Données de santé à caractère personnel : un traitement précisé par le Conseil de l’Europe et le Comité européen de la protection des données (CEPD) (eu)
Europe > Droit privé > Droit européen > Protection des données personnelles
Cabinet Staub et Associés
Mai 2019
Le caractère sensible des données personnelles relatives à la santé appelle à des précisions s’agissant de leur traitement. À ce titre, le Conseil de l’Europe a publié le 27 mars 2019 des lignes directrices [1] à l’attention des 47 Etats membres afin d’encadrer les traitements des données personnelles dans le domaine médical. Cette recommandation s’inscrit dans la prolongation de l’avis rendu le 23 janvier 2019 [2] par le Comité Européen de la Protection des Données (CEPD) sur l’interaction entre le Règlement relatif aux essais cliniques (CTR) et le Règlement (UE) 2016/679 sur la protection des données (RGPD) [3].
Rappel sur la notion de données de santé à caractère personnel
Définition des données de santé à caractère personnel
Dans une lettre du 5 février 2015 adressée à la Commission Européenne en réponse à ses travaux sur la santé mobile et son annexe relative aux données de santé dans les appareils et applications, le G29 (aujourd’hui CEPD) avait défini de manière large les données de santé à caractère personnel.
Sont ainsi considérées comme données de santé à caractère personnel:
- Les données médicales, c’est-à-dire les données sur l’état de santé physique ou mentale d’une personne qui sont générées par un professionnel de santé dans un contexte
- Les données de santé de façon plus générale, qui permettent de déduire un état de santé physique mental. Entrent ainsi dans cette catégories les données relatives aux habitudes alimentaires ou assimilées (telles que la consommation de médicaments, d’alcool ou de drogues, allergies), les adhésions à des groupes de soutien en lien avec la santé (ex : Alcooliques Anonymes), les données collectées par les administrations ou les organismes de sécurité sociale (ex : quand un foyer inclut une personne malade pour la déduction de taxes ou l’octroi d’aides) ou encore les données concernant l’achat de dispositifs médicaux et médicaments.
- La combinaison de données brutes avec d’autres données (ex : le nombre de pas enregistrés par une application combinée à d’autres données, comme l’âge de la personne qui permet de tirer des conclusions sur l’état de santé de la personne).
Ainsi, les données de santé à caractère personnel représentent une catégorie extrêmement diversifiée et large dont les enjeux sont significatifs, notamment avec le développement des technologies et des problématiques de vie privée (ex : destinataires des données, finalité ultérieure, recueil d’un consentement explicite).
La définition issue du RGPD s’inscrit dans la continuité des travaux du CEPD en adoptant une vision large des « données de santé à caractère personnel».
Le RGPD met en exergue trois catégories dans lesquelles il est possible de ranger les données de santé :
- les données de santé par nature ;
- celles, qui du fait de leur croisement avec d’autres données deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne ;
- celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
Protection des données de santé à caractère personnel
Les données de santé à caractère personnel sont protégées au titre de la loi Informatique et Libertés (art. 8, § I [4]), de l’article 9 du RGPD mais également de l’article L. 1110-4 du code de la santé publique [5].
En effet, l’article 8, paragraphe I, de la loi Informatique et Libertés [6] précise que les données de santé à caractère personnel sont sensibles et qu’en ce sens, tout traitement est interdit. Cependant, le paragraphe II du même article énumère les exceptions s’agissant desquelles leur traitement peut être autorisé.
L’article 9[7] du RGPD est construit sur le même modèle puisque le traitement des données de santé est dans un premier temps interdit, avant que des exceptions à cette interdiction ne soient énumérées de manière limitative.
Enfin, l’article L. 1110-4 du code de la santé publique [8], modifiée par la loi du 26 janvier 2016 portant modernisation du système de santé français, précise les catégories de professionnels susceptibles d’intervenir dans la prise en charge des données d’une personne.
Or, le paragraphe 3 de l’article 9 du RGPD dispose que « les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel »
Par conséquent, les articles du RGPD doivent être lus à la lumière de ceux du code de la santé publique.
Le domaine de la santé n’échappant ainsi pas au paradigme nouveau du RGPD, le traitement de l’ensemble des données traitées dans ce cadre a fait l’objet de précisions par le Conseil de l’Europe et par le CEPD.
