Le paradoxe de la e‑santé : entre promotion d’un mode de soins innovant et protection des droits des patients
p. 177-196
Texte intégral
1Le terme santé en ligne désigne « l’application des technologies de l’information et des communications à toute la gamme de fonctions qui interviennent dans le secteur de la santé. Les outils ou solutions de santé en ligne englobent des produits, des systèmes et des services qui vont bien au-delà de simples applications internet. Ils comprennent des outils destinés aux autorités sanitaires comme aux professionnels de la santé, ainsi que des systèmes de santé personnalisés pour les patients et les citoyens. Il peut s’agir, par exemple, de réseaux d’information médicale, de dossiers médicaux électroniques, de services de télémédecine, de systèmes portables et ambulatoires dotés de fonctions de communication, de portails sur la santé et de nombreux autres dispositifs fondés sur les technologies de l’information et des communications qui fournissent des outils d’assistance à la prévention, au diagnostic, au traitement, au monitorage de la santé et à la gestion du mode de vie »1. Il s’agit de « l’utilisation dans le secteur de la santé de l’ensemble des technologies numériques de communication permettant d’offrir de nouveaux services aux patients, d’améliorer la circulation d’informations entre professionnels (dématérialisation et partage de documents cliniques) ou de réaliser certains actes médicaux à distance dans le cadre de la télémédecine »2.
2La France définit la télémédecine – branche de la e‑santé – par décret3. Cependant, un grand nombre d’États membres de l’Union européenne font face à un grand manque de clarté de définition légal dans ce domaine ce qui est significatif du chemin qu’il reste à parcourir pour parvenir à une parfaite compréhension et utilisation de la e‑santé.
3Pourtant, ce nouveau mode de soins apparaît comme une possible solution pour répondre aux défis des systèmes de santé : l’évolution démographique, l’augmentation du coût des soins et des déserts médicaux ; le vieillissement de la population et corrélativement l’augmentation des maladies chroniques. En revanche, une incertitude demeure quant à sa capacité́ à réduire les coûts, du moins dans un premier temps : alors que l’efficience de l’utilisation de la e‑santé semble certaine tant ses atouts sont grands, sa mise en place, longue, se justifie également par les coûts engendrés par le processus. Ainsi, les avantages liés à l’utilisation de la e‑santé auraient une portée plus qualitative qu’économique.
4Néanmoins, malgré l’atout considérable que pourraient représenter les soins de santé numériques, la possibilité est sous-exploitée. Même si quelques pays4 disposent d’un système d’ordonnances électroniques et de dossiers médicaux informatisés, la révolution numérique peine à se mettre en place, comme en France, ou le dossier médical électronique n’en est encore qu’au stade de l’essai dans quelques régions5. Les attentes concernant l’utilisation des nouvelles technologies de l’information et de la communication (NTIC) dans le domaine de la santé sont nombreuses, mais les questions et les risques sont également proportionnels. De nombreux risques liés à la protection des données se santé font surface. Les risques de divulgation des données, de leur piratage ou encore du partage non autorisé sont autant de contraintes qu’il faut prendre en considération pour permettre une utilisation efficiente de la e‑santé.
5La question se pose ainsi de savoir si les NTIC appliquées au domaine de la santé vont être en mesure de promouvoir un mode de soin plus efficace et ce sans risquer de porter atteinte aux droits acquis des patients avant la rupture technologique dans le domaine de la santé. Par définition, les maladies et les données de santé ne connaissent pas de frontières étatiques, ainsi, les patients et leurs données sont appelés à voyager. Si l’on considère que la e‑santé doit être promue au niveau européen afin d’améliorer la qualité des soins (I), sous quelles conditions doit-elle l’être et quel est le rôle du droit dans cette promotion ? Il faudra veiller à ce que les données des patients, issues des activités, outils et produits de e-santé, soient assorties d’une protection efficace (II).
I – Le droit dans le développement de la e‑santé
6Le nombre d’avantages résultants de la e‑santé pour le patient, le système économique de l’assurance maladie ou encore les professionnels de santé sont autant de raisons de développer la e‑santé (A.), néanmoins, il faut mettre en place des techniques efficaces dans l’objectif de permettre un développement effectif de la e-santé dans le respect des droits préexistants (B).
A – La nécessité de développer la e-santé
7L’outil technologique n’est, certes, pas la réponse unique aux difficultés de prise en charge du patient. Toutefois, mise au service du décloisonnement de divers secteurs6, la e‑santé pourrait servir de levier pour encourager la prévention et les soins primaire7. Il s’agit également de maintenir un principe constitutif du système de santé français : l’accès à des soins de qualité pour tous grâce à un maillage effectif du territoire. De plus, la télésanté peut permettre de replacer l’usager au cœur du dispositif et de répondre à sa volonté d’autonomie, désormais reconnue comme un droit des malades.
