Le 25 mai 2018 entrera en vigueur le Règlement européen sur la protection des données (RGPD, le « G » signifiant « général ») adopté le 27 avril 2016, après quatre années de négociations parfois difficiles. En France, il devrait sinon remplacer la loi « Informatique et Liberté », du moins conduire à sa refonte en profondeur. Le lifting de notre bonne vieille loi de 1978, époque quasi préhistorique de l’informatique où les GAFA (Google, Apple, Facebbok, Amazon, et autres géants du web) n’existaient pas, la ramènerait en quelque sorte au rang de décret d’application du Règlement européen. Toujours est-il que comme tous les règlements de l’UE, celui du 27 avril 2016 s’appliquera directement, sans loi de transposition, et primera le droit national.
Pourtant, évoquer une substitution de réglementations semble un tantinet excessif, car la question de la protection des données personnelles, en particulier en secteur sanitaire, renvoie à d’autres problématiques comme le secret professionnel partagé, nécessaire à la qualité et à la continuité de la prise en charge des patients. Car si le Règlement européen se substitue à la loi « informatique et liberté », il ne remplace pas la « loi Santé » du 26 janvier 2016 et ses décrets complexes, parfois même confus en ce qui concerne précisément les modalités de ce partage. Dans la perspective de l’inéluctable développement de la santé connectée, ou « e-santé », tous les acteurs concernés devront cartographier leurs données, les classifier, les segmenter, les sécuriser. Quelle donnée est véritablement personnelle ? Dans quel cas doit-elle être anonymisée ? Quelles transmissions et quels partages doivent recueillir le consentement du patient, et sous quelle forme doit-il être donné ? ...
En outre, la santé ne se résume pas à la maladie, à la pathologie. Elle englobe le bien-être, l’hygiène de vie, les services à la personne, et toutes les activités qui peuvent s’inscrire dans la priorité affirmée par les pouvoirs publics, notamment le président de la République et sa ministre de la Santé : la prévention. Pour ce faire, il faut agir en amont de la maladie, mieux évaluer et anticiper les risques, parfois en encourageant les personnes saines à modifier certains comportements, améliorer le diagnostic et les traitements... Cela ne peut se concevoir sans un partage et même un recoupement d’innombrables informations a priori anodines dont on pourra déduire des liens de corrélation indécelables par des moyens classiques, sans algorithmes sophistiqués et ordinateurs surpuissants. Le « Big data » est alimenté par la santé connectée au sens le plus large du terme, et au-delà, par toutes nos données personnelles. Le RGPD n’y fait pas obstacle, mais il impose notamment aux acteurs du partage d’informer préalablement l’usager et/ou de recueillir son consentement, sous peine de lourdes sanctions financières potentielles (pour le réel, nous verrons !). Cette obligation s’articule avec celles imposées par le Code de la santé publique en matière de "secret partagé" en établissement sanitaire, social ou médico-social. Et si cela ne suffisait pas, il faudra encore veiller au respect de la « Convention internationale pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel », de la Directive « vie privée et communications électroniques » dont la modification est annoncée, ou encore du Règlement « Eidas » du 23 juillet 2014 sur l’identification et les services de confiance. Cerise française sur ce gâteau européen, la loi du 7 octobre 2016 « pour une République numérique » encadre toutes ces problématiques au long de ses 113 articles ! D’ores et déjà apparaissent des contradictions entre loi et le règlement européen, ce dernier l’emportant en droit sur la loi nationale.
Cette profusion juridique s’explique par l’absolue nécessité d’éviter que les énormes progrès promis par le partage et l’analyse des données soient compromis par des actes de malveillance informatique ou simplement par des mauvaises pratiques des acteurs accédant aux données personnelles ou alimentant les fichiers, en particulier les dossiers médicaux ou sociaux. Or chaque nouveau nœud de connexion, chaque nouvel objet connecté, chaque nouveau logiciel permettant de gérer un hôpital, une clinique, un laboratoire, chaque terminal fixe ou mobile permettant d’accéder au réseau local ou au « cloud », ou pire, contenant des données personnelles d’usagers, a fortiori de patients, comporte de nouvelles failles, de nouveaux risques. Pour tenter d’y remédier, le Règlement européen oblige toute entité gérant des données personnelles à recourir aux services d’un « Délégué à la protection des données », interne ou prestataire externe. Mais quelles que soient ses compétences et sa motivation, il ne suffira à garantir l’intégrité et la sécurité des données si chaque salarié n’est pas sensibilisé, responsabilisé et formé tant aux règles juridiques fondamentales qu’aux bonnes pratiques informatiques. Il ne s’agit pas de transformer les professionnels de santé et tous les agents et salariés du secteur sanitaire en juristes et informaticiens, mais de les associer à un processus commun. La sécurité des données personnelles est l’affaire de tous. Elle conditionne la confiance que le citoyen, le patient, accordera à la santé connectée, et par conséquent, est le corollaire de son développement.
Raymond Taube,
Directeur & formateur de l'Institut de Droit Pratique