Avis du CEPD rendu le 23 janvier 2019 concernant les interactions entre le Règlement relatif aux essais cliniques (CTR) et le Règlement (UE) 2016/679 sur la protection des données (RGPD) : focus sur les essais cliniques
Suite à une requête de la Commission Européenne (DG Santé), le Comité européen de la protection des données a rendu un avis permettant de mieux appréhender l’articulation du Règlement relatif aux essais cliniques [9] (CTR) avec le RGPD.
En Europe, l’encadrement éthique et réglementaire des essais cliniques relève de la directive 2001/20/CE du 4 Avril 2001 [10].
Cependant, le règlement 536/2014 relatif aux essais cliniques [11] (CTR) devrait entrer en application en 2020 avec pour objectifs principaux la simplification et l’harmonisation des réglementations relatives aux essais cliniques.
Dans cet avis, le CEPD concilie l’application du CTR avec celle du RGPD en précisant la nature des traitements de données personnelles pouvant être opérés dans le cadre d’essais cliniques.
Le traitement des données de santé fait également l’objet de clarifications.
Il s’agit ainsi d’appréhender les deux textes de manière complémentaire et de ne pas les opposer.
À ce titre, le CEPD opère deux distinctions majeures :
- Entre l’utilisation première des données d’une part, et l’utilisation secondaire des données d’autre part ;
- Puis, au sein des utilisations premières des données, entre les activités de recherche en tant que telles d’une part, et les opérations de traitement liées à protection de la santé grâce à la fiabilité et à la sécurité du produit (par exemple, s’assurer du respect des normes sanitaires par le produit une fois les recherches achevées) d’autre part.
Nous avons réalisé un schéma synthétisant les principes exposés dans l’avis du CEPD :
Utilisation première des données personnelles issues de l’essai clinique
Dans son avis, le CEPD considère que l’ensemble des opérations de traitement effectuées pendant l’essai clinique constituent des utilisations premières.
Ainsi, du début de l’essai clinique à l’archivage de ce dernier, l’ensemble des données sont destinées à des traitements initiaux.
Cependant, toutes les opérations de traitement ne poursuivent pas la même finalité. À cet égard, il faut distinguer celles liées aux activités de recherche en tant que telles, de celles liées à la protection de la santé, à travers la fiabilité et la sécurité des produits développés.
Cette distinction est primordiale afin de connaitre la base de licéité
S’agissant des traitements poursuivis à des fins d’activités de recherche
Dans le cadre d’activités de recherche en tant que telles liées aux essais cliniques, les traitements réalisés ne peuvent se fonder sur le respect d’une obligation.
À cet égard, le CEPD distingue dans son avis 3 bases de licéité possibles et précise quelles sont les plus pertinentes d’entre elles.
Consentement (article 6(1)(a) et article 9(2)(a) du RGPD)
Le développement sur le consentement dans le cadre d’essai clinique est sans doute l’apport majeur de l’avis du CEPD. En effet, le comité souligne la distinction qui doit être faite entre l’appréhension du consentement en vertu du RGPD et celle en vertu du CTR.
Les deux notions ne s’équivalent pas.
Ainsi, et comme l’indique l’avis, le consentement éclairé aux termes du CTR relève de la dignité humaine alors que le consentement aux termes du RGPD constitue une base légale du traitement des données (article 6(a) du RGPD [12]) ou permet de contourner les interdictions de traitement (9(2)(a) du RGPD [13]).
Afin de rendre licite le traitement d’une donnée personnelle, il s’agit plutôt de s’intéresser à la détermination du consentement au sens du RGPD.
Le CEPD souligne le fait qu’une attention particulière doit être portée au caractère libre du consentement. Or, dans le cadre d’essais cliniques, plusieurs situations peuvent écarter le caractère libre d’un consentement.
En effet, l’avis énumère différents exemples rendant caduque le consentement : lorsqu’on se trouve en présence d’une personne appartenant à un groupe socioéconomique défavorisé ou, en présence d’une dépendance hiérarchique ou institutionnelle, qui influencerait de manière déséquilibrée une personne à participer à un essai clinique.
Les conditions d’un consentement libre ne seraient en ce sens pas rencontrées.
Le CEPD souligne également les risques que représente le retrait du consentement de la personne concernée au cours de l’essai clinique. En effet, l’article 28.3 du CTR [14] et l’article 7(3) du RGPD [15] prévoient que « la personne concernée a le droit de retirer son consentement à tout moment ».