8Si la e‑santé suscite un fort engouement, c’est parce qu’elle pourrait représenter une réponse à plusieurs défis majeurs de santé. Il est estimé qu’en 2050, le nombre de personnes de 65 ans et plus aura augmenté de 70% dans l’Union européenne et que la catégorie des personnes de 80 ans et plus aura progressé de plus de 170%8. Or, du fait de ce vieillissement de la population et donc de la modification des schémas pathologiques, la demande de soins et du même coup des dépenses de santé devrait nécessairement brutalement augmenter9. Les maladies chroniques concernent environ 15 millions de français et 70 millions d’européens et sont responsables de 60% des décès au sein de l’Union Européenne10. Elles représentent les affections à longue durée qui évoluent lentement comme les maladies cardiovasculaires, les cancers, les maladies respiratoires chroniques et les troubles mentaux. Les solutions mobiles permettraient la gestion optimisée des maladies chroniques liées au vieillissement de la population qui représentent deux des objectifs principaux de l’Union européenne. L’intérêt majeur est de permettre le développement de l’hospitalisation à domicile grâce à la télémédecine, le suivi à distance des personnes atteintes de maladies chroniques et l’optimisation de l’efficience des établissements de santé grâce aux systèmes d’information. Cela devrait permettre de réaliser des économies considérables au plan régional, national et européen. L’usage des nouvelles technologies pourrait également assurer un meilleur accès à l’information médicale et à la prévention comme au traitement des maladies, le renforcement de la rapidité et de la performance d’un diagnostic et permettrait de remédier au problème majeur de la désertification médicale en permettant un suivi du patient à domicile.
9Au total, la e‑santé représenterait une économie de 99 milliards d’euros d’ici 2017 et un accroissement du PIB européen de 93 milliards d’euros grâce à l’amélioration de l’état de santé qui réduirait les dépenses médicales tout en favorisant l’accès aux soins de 24,5 millions de patients supplémentaires. Au vu de l’extraordinaire promesse de développement de la e‑santé, la connaissance du cadre réglementaire et en particulier du cadre réglementaire européen qui détermine en très grande partie le droit applicable en France est précieux pour les pouvoirs publics (au niveau national, mais également régional) comme pour les industriels eux-mêmes. Du point de vue économique, l’importance du développement de la e‑santé est partagée. Si l’on se place sous l’angle des réductions des dépenses des systèmes de sécurités sociales nationales, il n’est pas certain que le développement de la e‑santé permettrait de réduire les dépenses, du moins pas dans l’immédiat. En effet, les sommes investies dans le développement de la e‑santé sont considérables. Le coût de base lié aux équipements nécessaires comme à titre d’exemple les appareils de télémédecine, le développement du dossier médical électronique, la fourniture de dispositifs médicaux, représente une somme non négligeable révélateur de l’impossibilité pour la e‑santé, en phase de lancement, de faire réduire les dépenses de santé. Néanmoins, une fois le schéma de soins numériques mis en place les retombées économiques sont considérables11.
10La promotion de la e‑santé est un secteur économique et industriel en plein développement et, selon l’étude du cabinet Xefi Precepta en 2013 le marché de la e‑santé représentait 2,4 milliards d’euros avec une croissance de 4% à 7% chaque année12. L’émergence certaine d’un marché spécifique s’appliquant à la e‑santé est un générateur de croissance d’emploi et économique : les fabricants de dispositifs médicaux, les entreprises qui s’engagent dans la création d’applications de santé ou encore les corps de métiers ayant trait à la sauvegarde et au traitement des données. Du côté de la santé publique la promotion de la e‑santé permet la sécurisation des pratiques médicales, notamment avec le principe de l’entraide entre professionnels de santé ce qui permet de réduire considérablement les risques d’erreurs humaines lorsque le numérique est impliqué. En outre l’implication du numérique facilite également la consultation d'autres professionnels de santé, parfois plus spécialisés dans un domaine et d’en faire bénéficier le patient. La promotion favorise dans le même temps la prise en charge des maladies chroniques en limitant les hospitalisations via des applications de santés numériques, à la fois préventives et curatives13. Sur le plan organisationnel et sociétal, la télémédecine en particulier présente des avantages considérables pour les zones où se raréfie l’offre médicale. La lutte contre l’isolement géographique et la réponse plus rapide à un problème urgent pour des patients sans médecins à proximité ne peuvent être négligées. La réduction des hospitalisations grâce à la prise en charge du patient à domicile favorise dans un premier temps la récupération du patient qui se trouve dans un univers familier, permet dans un second temps de libérer des lits dans les hôpitaux pour les cas ne pouvant être traités par le biais de la e‑santé. En outre, l’absence de rendez-vous médicaux physiques permet de diminuer les temps d’attentes et de pratiquer un suivi plus régulier du patient en consultant ses constantes autant de fois que nécessaire.
