
À l'heure du Dossier Médical Partagé et des applications santé, que savez-vous vraiment au sujet de vos données de santé ? On vous dit l'essentiel à retenir !
L'essentiel
• Je ne suis pas propriétaire de mes données de santé, mais j'ai quand même des droits sur elles.
• Je dois toujours être informé lorsque mes données sont collectées.
• Je dois également savoir pourquoi mes données sont collectées.
• En France, personne n'a le droit de vendre ou d'acheter mes données de santé : ni moi, ni les services de santé, ni les entreprises.
• Je lis toujours les Conditions Générales d'Utilisation quand j'utilise une application santé : c'est là que je peux savoir quelle utilisation sera faite de mes données de santé.
• Pour assurer ma sécurité et la qualité des soins que je reçois, je dois permettre la vérification de mon identité lorsque je suis pris en charge, et vérifier moi-même les documents administratifs.
Ce sont des informations sur l'état de santé physique ou mentale, passée, présente ou future, d’une personne.
Il existe 3 catégories différentes de données de santé :
Non. Les données de santé sont considérées comme des données sensibles. Leur utilisation est donc très encadrée. Leur stockage et leur collecte sont soumis à des normes de sécurité et de confidentialité renforcées.
Selon la Loi Informatique et Libertés de 1978, les données de santé sont exclues du droit de propriété. C'est-à-dire qu'elles n'appartiennent à personne. Nous ne sommes donc pas "propriétaire" de nos données de santé comme nous pouvons l'être d'une maison ou d'un objet, et nous n'en disposons pas selon notre envie : nous n'avons pas le droit de les vendre, par exemple.
Pas d'inquiétude cependant, personne d'autre n'en est le propriétaire !
Même si elles ne nous appartiennent pas, nous avons des droits sur nos données de santé :
A priori, nous exerçons donc un contrôle total sur nos données de santé : nous pouvons choisir qui peut les consulter, nous pouvons les supprimer, les corriger, et exiger qu'elles soient transférées selon nos besoins. Mais ces droits ne sont pas absolus. Ils peuvent être limités dans certaines situations strictement encadrées par la loi. Par exemple :
• Dans le cadre de l’exécution d'un contrat : si nous signons un contrat qui stipule que nous renonçons à une partie de nos droits sur nos données de santé.
• Pour le respect d'une obligation légale : dans certains cas, nos droits sur nos données peuvent entrer en conflit avec les obligations légales des personnes ou des structures qui détiennent nos données. Par exemple, un hôpital a l'obligation légale de conserver les données de santé de ses patients pendant 20 ans. Nous ne pouvons donc pas lui demander de supprimer nos données après un passage aux urgences. En revanche, nous pouvons limiter leur accès. Autre exemple : certaines maladies sont à déclaration obligatoire. C'est le cas notamment du SIDA, de la tuberculose, de la méningite ou de la dengue à La Réunion : les professionnels de santé ont obligation de faire une déclaration aux agences régionales de santé, nous ne pouvons pas nous y opposer.
• Pour la sauvegarde des intérêts vitaux : lorsque notre vie est en jeu et qu'accéder à nos données de santé peut aider à nous soigner.
• Pour l’exécution d'une mission d’intérêt public ou général.
C'est nous qui décidons. Personne n'a le droit de collecter nos données de santé sans :
Concrètement, les entités les plus susceptibles de collecter des données de santé sont :
Légalement, personne n'a accès à nos données de santé sans que nous en soyons informé. Cette information peut prendre la forme d'une affiche dans une salle d'attente, d'un paragraphe dans un contrat (avec votre assurance par exemple), d'une ligne dans des Conditions Générales d'Utilisation (d'une application santé, notamment)...
Les outils de "quantified self", c'est-à-dire littéralement de "mesure de soi", collectent également nos données de santé. Il s'agit d'objets connectés, d'applications mobiles ou web qui mettent en place des contrats ou des services à la personne.
Par exemple :
Deux possibilités concernant le quantified self :
Potentiellement, les données de santé peuvent avoir de très nombreux usages. Par exemple :
Ces différentes utilisations présentent de réels bénéfices pour notre santé et la santé publique, mais elles sont aussi au cœur d'enjeux économiques importants. C'est la raison pour laquelle les lois française et européenne encadrent très strictement l'utilisation des données de santé, afin de protéger nos vies privées, et empêcher les mauvaises pratiques.
Lorsque nos données de santé sont collectées, elles doivent obligatoirement être utilisées pour une finalité précise dont nous avons été informé, ou à laquelle nous avons consenti. Nous devons également être informé de la durée de conservation de nos données, de nos droits et de la liste des personnes ou des entités qui accèdent à nos données.
Le risque d'erreur dans les données de santé existe, et il est bien réel. Les erreurs d'identification des patients, notamment, sont plus fréquentes qu'on ne le pense. Ainsi, les estimations les plus basses évoquent 40 erreurs de patients dans les blocs opératoires français chaque année (par exemple, opérer un patient à la place d'un autre).
Pour les prévenir, on a mis en place des règles d'identitovigilance. Derrière ce mot barbare se cache un ensemble de pratiques pour garantir que le bon patient est traité pour la bonne pathologie.
La première règle de l'identitovigilance consiste à bien vérifier l'identité d'un patient. À l'occasion d'une visite à l'hôpital, chez notre médecin traitant ou encore dans un laboratoire d'analyse, au moment de votre enregistrement, il peut donc nous être demandé de fournir une pièce d'identité "fiable" c'est-à-dire notre carte d'identité, passeport ou titre de séjour. Attention ! La carte vitale n'est pas une pièce d'identité.
De plus, les soignants qui nous prennent en charge nous re-demanderons régulièrement notre identité : c'est une précaution pour s'assurer de fournir les bons soins à la bonne personne.
Pensez également à vérifier toutes les informations nous concernant sur les documents administratifs des structures dans lesquelles nous sommes pris en charge. Nous ne voudrions pas que l'on nous enlève un rein à la place de Mme Payet !
Quand il y a collecte de données de santé, il y a un responsable du traitement de ces données : il a des obligations sur la sécurisation de vos données, la transparence de leur utilisation, et la traçabilité des accès à ces données. En cas de problème, c'est la Commission Nationale de l'Informatique et des Libertés (CNIL) qu'il faut saisir, ce qui peut être fait par le biais d'une simple déclaration en ligne.
Mai 2019
Mathias Laurent, Responsable de la Sécurité des Systèmes d'Information et Délégué à la Protection des Données au GCS TESIS