Si le traitement des données a pour base légale le consentement, le responsable de traitement est placé dans une situation assez incertaine car la poursuite de l’essai clinique peut être à tout moment menacée par le retrait du consentement, l’avis du CEPD associant ce retrait du consentement à l’article 17 du RGPD [16] s’agissant du droit à l’effacement ou droit à l’oubli.
Pour l’ensemble de ces raisons, le CEPD considère le recours au consentement de la personne concernée comme peu adéquat dans le cadre de la recherche scientifique.
Intérêt public (article 6(1)(e) du RPGD)
La première alternative au consentement considérée par l’avis du CEPD et celle prévue à l’article 6(1)(e) du RGPD [17] s’agissant de l’intérêt public.
En effet, cet article prévoit que le traitement d’une donnée est licite s’il est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
Dans le cadre des essais cliniques, l’intérêt public pourrait être retenu en ce qui concerne l’épidémiologie par exemple
Intérêt légitime du responsable de traitement (article 6(1)(f) du RGPD)
La dernière base légale envisagée par le CEPD dans son avis est celle énoncée à l’article 6(1)(f) du RGPD [18] énonçant que le traitement est licite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement».
A cet égard, le CEPD souligne l’importance de mettre en balance les intérêts du responsable de traitement avec ceux de la personne concernée afin de ne pas contrevenir de manière disproportionnée aux droits fondamentaux de cette dernière.
En somme, le CEPD considère que le consentement est une base légale peu adéquate et recommande aux responsables de traitement de recourir à l’intérêt public ou à leur propre intérêt légitime afin de justifier le traitement de données dans le cadre des essais cliniques.
S’agissant des traitements poursuivis à des fins de fiabilité et de sécurité
Lorsqu’un traitement de données est imposé par le CTR ou par une loi nationale, et qu’il poursuit des fins de protection de la santé du fait de la fiabilité et sécurité recherchées, le CEPD considère que ces opérations ont pour base légale l’article 6(1)(c) [19] qui dispose que le traitement est licite s’il est « nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ».
Pour les données sensibles à l’instar des données de santé à caractère personnel, et que ce soit dans le cadre de la recherche ou de la prévention de la santé via la sécurité des produits, le responsable de traitement peut recourir à la base légale prévue à l’article 9(2)(i) du RGPD [20] qui souligne que le traitement est licite s’il est « nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre des menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ».
L’utilisation secondaire des données personnelles issues de l’essai clinique
Dans le cadre d’essais cliniques, il peut arriver que le périmètre du traitement des données évolue au fil des années.
Se pose alors la question de savoir si le responsable de traitement peut utiliser les données, collectées et traitées dans le cadre de l’essai clinique, à d’autres fins.
Ainsi, le CEPD précise dans son avis que toute nouvelle finalité de traitement suppose une nouvelle base légale aux termes du RGPD.
En revanche, le CEPD retient une exception à ce principe s’agissant de certaines utilisations secondaires particulières, à l’instar de celles liées à de nouvelles recherches scientifiques.
En effet, la notion de « présomption de compatibilité » prévue à l’article 5 du RGPD [21] peut justifier le fait qu’aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel ne soit requise.
L’avis du CEPD renvoie à l’article 89 du RGPD [22] relatif aux « garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » instaurant un régime susceptible d’exclure l’obligation du responsable de traitement à obtenir une base légale distincte de la base légale initiale.
La Commission européenne est cependant invitée par le CEPD à préciser l’application de cette présomption de compatibilité en matière d’essais cliniques. À suivre, donc.
Recommandation du Comité des Ministres aux Etats membres en matière de protection des données relatives à la santé du 27 mars 2019
Dans le cadre de cette nouvelle recommandation [23], les 47 Etats membres sont invités à encadrer le traitement des données relatives à la santé afin de garantir le respect des droits et libertés fondamentales des individus.
Ces lignes directrices intègrent les principes directeurs du RGPD et s’appliquent aux traitements des données de santé dans le secteur public et privé.
Conditions juridiques du traitement des données relatives à la santé
Sont mises en exergue dans le texte les conditions juridiques du traitement des données relatives à la santé, à savoir : traitement transparent, licite et loyale.
Des mesures de sécurité appropriées, « tenant compte des derniers développements technologiques, de la nature sensible des données relatives à la santé et de l’évaluation des risques potentiels » doivent notamment être mises en place dès la phase de conception des systèmes d’information effectuant le traitement, afin d’éviter tout risque.
La recommandation détaille également les bases légales du traitement des données relatives à la santé et permet en ce sens une meilleure compréhension et application du RGPD dans ce domaine.