B – Les instruments juridiques de promotion de la e‑santé
11La e‑santé étant un processus nouveau, les instruments juridiques dédiés à ces nouvelles pratiques ou produits, au plan français comme européen, ne sont pas encore très développés. En ce qui concerne le droit français, c’est la loi hôpital, patients, santé et territoires (HPST) de 200914qui pose la première pierre à l’édifice en définissant de manière légale, la télémédecine pour la première fois en son article 7815et modifie de ce fait le Code de la santé publique. S’en est suivi le décret télémédecine de 201016 pris en application de l’article L.6316-1 du Code de la santé publique lui-même issu de la loi HPST qui précise « la définition des actes de télémédecine ainsi que leurs conditions de mise en œuvre et de prise en charge financière sont fixées par décret, en tenant compte des déficiences de l’offre de soins dues à l’insularité et l’enclavement géographique »17. Ce décret procède à « la définition des actes de télémédecine, à leurs conditions de mise en œuvre et à leur organisation notamment territoriale »18
12Du côté du droit de l’Union européenne, peut-être du fait du partage des compétences19, les développements juridiques, au-delà des plans d’action, sont limités. On peut seulement citer comme exemple l’article 14 de la directive 2011/241/UE du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers20, qui porte précisément sur la « santé en ligne » et plus spécifiquement sur l’objectif de mise en compatibilité des services européens de santé en ligne et de protection des données dans les communications électroniques. Mais, les choses devraient évoluer. D’abord, un plan d’action dans le domaine de la e‑santé a été, annoncé le 6 décembre 201221 par la Commission européenne. Il a vocation à clarifier les domaines où subsiste « une insécurité juridique, renforcer l’interopérabilité entre les systèmes, sensibiliser les patients et les professionnels de la santé et consolider leurs compétences en e‑santé, soutenir la recherche en médecine personnalisée et améliorer la gestion personnelle de leur santé par les patients. ». Le plan devrait aussi proposer des « conseils juridiques gratuits pour les jeunes entreprises dans le domaine de la e‑santé et 8 millions d’euros seront alloués à la recherche et au déploiement de solutions innovantes en santé sur la période 2014-2020. ». De plus, le groupe de travail de la Commission Européenne se donne jusqu’en 2020 pour élaborer un cadre juridique de la télémédecine qui serait partagé par tous les États membres, « après avoir pris en compte les lois et règlements que certains États membres ont déjà mis en place »22. En outre, il ne faut pas négliger le fait que ce droit spécifique cohabitera nécessairement avec un droit non spécifique à la e‑santé mais applicable à ces technologies. En effet, la e‑santé se divise en un nombre impressionnant d’hypothèses pour lesquelles les obligations juridiques ne sont pas les mêmes. La e‑santé désigne donc tout à la fois un produit et/ou un service ayant en général une utilité médicale et qui va générer des données qui peuvent être des données de santé. Or, dans le cas où la e‑santé est un service, elle sera soumise au principe général de la libre prestation de service23, mais également, parce que ce service a la particularité d’être opéré à distance par des voies électroniques, elle peut être qualifiée de « e-commerce ». Deux directives 98/34/CE24 et 2000/31/CE25 assimilent d’ailleurs la télémédecine à un service de santé relevant du e-commerce. Parce qu’il s’adresse à des consommateurs et à des patients, un tel service entrera également dans le champ d’application de plusieurs instruments de droit européen de la consommation26 ou encore de la directive « soins de santé transfrontaliers » qui s’applique à la fourniture de soins de santé, quelle que soit la façon dont ils sont organisés, délivrés et financés. S’il s’agit d’un produit, la e‑santé entrera sous le principe général de libre circulation des marchandises, mais encore éventuellement sous le champ d’application des directives sur les dispositifs médicaux ou encore de la directive sur la responsabilité du fait des produits défectueux27. Dernier exemple, ce produit ou service, en tant qu’objet connecté, produira souvent des données de santé qui, au nom de la protection des droits fondamentaux de la personne, et en particulier de sa vie privée, seront soumises à des obligations issues de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (art. 8), de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, de la Charte des droits fondamentaux de l’Union européenne ou encore directives sur la protection des données à caractère personnel28 et celle sur la vie privée et les communications électroniques29. Autant dire que l’ensemble juridique est imposant.
II – Le rôle protecteur du droit dans l’utilisation de la e‑santé
13S’il s’agit de promouvoir l’utilisation de la e‑santé, il s’agit également de réduire/ d’encadrer les risques, notamment ceux liés au transfert de données de santé impliquées par la e‑santé. Celles-ci, émises dans un État membre de l’Union européenne seront amenées à voyager soit de manière autorisée par le fait d’une action volontaire de partage ou par le fait de réseaux ou serveurs se trouvant dans un État membre différent de celui où les données ont été émises, soit de manière non autorisée via le piratage et la revente de données.
