Données de santé: qu'est-ce que c'est?

santé
définition
données

#1

Bonsoir, je (re-)regardais une conférence de 2015 sur un projet intéressant de dossier de santé: la ligne de vie. Et l’orateur parle à un moment des données de santé, il a notamment soulevé le fait qu"'on" (sans vraiment définir on) n’avait définit ce qu’était une donnée de santé.
Et je trouve ça intéressant du coup, est-ce qu’il y a un endroit où on pourrait lancer un groupe de discussion sur ce thème: c’est quoi pour vous une donnée de santé? Et en faire justement une définition ensemble/en commun.
Je ne sais pas si ce forum est le meilleur endroit pour ça du coup?

Sur la définition d’une donnée de santé, et du coup est-ce que ces données peuvent entrer dans le champs des communs?


#2

Bonsoir,
Il y a deux questions dans ton post. D’abord qu’est-ce que sont les données de santé ? Et ensuite, celles ci sont elles appropriables, et à défaut ou en sus, sont elles susceptibles d’être un commun ?
Voilà deux questions épineuses.

Légalement les données de santé sont d’abord des données à caractère personnel.
Qu’est ce que sont des données à caractère personnel ?
Ce sont des données permettent d’identifier directement OU INDIRECTEMENT une plusieurs personne(s) physique(s). Ces données ne sont pas nécessairement nominatives (il peut s’agir d’un poids, d’un numéro de sécurité sociale, d’une emprunte biométrique, d’une adresse ip … la liste est sans fin).
Les données de santé sont en fait un cas particulier de données à caractère personnel. Elles ont de près ou de loin affaire avec la santé et l’état physique et psychique d’une personne physique. Elles sont nécessairement collectées et traitées dans le cadre d’une thérapie, c’est dans un contexte médical faisant intervenir des professionnels de santé.
Toute donnée qui se rapporterait à l’état physique d’un individu sans pour autant être traitée dans un cadre médical n’est pas considérée comme une donnée de santé. (ex : le rythme cardiaque capté par une application mobile à des fins de performances sportives, cela étant, si ce même rythme cardiaque est traité par une application permettant au médecin traitant de suivre quotidiennement l’état de santé de son patient à distance, alors cette donnée sera considérée comme étant une donnée de santé). L’élément clé est donc l’identification et surtout le contexte du traitement de cette donnée.

Il faut savoir que ces données de santé sont considérée comme SENSIBLES légalement. Traiter des données de santé nécessite donc des autorisations octroyées par la CNIL. À défaut le traitement est illégal et les sanctions sont multiples (À compter du 25 mai 2018 : amende administrative de 20 000 000€ d’amende administrative pour l’association, l’entreprise ou la collectivité territoriale qui a procédé au traitement + 300 000 € d’amende pénale et 5 ans d’emprisonnement pour la personne physique qui a ordonné le traitement + interdiction de continuer le traitement de données).
Il existe toutefois une exception : l’anonymisation. Si vous anonymisez des données à caractère personnel (qu’elles soient de santé ou non) alors vous pouvez faire tout ce que vous voulez dessus. Cependant, il est alors nécessaire de recourir à une technique d’anonymisation reconnue comme étant suffisamment fiable (en réalité aucune ne l’est, il s’agit d’une fiction juridique permettant d’appliquer une présomption nécessaire au marché des données, vive les lobbies) par la CNIL et/ou l’ANSSI.

On peut donc imaginer pouvoir faire de l’open data sur des données de santé anonymisée selon des moyens légaux adéquats.

Mais cela ne résout pas le souci de l’appropriation de ces données et de l’éventualité de les envisager comme un bien commun. Juridiquement, une donnée considérée unitairement n’appartient à personne. Ce qui est en revanche protégeable par un droit de propriété ce sont les ensembles de données, et particulièrement les bases. Selon le code de la propriété intellectuel il s’agit d’un droit de propriété similaires (peu ou prou) à celui du droit d’un auteur sur son oeuvre. Il vise à récompenser le travail fourni par une personne pour agréger les données et surtout les organiser. L’organisation et la composition des bases de données doivent dénoter une originalité afin de bénéficier de la protection du CPI (code de propriété intellectuelle).

Que faut il en conclure ?
Pour imaginer avoir des données de santé en biens communs, il faudrait

  1. d’une part que ces données soit anonymisées, et d’autre part qu’elles soient organisées dans une base de données dénotant une originalité ou la marque de l’esprit de la personne qui l’a constitué, ce qui va créer un droit de propriété intellectuelle au bénéfice de cette personne;
  2. Comme la notion de bien commun n’est pas réellement consacrée en droit (bien qu’historiquement il existe des racines permettant d’apporter un bémol à ce constat) il faudrait que la personne détentrice du droit de propriété intellectuelle sur la base de données de santé anonymisée concède un droit d’utilisation “erga omnes” (formule latine qui se traduit aujourd’hui par “à l’égard de tous”). Ce qui aboutirait à pouvoir constituer artificiellement un commun exploitable par tous.

L’autre exception (outre celle de l’anonymisation), est celle des données de santé collectée souvent de le cadre d’études cliniques et qui sont traitées à des fins scientifiques (la recherche, pas seulement médicale, elle peut être historique, sociologique, etc. …).

Voilà j’espère avoir répondu à ta question.

FX


#3

D’accord! Merci pour ces renseignements =) La notion de contexte est donc très importante pour définir une donnée de santé aux yeux de la loi.