Les données de santé peuvent ainsi être traitées dès lors que :
- des garanties appropriées sont inscrites dans la loi et que le traitement est nécessaire (la recommandation énumère l’ensemble des traitements considérés comme nécessaires, à l’instar de la sauvegarde des intérêts vitaux ou des diagnostics médicaux) ;
- la personne concernée a donné son consentement (libre, spécifique, éclairé et explicite) sauf dans les cas où le droit prévoit qu’une interdiction de traiter des données de santé ne peut être levée par le seul consentement ;
- "le traitement est nécessaire à l’exécution d’un contrat conclu par ou au nom de la personne concernée avec un professionnel de santé soumis aux conditions définies par la loi, y compris une obligation de secret ;
- les données relatives à la santé ont été manifestement rendues publiques par la personne.
Une attention particulière est portée par la suite aux traitements de données de santé très sensibles comme celles relatives à l’enfant à naître ou celles relatives aux données génétiques.
Des principes encore plus protecteurs sont alors à observer.
Droits de la personne concernée
La transparence du traitement confère à la personne concernée des droits, et notamment un droit à l’information. Aucune nouveauté par rapport au texte du RGPD n’est apportée par la recommandation.
Le responsable est donc soumis à l’ensemble des obligations prévues par le RGPD et toutes les mentions obligatoires doivent être communiquées à la personne concernée par le traitement (voir Chapitre III du RGPD).
Recherche scientifique
Un chapitre de la recommandation est consacré à l’utilisation des données de santé dans le cadre de la recherche scientifique. Le principe est que « les données relatives à la santé ne devraient, en principe, être traitées dans un projet de recherche scientifique que si la personne concernée y a consenti ».
À ce titre, la recommandation précise que lorsque qu’il est difficile de définir de façon préalable les finalités des différents projets de recherche au moment de la collecte des données, « les personnes concernées doivent au moins pouvoir donner un consentement uniquement pour certains domaines de recherche ou certaines parties de projets de recherche » (15.6).
Cependant, « la loi peut prévoir le traitement de données relatives à la santé à des fins de recherche sans que la personne concernée y ait consenti. Les dispositions d’une telle loi devraient être proportionnées à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée » (15.3).
À la lecture de la recommandation, et notamment du chapitre relatif aux recherches scientifiques, des incertitudes semblent néanmoins apparaître.
En effet, alors que l’article 5(a) [24] de la recommandation prévoit que le traitement de données de santé peut être légitime du fait de sa nécessité à des fins de recherche scientifique, il est par la suite précisé que le consentement de la personne concernée est requis.
Or, ne serait-ce pas une seconde base légale imposée ? Le consentement visé étant celui au sens du RGPD.
Par ailleurs, la recommandation du Comité de l’Europe intervient après l’avis du CEPD s’agissant des essais cliniques, avis qui avait notamment souligné le fait que le consentement n’était pas une base légale pertinente s’agissant du traitement des données dans le cadre des recherches scientifiques.
Il n’en reste que la personne concernée par le traitement dans le cadre d’une recherche scientifique doit bénéficier d’informations supplémentaires s’agissant :
- de la nature de la recherche scientifique envisagée, les choix éventuels qu’elle peut exercer ainsi que toutes conditions pertinentes régissant l’utilisation des données, y compris concernant la reprise de contact et le retour d’informations ;
- des conditions applicables à la conservation des données, y compris les politiques en matière d’accès et d’éventuelles communications ;
- des droits et garanties prévus par la loi, et, notamment, son droit de refuser de participer à la recherche ainsi que de se retirer à tout moment.
Enfin, et parmi les différents principes exposés par la recommandation, est à retenir le fait que « l’anonymisation doit être pratiquée dès lors que les objectifs poursuivis par les recherches scientifiques le permettent ».
Dans le cas contraire, le responsable de traitement pourra recourir à la pseudonymisation « afin de garantir le respect des droits et libertés fondamentales de la personne concernée » (15.9).
L’approche très pratique du CEPD s’agissant du traitement des données personnelles dans le cadre des essais cliniques est ainsi à saluer.
En revanche, la recommandation du Conseil de l’Europe interroge en ce qu’elle manque parfois de lisibilité, notamment concernant les bases légales dans le cadre de la recherche scientifique.
L’objectif est donc de préciser encore plus l’intégration du RGPD au sein de secteurs sensibles semblables à celui du milieu médical.