14Si permettre le partage des données peut être d’une utilité certaine, parfois, il peut aussi représenter un danger pour les patients (A) ; il est grandement nécessaire de règlementer leur transfert pour maximiser les résultats de l’utilisation de la e‑santé et protéger les données sensibles des patients (B).
A – Le risque d’atteinte aux droits des patients
15Le Règlement général sur la protection des données (RGPD) de 2016 entré en vigueur en 201830 définit les données de santé comme « des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »31.
16La donnée de santé, de par son caractère sensible, doit être tout particulièrement protégée et la difficulté pour l’identifier réside dans le fait que la détermination de l’état de santé d’une personne n’est pas tout à fait clair. Néanmoins, l’analyse du RGPD donne quelques éléments de réflexion pour définir la donnée de santé. Certaines données peuvent être présumées « de santé » il s’agit de celles définies au considérant 35 du RGPD : principalement les données collectées dans un contexte médical, les données permettant d’identifier une maladie ou un risque de maladie et les données collectées par un dispositif médical. Les autres données, notamment celles collectées via un appareil de Quantified self ou un appareil n’ayant pas le statut de dispositif médical, devront être appréciées au cas par cas32.
17L’usage de la e‑santé conduit nécessairement à la création de données de santé. Lorsque celles-ci font l’objet d’une collecte ou d’un traitement, elles sont protégées en France par la loi informatique et Libertés du 6 janvier 197833 et le règlement général sur la protection des données personnelles34.
18De nombreux droits, déjà protégés par la loi informatique et liberté, sont maintenus à l’entrée en vigueur du règlement sur la protection des données personnelles. Le droit d’information du patient déjà prévu à l’article 32 de la loi informatique et libertés est renforcé par l’article 13 du règlement européen relatif à la protection des données qui ajoute à la liste des informations à fournir la période de conservation des données, le droit à la portabilité des données, le droit d’introduire une réclamation auprès d’une autorité de contrôle. Il en va de même pour le droit d’accès aux données de santé qui reste inchangé et repris par l’article 15 du RGPD et le droit de rectification prévu à l’article 16 de ce même règlement.
19Au contraire, le droit d’opposition, prévu à l’article 21 du RGPD est plus restreint que celui de la loi informatique et liberté. Initialement, il était possible pour toute personne de « s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale »35. Au sein du règlement, le droit d’opposition « ne peut s’appliquer que lorsque les données sont traitées à des fins de profilage, de recherche scientifique ou historique ou de statistiques, ou encore lorsque ce traitement est nécessaire à l’exécution d’une mission d’intérêt public dont est investi le responsable du traitement ou aux fis des intérêts légitimes poursuivis par le responsable du traitement » 36.
20L’avènement de la e‑santé couplé à la protection plus efficace des données sensibles a conduit les institutions européennes à protéger des droits qui n’étaient initialement pas prévus par la directive 95/46/CE37 remplacée par le RGPD. Le droit de consentir, de manière explicite, au traitement et de retirer son consentement à tout moment sont prévus aux articles 6.1 et 7.3 du RGPD. En pratique, pour protéger le droit du patient de consentir de manière explicite, le responsable du traitement peut, sur une application, proposer un réglage permettant aux utilisateurs de retirer leur consentement à tout moment par e-mail ou par courrier.
21Le droit à l’oubli numérique et celui à l’effacement des données sont inscrits respectivement dans les articles 17 et 40 du RGPD. Si la loi Informatiques et libertés offrait déjà à la personne concernée la possibilité de demander l’effacement de ses données personnelles lorsque celles-ci étaient « inexactes, incomplètes, équivoques ou périmées » mais également lorsque la collecte de ces données est « interdite ou lorsque la durée de conservation nécessaire à la réalisation des finalités du traitement a été atteinte »38, le règlement va plus loin. Pour la première fois, le droit à l’oubli est consacré39 et permet à la personne d’obtenir l’effacement de ses données lorsque celles-ci ne sont plus nécessaires au regard de la finalité du traitement, lorsque la personne fait usage de son droit au retrait du consentement, lorsque le traitement est illicite ou que l’effacement est nécessaire en vertu d’une obligation légale.
22Enfin, en faveur de la protection des données de santé, l’article 34 du RGPD consacre le droit d’être informé en cas de piratage des données. Il est à mettre en relation avec l’obligation, pour les responsables de traitement, de notifier les autorités de contrôle nationales en cas de faille dans le système de sécurité. Néanmoins, le droit est suffisamment restreint et les victimes ne sont informées que si elles sont exposées à un risque élevé de violation de leurs droits et libertés.