Du coup, si je comprends, on peut imaginer une association qui gérerait un/des bases de données de santé comme un bien commun non rival. Une association gérerait donc les bases de données comme un bien commun: en décidant comment anonymiser, qui a le droit d’y accéder, comment, etc.
Et ainsi prévenir la revente de ces données, l’utilisation par des assurances privées, etc. Le tout en respectant ce que demande la CNIL pour la France.
Ça me fait me demander, si mes données de santé de citoyen français sont hébergés par une entreprise américaine, quelle loi s’applique sur la gestion de mes données de santé?

Si à titre personnel je souhaite héberger mes données de santé que j’aimerai ensuite partager avec mon médecin traitant. Et si pour cela j’utilise un logiciel libre (semblable à opennotes.org par exemple) qui est maintenu par une communauté respectant les ‘règles’ du commun. Est-ce qu’on peut alors considérer que les données de santé sont alors gérées comme un bien commun (car les bases de données sont créées par les patients et les développeurs du logiciel via une gestion en commun), sont décentralisées (car auto-hébergées à plusieurs endroits) et ne tombent pas sous les autorisations requises par la CNIL? Parce que ça me fait penser aux projet de type Yunohost ou Cozy avec les avantages et inconvénients que ça implique.


#4

Toute donnée à caractère personnel (de santé ou pas) qui concerne une personne physique qui se trouve (pas de critère de nationalité) sur le territoire de l’UE ne peut, par principe, pas faire l’objet d’un transfert vers un pays non membre de l’UE. Mais il existe de nombreuses exception à ce principe.
Dans le cas des USA, l’exception utilisée est celle des décisions de la commission européenne reconnaissant les USA comme étant un pays où la protection des données à un niveau adéquat avec les exigences du cadre légal en UE (et donc en France).
Pour ce faire, il a été adopté ce qu’on appelle le “Privacy Shield”, c’est un traité entre Federal Trade Commission (FTC) des USA et la commission européenne. Ce traité prévoit que la FTC doit mettre en oeuvre des procédures garantissant l’efficience des droits reconnus aux personnes physiques se trouvant sur le sol européen, et ce même lorsque les données sont traitées aux USA par des boites américaines ou non. Pour ce faire, le Privacy Shield prévoit ce qu’on appelle un mécanisme d’autocertification. C’est à dire que les entreprises traitant des données aux USA se déclarent conformes aux exigences du Privacy Shield, lui même disposant qu’il faut permettre le respect du droit européen en matière de protection des données à caractère personnel. Tu peux trouver la liste des boites qui se disent indirectement conformes au Privacy Shield sur le site suivant : http://privacyshield.gov/ si tu y trouves la boites à qui tu as fourni des données à caractère personnel, c’est qu’elle a normalement pris les mesures organisationnelles, techniques et juridiques pour respecter le Privacy Shield et donc le droit de l’UE en matière de protection des données. À contrario, le traitement est illégal (sauf autres exceptions possibles, que je peux te détailler dans un autre post si tu veux). Le Privacy Shield est le fondement légal de la décision de reconnaissance d’adéquation du niveau de protection des données perso aux USA avec le cadre légal européen (c’est de la poudre aux yeux en fait…).
Donc dans le cas de Facebook par exemple, c’est le droit de l’UE qui s’applique, car elle s’est auto déclarée conforme au privacy shield. Le souci du Privacy Shield c’est qu’il ne permet réellement d’être certain du respect du droit de l’UE par ces entreprises, malgré certains mécanismes administratifs compliqués. Personnellement, et comme beaucoup d’autres spécialistes du domaine, je pense que l’on va avoir un recours devant la CJUE pour faire abroger le Privacy Shield (comme cela a été le cas de son prédécesseur : le Safe Harbour, annulé suite à une plainte d’un étudiant Autrichien contre facebook, puis contre le Safe Harbour suite aux révélations d’Edward Snowden).

Donc pour résumer :

  • en principe interdiction de transferts de données perso hors UE
  • multiples exceptions :
    • parmi elles, il y a celle de la décision de reconnaissance d’adéquation :
      • cas particulier des USA : le Privacy Shield permettant de prendre la décision d’adéquation: 2 cas :
        • entreprise auto certifiée et figurant sur la liste du site ci avant évoqué : dans ce cas droit européen s’applique (et donc le droit français qui s’y est adapté)
        • entreprise non auto certifiée : en cas de détention de données perso d’une personne sur le sol européen, le traitement est illégal

Ensuite pour répondre à ta seconde question, ce que tu proposes est interdit (celui qui risque quelque chose dans l’histoire est ton médecin) si ton médecin ne fait pas de demande d’autorisation préalable (et pour avoir une acceptation il faut respecter un sacré paquet de règles …). Cela s’explique par le fait que les données soient utilisées par ton médecin (donc ça devient des données de santé: cadre médical …). Ensuite il faut différencier le logiciel des données. Le logiciel peut être un commun, ce que tu traites avec ne l’est pas pour autant, et comme je te l’ai expliqué dans le post précédent il faudrait imaginer une sacré mécanique juridique et technique à mettre en place (anonymisation etc.) pour qu’une base de données (de santé ou pas) soient un commun. Le référentiel du respect des “règles du commun” n’est pas reconnu par la loi en tant que tel pour satisfaire aux conditions exigées par la cnil dans le cadre d’une demande d’autorisation préalable à la mise en oeuvre du traitement.

Le moyen le plus rapide pour créer un commun sur une base de données c’est vraiment l’anonymisation et une licence bien ficelée.


#5

Super, merci beaucoup pour ces réponses!!! C’était hyper intéressant, ça donne envie d’aller plus loin ^^