecter et traiter des données personnelles de santé, car elles sont considérées comme sensibles, de la même manière que les caractéristiques ethniques des individus, leur orientation sexuelle, leur opinion politique, leur religion ou leurs données génétiques. L’accès à de telles données, par exemple par un employeur, un assureur ou une banque, peut en effet les amener à des discriminations : refuser une promotion à un salarié sur la base de son état de santé, demander une prime de risque ou un taux d’intérêt plus élevé à des clients souffrant d’une maladie chronique... Pour pallier ce risque, en France, la loi du 6 janvier 1978 et, depuis 2018, le Règlement général sur la protection des données (RGPD), encadrent le traitement de ces données. Mais si l’interdiction de traitement est la règle, celle-ci souffre de nombreuses exceptions.  

Quelles sont ces exceptions ?

Elles sont assez diverses. La collecte est autorisée par exemple s’il y a un consentement « libre, éclairé, spécifique et univoque » de la personne concernée, par exemple lorsqu’elle télécharge une application pour suivre son taux de glycémie ou son rythme cardiaque.

Les médecins peuvent aussi collecter des données pour leur fichier patient, avec nos analyses de sang, nos radios, l’histoire de nos pathologies, ... La loi organise aussi désormais l’intégration de ces données dans des plateformes soumises au principe de l’Open data. On pense ici notamment au Système national des données de santé (SNDS) et à la Plateforme des données de santé (Health Data Hub).

Quels risques vous semblent majeurs ?

Il y a bien sûr la question du risque de piratage. Pendant la période de confinement, au printemps 2020, un hôpital en Bretagne a été paralysé à cause d’un piratage informatique. Le risque zéro n’existe pas.

Il faut aussi s’inquiéter des applications de « bien-être » qui se multiplient en marge de la législation applicable en matière de dispositifs de santé. La plupart des utilisateurs les télécharge sans lire les conditions générales d’utilisation. Du coup, ils consentent parfois sans le savoir à ce que des données assez sensibles soient exploitées économiquement. Des mesures devraient être prises à ce propos et une amélioration de l’information pour la rendre claire, transparente et donc efficace est certainement souhaitable. On peut aussi appeler de nos vœux une prise de conscience des usagers.

Le manque de souveraineté numérique de l’Europe vous pose aussi problème...

Sans s’en rendre compte, on fournit de nombreuses informations sur notre santé à Facebook ou Google quand on fait des recherches concernant telle ou telle pathologie ou quand on échange sur le sujet via des messageries non sécurisées.

Pendant la période du confinement liée à l’épidémie de Covid-19, les téléconsultations se sont aussi multipliées. Des patients ont utilisé alors des applications comme Skype ou Facetime, qui appartiennent à Microsoft, à Google, à Apple. Quid du secret médical ? Celui-ci est-il vraiment préservé ? Ces données constituent pour ces firmes une mine d’or. Il n’y a qu’à voir comment elles rachètent les start-ups possédant ce type de données (voir par exemple la volonté de Google de racheter la société Fitbit) et comment elles investissent dans des algorithmes puissants pour pouvoir les exploiter.

Qu’en est-il de Stop Covid ?

Selon les chercheurs en informatique, cette application capte plus d’informations que ce qui était annoncé et la technologie employée, le bluetooth, suscite certaines craintes (voir vidéo). Néanmoins, l’application StopCovid ne semble pas celle dont il faut le plus s’inquiéter. Elle a été au final peu téléchargée. La plateforme nationale initiée à l’automne 2019 pour rassembler les données de santé françaises, le Health Data Hub, moins connue du grand public, renvoie à des enjeux beaucoup plus importants, en particulier encore, des enjeux de souveraineté.

Le Health Data Hub vise à faciliter les recherches en santé. Que craignez-vous ?

La gestion de cette gigantesque base de données de santé française a été confiée a priori à la société américaine Microsoft. Or, les entreprises soumises au droit américain peuvent se voir imposer la communication aux autorités américaines des données qu’elles hébergent. C’est un problème majeur, qui a suscité un tollé. La situation risque d’évoluer. Il faudrait faire appel à un hébergeur soumis exclusivement à la législation française ou européenne.

Autre nouveauté, le dossier médical partagé va désormais être ouvert automatiquement pour tous les patients, excepté en cas d’opposition manifeste. À nouveau, vous pointez des risques ?

Ce dossier médical partagé vise à rassembler toutes les informations concernant les patients afin d’éviter que les mêmes examens médicaux soient refaits inutilement par exemple. Mais, jusqu’à présent, seuls les Français volontaires créaient un tel dossier. À partir du 1^er juillet 2021, pour accélérer le processus, ce DMP sera ouvert automatiquement pour tous, excepté en cas d’opposition manifeste. Il sera inclus dans un espace numérique de santé, comportant nos données administratives et les remboursements de la sécurité sociale. C’est un progrès indéniable. Mais la question de la sécurité sera centrale. Le piratage de ces données centralisées pourrait avoir des conséquences considérables.