B – Le partage des données entre protection et risques
23A l’heure du Big Data où les données sont traitées en masse et voyagent à une vitesse incalculable, force est de porter une attention toute particulière aux données de santé qui doivent connaître un sort différent des autres du fait de leur caractère sensible. Le partage des données peut, d’une part, représenter un avantage considérable pour la communauté des patients (1.) et d’autre part représenter un danger pour la protection individuelle des patients dont les données sont divulguées (2.).
1) Le partage des données pour protéger les patients
24En France, en avril 2016 était annoncé le lancement d’une consultation en ligne sur le big data dans le domaine de la santé et il s’agissait pour les patients questionnés de commenter « l’ouverture et l’exploitation de masses de données personnelles dans le secteur médical ». Il s’agissait pour le gouvernement français de recueillir des informations sur les conditions sous lesquelles les patients accepteraient de partager leurs données de santé40. Le but affiché est « de faciliter l’exploitation et le partage des données de santé, dans le respect de la vie privée, pour tout acteur porteur d’un projet d’intérêt public » et, par exemple, de « mieux comprendre les liens entre santé et activité physique ».
25Si la loi française prévoit la création d’un grand Système national des données de santé41, considéré comme « une avancée considérable pour analyser et améliorer la santé de la population »42 peut-être faut-il s’interroger sur les avantages et aux risques de ce partage. En tout état de cause, le partage de données de santé ne peut se faire sans le consentement libre et éclairé du patient. Il conviendra dans un premier temps d’observer l’avantage du partage dans le cas de la recherche épidémiologique et la surveillance (a) et dans un second temps avec l’exemple du dossier médical personnel (b).
a) L’épidémiologie et la surveillance
26L’épidémiologie, connue comme la science de base de la santé publique, étudie la répartition et les déterminants de la santé au sein d’une population43. À l’étude de la santé publique, des méthodes épidémiologiques ont été appliquées avec beaucoup de succès, y compris concernant le développement et la propagation des infections majeures et chroniques. La surveillance, clef essentielle de la recherche épidémiologique, implique non seulement la collecte, l’analyse et l’interprétation systématiques des données de santé essentielles à la santé publique, mais également leur diffusion44. Lorsqu’elle s’applique aux dispositifs médicaux, l’épidémiologie peut être extrêmement utile et dégager certains résultats probants dans des groupes définis : géographiques, culturels ou autres. Simultanément, la surveillance peut identifier des événements indésirables non visés, liés à l’exposition d’un dispositif médical, qui peuvent ultimement engendrer l’élimination du produit.
27A titre d’exemple de dispositif épidémiologique en France, le MEDES a développé une application de santé destinée à accompagner les voyageurs dans leurs aventures en leur apportant une solution de suivi médical personnalisé des voyageurs. Le logiciel permet une remontée d’informations physiologiques, et l’envoi de messages type SMS via satellite. Les principales fonctions du logiciel sont de déclarer les symptômes, renseigner les signes vitaux, informations médicales et de ce fait, il serait possible de créer une cartographie des maladies infectieuses et contagieuses. Ainsi, le partage d’informations de santé, couplé à la situation géographique aurait pour but et conséquences de créer une base de données des zones à éviter pour se prévenir d’infections, allergies ou toute autre maladie transmissible dans l’air.
b) L’exemple français du dossier médical personnel
28Suite à la loi de modernisation de notre système de santé de 201645, le dossier médical personnel devient « partagé » (DMP). Le paradoxe entre le terme personnel et celui de partagé est significatif de la volonté d’ouvrir les données de santé au plus grand nombre. Le décret46 précise les conditions d’application du DMP. Le dossier médical partagé est progressivement déployé par l’Assurance maladie pour arriver à son efficacité totale à la fin de l’année 2018. Le dossier médical partagé contient toutes les informations médicales du patient en faisant usage : ses comptes rendus d’hospitalisations et de rendez-vous médicaux, ses ordonnances et traitements, ses résultats d’analyses biologiques ou encore ses antécédents médicaux. Le dossier est consultable par le patient lui-même ainsi que les professionnels de santé auxquels l’accès a été autorisé et par exception, au médecin régulateur du SAMU sans autorisation en cas d’urgence.
29Néanmoins, se pose la question de l’efficacité et de l’effectivité du dossier médical partagé. D’une part, le patient peut choisir quels sont les professionnels de santé qui auront accès à son dossier médical. Qu’adviendrait-il si, dans son choix, le patient décidait de ne donner l’accès à son dossier médical qu'à certains professionnels de santé laissant d’autres dans l’ignorance concernant son état de santé, de telle sorte qu'en cas d’erreur de diagnostic par manque d’information, se poserait la question de l'imputabilité de la faute ? D’autre part, il existe une possibilité dans le dossier médical pour le patient de modifier seul ses informations. Quid de la véracité des informations qui seront contenues ? Le partage des données de santé dans un cas comme celui de l’utilisation du dossier médical partagé est un avantage considérable pour le patient et les professionnels de santé avec des diagnostics plus éclairés et des thérapies de soins appropriées. Cependant, il est nécessaire de clarifier les responsabilités en cas d’information médicale erronée et d'encadrer la faculté offerte au patient de modifier ses informations.
