L’hôpital est appelé à devenir un maillon de la chaîne de santé, au sens le plus large du terme (de la prévention et donc du bien-être, au traitement de la pathologie), santé qui se veut connectée, parfois assistée par l’intelligence artificielle et largement décentralisée, en ce que l’hôpital, les lieux de convalescence et les EPHAD seront partiellement transférés à domicile. Chacun de ces acteurs, en particulier les entreprises de services à la personne, a fortiori médicalisés, mais aussi les compagnies d’assurance, sont demandeuses de données de santé, prétextant que la continuité de la prise en charge en dépend, et qu’il n’est par conséquent pas obligatoire de solliciter le consentement du patient. Même lorsque ce consentement n’est pas indispensable, comment s’assurer que le partenaire santé avec lequel des données sont partagées ne les revendra pas à un tiers ?

Le RGPD considère l’établissement de santé comme le responsable du traitement, et les tiers comme des sous-traitants, chacun ayant sa part de responsabilité. On n’est responsable de la faute des autres. Il appartient néanmoins au responsable du traitement (l’hôpital) de vérifier que ses sous-traitants se conforment au RGPD et qu’ils s’engagent à ce que les données qui lui sont transmises ne fassent l’objet d’aucun autre traitement ou transfert sans l’accord explicite du patient. Mais si le sous-traitant passe outre, à fortiori s’il est à l’étranger, que pourrait faire l’hôpital et que feraient les patients pour s’y opposer ou demander réparation ? Le juriste évoquera le droit, laissera entrevoir les sanctions administratives infligées par la CNIL, les condamnations pénales… Le pragmatique s’oblige à nuancer considérablement l’efficacité du mécanisme de protection.

C’est pourquoi il est important que les sous-traitants et plus largement les différents opérateurs de données à caractère personnel prennent conscience que la confiance du citoyen, en l’occurrence du patient, dans le système de santé et au-delà dans l’économie numérique est conditionnée par le respect de sa vie privée. En parallèle à la peur du gendarme administratif et judiciaire (le bâton en quelque sorte), la carotte de l’image de marque peut également être utilisée. Les prestataires informatiques, comme tous les partenaires de la prise en charge sanitaire et sociale doivent être conscients que tout manquement au RGPD ne serait pas seulement lourdement sanctionné, mais ruinerait leur réputation. Au contraire, leur intérêt est d’ériger en argument commercial et marketing le respect de l’usager auquel il offre une garantie contractuelle, morale et légale de préserver la confidentialité de ses données et de ne les utiliser qu’avec le consentement éclairé du patient ou au seul bénéfice de la continuité de la prise en charge sanitaire ou sociale. Mais est-ce suffisant, sachant que cette continuité pourrait servir de prétexte pour s’affranchir du consentement ?

La principale cause de la fragilité du système juridique de protection est sans doute ailleurs : comme l’écrit le docteur Laurent Alexandre dans son livre la guerre des intelligences, « ils ont les GAFA, nous avons la CNIL ». « Ils », ce sont les GAFA, ces géants américains d’internet : Google, Amazon, Facebook et Apple, auxquels il faut au moins ajouter Microsoft (d’ailleurs, ils sont parfois désignés comme GAFAM). On peut également y adjoindre leurs équivalents chinois, les BATX, pour Baidu, Alibaba, Tencent et Xiaomi. Leurs pendants européens acculent environ un milliard d’euros de capitalisation boursière alors que chaque mastodonte américain avoisine mille milliards ! Or le marché de la santé est pour eux un objectif prioritaire et très convoité. La donnée de santé est la reine des données personnelles, car elle ne concerne pas seulement les pathologies, mais aussi le bien-être, ce qui ouvre des perspectives infinies : alimentation, immobilier et aménagement intérieur, domotique, automobile, habillement, sport, médicaments, parapharmacie… En nous connaissant, en nous disséquant, en nous scannant, les GAFA veilleront à notre bien-être, voire à notre bonheur !

Sur un plan plus strictement sanitaire, la santé numérique et donc très connectée nous promet une prise en charge largement individualisée : fini le prêt-à-porter, et vive le sur mesure, la haute couture, le luxe sanitaire pour tous ! La réduction de la durée de prise en charge en établissement s’accompagne d’une augmentation du nombre d’intervenants externes, souvent au domicile du patient ou de la personne âgée ou dépendante, avec le concours de nouveaux outils de surveillance et d’assistance à distance. Plus nombreux seront les acteurs et les outils qui partageront les données de santé, plus grands seront les risques de fuite, de piratage, de mauvaise utilisation. Les « responsables du traitement » selon la terminologie du RGPD, devront se montrer particulièrement vigilants avec leurs sous-traitants. Le RGPD considère les données de santé comme « sensibles », avec comme conséquence que leur traitement est interdit, sauf pour une série d’exceptions parmi lesquelles figurent le consentement éclairé de l’usager et les nécessités de la prise en charge sanitaire. Face à la puissance et à l’appétit des géants américains et chinois d’internet, face au développement exponentiel de la santé connectée et de l’intelligence artificielle, voire aux projets transhumanistes qui rattrapent voire dépassent l’imagination des auteurs de science-fiction, notre CNIL et son RGPD s’apparentent à une défense bien fragile et peut-être illusoire. Il n’y a que les juristes pour croire que le droit règle tout et préserve du pire. Il ne faut pas oublier que le RGPD vise d’abord à favoriser l’échange de données au sein de l’Union européenne et non à le contrarier. Le premier mérite du RGPD est d’avoir conduit certaines entreprises, en particulier celle de l’internet, à revoir les modalités d’information et de recueil du consentement de leurs clients et utilisateurs. Google, par exemple, s’engage à ne pas vendre nos données et à ne les utiliser que pour nous proposer des publicités et des services personnalisés correspondant à notre profil. À nous d’en déduire que nous serions vraiment bêtes de refuser une pareille proposition !

Raymond Taube

Directeur de l'IDP

Formation et conseil RGPD : me contacter au 06.60.46.45.45
ou raymond.taube@idp-formation.com ou sur notre site web