30Dans la même lignée, le partage de données médicales et de dossiers médicaux interopérables doit permettre une meilleure prise en charge du patient, au sein de son État membre, mais également lors de ses voyages dans d’autres États avec un suivi d’informations. La question de la possibilité de lire un dossier médical dans un autre État membre et celle de la terminologie commune des maladies et traitements restent encore à être traitées.
2) Le partage des données : risque pour les patients
31Le partage des données de santé, bien qu’extrêmement utile à des fins préventives, peut également représenter un risque certain pour le patient dont les données seraient partagées sans s’assurer de leur anonymisation ou pseudonymisation. Il conviendra d’observer deux cas, celui du vol des données sans autorisation préalable du patient (a) et celui du partage des données aux tiers tels que les assurances et les banques (b).
a) Le piratage des données
32Le partage des données de santé par le patient et pour les patients représente un atout considérable pour l’amélioration tant de la santé des patients que des systèmes de soins. Néanmoins, lorsque l’informatique et le numérique entrent en jeux, de gros risques les accompagnent : risque de divulgation de données personnelles, faille dans la protection de la vie privée ou encore piratage de données de santé sont autant de dangers auxquels il faut faire face. Récemment, l’actualité a montré qu’il s’agissait d’une réalité avec le piratage du « Hollywood Presbyterian Medical center » au mois de février aux États-Unis suivi de la cyberattaque de l’hôpital de York47. Le NHS au Royaume-Uni a également été touché par une attaque numérique et les informations sensibles de milliers de patients ont été divulguées48. Hormis les cas malintentionnés de piratage des données pour raisons pécuniaires, comment s'assurer de la fiabilité des dispositifs médicaux ? Bien des questionnements se posent notamment sur l'éventualité de pirater un dispositif médical cardiaque à des fins criminelles ou de détourner des informations médicales envoyées à un médecin depuis un objet connecté, et de fausser des résultats d'analyse. Les 1 000 hôpitaux présents sur le territoire français comptent cinquante responsables de la sécurité des systèmes d’information, un nombre bien faible face aux menaces qui pèsent sur les informations de santé. L’explosion du big data dans tous les domaines, en particulier celui de la santé avec l’e‑santé, la télémédecine, les milliers d’applications de suivi médical ou de bien-être augmentent l’exposition au risque de cyberattaque des établissements de santé, des patients, des entreprises et de leurs clients.
b) Le partage des données avec des tiers
33La question du partage de données, volontaire ou pas, avec les mutuelles et banques reste une problématique principale pour les utilisateurs de e‑santé. Il convient de faire une différence entre les données de santé anonymisées ou pseudonymisées et les données de santé brutes qui ne protègent pas l’anonymat des patients.
34Au titre de l’assurance maladie, les données sont considérées comme anonymes lors du stockage au sein du SNIIRAM (système national d’information inter-régimes de l’Assurance-maladie). Cette mine d’informations, l’une des plus grandes bases médico-administratives comprend deux catégories de données : les données agrégées, traitées dans le but d’obtenir des informations anonymes sur un groupe d’individus présentant des caractéristiques communes et les données à caractère personnel49. Néanmoins, en 2016 la nouvelle loi Santé française prévoit un accès très contrôlé à ces données50. La loi propose l’ouverture inconditionnelle et gratuite à tous des données agrégées qui ne représentent aucun risque pour la vie privée. Cependant, concernant la catégorie des données personnelles, des conditions d’accès très strictes sont énoncées pour protéger les patients pouvant être ré identifiés. Le croisement d’informations peut permettre une ré identification facile du patient et ce même en l’absence de son nom et prénom. A titre d’exemple, un patient hospitalisé à deux reprises à des dates connues, si l'on couple ces informations avec sa date de naissance et son lieu de résidence peut être retrouvé sans difficulté. Ce risque de ré identification du patient oblige à repenser la loi Santé qui prévoit d’autoriser l’accès aux données personnelles à des organismes à but lucratif ou non, mais sous plusieurs conditions. Seuls ceux dont l’objectif est de réaliser une étude d’intérêt public peuvent avoir accès à ces données51.
35Pour les assurances et mutuelles, les données à caractère personnel sont susceptibles d'avoir une valeur incommensurable : évaluation des politiques de santé, amélioration de l’offre de soins et adaptation de l’offre. Mais les données risquent d’être exploitées dans un intérêt économique au détriment de l’intérêt public. En effet, les mutuelles commencent, dans une optique préventive à offrir des dispositifs médicaux à leurs adhérents pour monitorer leurs consommations énergétiques quotidiennes ou encore leur activité physique. Il convient de se poser la question des conséquences d’un tel contrôle. N’y aurait-il pas un risque de surveillance accrue des adhérents avec à la clef des offres de tarifs personnalisés en fonction de leurs facteurs de risques ? Concernant les banques, le problème se pose de la même manière. L’accès aux données des patients, y compris les données de bien être, offre une marge de manœuvre trop grande aux banques qui pourraient refuser l’octroi d’un prêt sous couvert d’une conduite à risque du client, ce qui le prédisposerait à certaines maladies.
36Bien que la loi de 2016 interdise l’utilisation des données « dans le but de promouvoir des produits, d’exclure des garanties dans les contrats d’assurances ou de modifier les cotisations ou les primes d’assurances d’un individu ou d’un groupe d’individus présentant un même risque »52, elle ne précise pas pour autant les sanctions encourues en cas de non-respect des obligations et ne présente de ce fait pas un caractère dissuasif.
37Entre partage des données personnelles pour l’avancée de la recherche et protection des droits du patient, le paradoxe est omniprésent. D’un côté, l’ouverture des données personnelles via la e‑santé paraît un nécessaire indispensable pour permettre le développement des soins de santé, de l’autre la protection du patient doit rester au centre de la réflexion. Le développement de la e‑santé tel qu’il est envisagé ne pourra se construire sans heurts. Il sera nécessaire de proposer un cadre juridique sûr pour la protection des données sensibles tout en permettant une ouverture des données anonymisées de manière sécurisée.
Notes de bas de page
1 COM/2004/0356 final {SEC (2004)539 Communication de la Commission au Conseil, au Parlement européen, Comité Économique et Social Européen et au Comité des régions - Santé en ligne - améliorer les soins de santé pour les citoyens européens : plan d'action pour un espace européen de la santé en ligne.
2 ASIP Santé et FIEEC. Études sur la télésanté et télémédecine en Europe. mars 2011. Cette étude a été pilotée par l’ASIP santé et la fédération des industries électriques et électroniques de la communication (FIEEC). Ils en ont présenté les principaux enseignements au cours d'une conférence de presse le 29 mars 2011.http://esante.gouv.fr/sites/default/files/Etude_europeenne_Telesante_FIEEC_ASIPSante.pdf
3 JORF n° 0245 du 21 octobre 2010 Décret n° 2010-1229 du 19 octobre 2010 relatif à la télémédecine.
4 Notamment les pays nordiques.
5 OCDE, Améliorer l’efficacité́ du secteur de la santé : le rôle des technologies de l’information et de la communication, 2010.
6 La e-santé pourrait s’appliquer au secteur sanitaire, médical, paramédical, social, hospitalier et ambulatoire.
7 D’après la note du Centre d’analyse stratégique. Quelles opportunités pour l’offre de soins de demain : la télésanté́. (n° 255, décembre 2011), Irdes - Pôle documentation - M.-O. Safon, p. 3. www.irdes.fr/documentation/syntheses-et-dossiers-bibliographiques.html
8 Chiffres cités dans le Livre Blanc : « Ensemble pour la santé : une approche stratégique pour la santé pour l’UE 2008-2013 », COM 2007 (630) final.
9 L’estimation est celle d’une augmentation des dépenses de santé de 25% dans le PIB. Il est aussi estimé que, d’ici à 2020, il manquera dans l’Union européenne un million de professionnels de la santé et, si l’on ne fait rien, 15 % des soins nécessaires ne seront pas assurés.
10 OCDE, Les maladies chroniques font payer un lourd tribut à l’Europe, selon un nouveau rapport de l'OCDE et de la Commission européenne (in) Health at a Glance: Europe 2016, 23 novembre 2016, p. 204.
11 ASIP SANTÉ, La e-santé : une opportunité de croissance économique, 26 novembre 2013.
12 F. Deschamps, Le marché de l’e‑santé à la loupe, e‑commerce mag.
http://www.ecommercemag.fr/Thematique/techno-ux-1226/Breves/marche-sante-loupe-184256.htm#p5mf8BQaBFu0vtB0.97, 26 février 2013.
13 Think Thank de la société numérique, D’un système de santé curatif à un modèle préventif grâce aux outils numériques, septembre 2014.des données anonymisées de manière sure.ne ouverture Il sera nécessaire de proposer un cadre juridique sur pour la protection de
14 Loi n° 2009-879 du 21 juil. 2009.
15 Art. L. 6316-1.-La télémédecine est une forme de pratique médicale à distance utilisant les technologies de l'information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d'autres professionnels apportant leurs soins au patient.
16 Décret n° 2010-1229 du 19 octobre 2010 relatif à la télémédecine, 21 octobre 2010, JORF n° 0245.
17 Article L6316-1 du Code de la santé publique.
18 ASIP Santé, le décret du 19 octobre 2010 relatif à la télémédecine, 18 juillet 2011.
19 Article 168 § 7 TFUE : « L'action de l'Union est menée dans le respect des responsabilités des États membres en ce qui concerne la définition de leur politique de santé, ainsi que l'organisation et la fourniture de services de santé et de soins médicaux. Les responsabilités des États membres incluent la gestion de services de santé et de soins médicaux, ainsi que l'allocation des ressources qui leur sont affectées. Les mesures visées au paragraphe 4, point a), ne portent pas atteinte aux dispositions nationales relatives aux dons d'organes et de sang ou à leur utilisation à des fins médicales. ».
20 JO L 88/63 du 4 avr. 2011.
21 COM/2004/0356 final {SEC (2004)539, Communication de la Commission au Conseil, au Parlement européen, Comité Économique et Social Européen et au Comité des régions, Santé en ligne - améliorer les soins de santé pour les citoyens européens : plan d'action pour un espace européen de la santé en ligne.
22 COM/2010/0546 SEC (2010) 1161, final communication de la commission au Parlement européen, au Conseil, au Comité économique et social européen et au comité des régions, Initiative phare Europe 2020 Une Union de l’innovation.
23 « Les restrictions à la libre prestation des services à l'intérieur de l'Union sont interdites à l'égard des ressortissants des États membres établis dans un État membre autre que celui du destinataire de la prestation » (art. 56 Traité sur le Fonctionnement de l’Union européenne).
24 Directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes règlementaires et techniques.
25 Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »).
26 Directive 2000/31/CE du Parlement Européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique ») JO L 178, 17.7.2000, p. 1-16.
27 E. Brosset, S. Gambardella et G. Nicolas « La santé connectée et son droit : approches de droit européen et de droit français », Coll. Droit de la santé, PUAM, 2017, 243 p.
28 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L281du 23 novembre 1995, p. 31.
29 Dir. 95/46/CE du Parlement européen et du Conseil du 24 oct. 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, p. 31 ; Dir. 2002/58/CE du Parlement européen et du Conseil du 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
30 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) J.O L 119, 4.5.2016, p. 1–88.
31 Article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) J.O L 119, 4.5.2016, p. 1–88.
32 SEA Avocats, Qu’est-ce qu’une donnée de santé, https://www.sea-avocats.fr/e-sante.htm
33 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
34 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) J.O L 119, 4.5.2016, p. 1–88.
35 Article 38 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Version consolidée au 19 mars 2018.
36 Article 21 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) J.O L 119, 4.5.2016, p. 1–88.
37 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données OJ L 281, 23.11.1995, p. 31–50.
38 Article 40 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
39 Article 40 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O L 119, 4.5.2016, p. 1-88. SEA Avocats, Comment respecter le droit des personnes dont les données de santé sont traitées ? https://www.sea-avocats.fr/e-sante.htm
40 Partager ses données de santé : pour quels bénéfices et à quelles conditions ? https://www.faire-simple.gouv.fr/bigdatasante
41 En son article 193 la loi de modernisation du système de santé français de 2016 prévoit la mise en œuvre du système national de données de santé et un nouveau cadre d’accès aux données de santé.
42 Ministere des solidarites et de la sante, Mise en œuvre du systeme national des donnees de sante et nouveau cadre d’acces aux donnees de sante, 28 decembre 2016.
43 Last JM (ed.). A Dictionary of Epidemiology, 2nd edn. New York, NY : Oxford University Press, 1988.
44 Comprehensive Plan for Epidemiologic Surveillance. Atlanta, GA : Centers for Disease Control, 1986.
45 JORF n° 0022 du 27 janvier 2016 LOI n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé (1).
46 JORF n° 0155 du 5 juillet 2016 Décret n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé.
47 Le Parisien, Los Angeles : paralysé par des hackers, un hôpital verse une rançon, http://www.leparisien.fr/faits-divers/los-angeles-un-hopital-verse-une-rancon-a-des-hackers-qui-le-pirataient-18-02-2016-5557129.php, 18 février 2016.
48 Le point, Londres : une clinique révèle par erreur l’identité de patients séropositifs, http://www.lepoint.fr/monde/londres-une-clinique-revele-l-identite-de-patients-seropositifs-02-09-2015-1961463_24.php2, septembre 2015.
49 Association française des correspondants à la protection des données personnelles, Données de santé https://www.afcdp.net/-Donnees-de-Sante-
50 C. Castets-Renard, “Quelle protection des données personnelles en Europe ?”, 2014.
51 Article 193de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé JORF n° 0022 du 27 janvier 2016.
52 Ibid.
Auteur
Doctorante, Aix-Marseille Université, DICE, CERIC, Aix-en-Provence
Le texte seul est utilisable sous licence Licence OpenEdition Books. Les autres éléments (illustrations, fichiers annexes importés) sont « Tous droits réservés », sauf mention contraire.
La loi du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations…
Dix ans après
Sébastien Saunier (dir.)
2011