A votre santé
France /
11H13 - jeudi 13 septembre 2018

Le RGPD en secteur sanitaire : un paravent fragile face à la déferlante de la e-santé et de l’intelligence artificielle

jeudi 13 septembre 2018 - 11H13

Cet article inaugure la rubrique « A votre santé » d’Opinion Internationale

L’hôpital est un maillon de la chaîne de santé, santé qui se veut de plus en plus connectée, parfois assistée par l’intelligence artificielle et en voie de décentralisation : les établissements sanitaires, les lieux de convalescence et les EPHAD seraient amenés à être partiellement transférés à domicile. Chacun de ces acteurs, en particulier les entreprises de services à la personne, a fortiori médicalisés, mais aussi les compagnies d’assurance, sont demandeuses de données de santé, prétextant que la continuité de la prise en charge en dépend, et qu’il n’est par conséquent pas obligatoire de solliciter le consentement du patient, hypothèse prévue par le Règlement général européen sur la protection des données à caractère personnel, le fameux RGPD.

Mais dès lors, comment s’assurer que le partenaire santé avec lequel des données sont partagées ne les revendra pas à un tiers ?

Le RGPD considère l’établissement de santé comme le responsable du traitement, et les tiers comme des sous-traitants, chacun ayant sa part de responsabilité. Globalement, on n’est pas responsable des fautes commises par autrui, a fortiori en matière pénale (la violation du RGPD peut également avoir des conséquences pénales), mais en l’espèce, il appartient au responsable du traitement (l’établissement de santé) de vérifier que ses sous-traitants se conforment au RGPD et qu’ils s’engagent à ce que les données qui lui sont transmises ne fassent l’objet d’aucun autre traitement ou transfert sans l’accord éclairé du patient. Mais si le sous-traitant passe outre, à fortiori s’il est à l’étranger, que pourrait faire l’hôpital et que feraient les patients pour s’y opposer ou demander réparation ? Le juriste évoquera le droit, laissera entrevoir les sanctions administratives infligées par la CNIL, les condamnations pénales… Le pragmatique s’oblige à nuancer l’efficacité du mécanisme de protection.

C’est pourquoi il est important que les sous-traitants et plus largement les différents opérateurs de données à caractère personnel prennent conscience que la confiance du citoyen, en l’occurrence du patient, dans le système de santé et, au-delà, dans l’économie numérique, est conditionnée par le respect de sa vie privée. Les prestataires informatiques, comme tous les partenaires de la prise en charge sanitaire et sociale doivent être conscients que tout manquement au RGPD ne serait pas seulement lourdement sanctionné, mais entacherait leur réputation. Au contraire, leur intérêt est d’ériger en argument commercial et marketing le respect de l’usager auquel il offre une garantie contractuelle, morale et légale de préserver la confidentialité de ses données et de ne les utiliser qu’avec son consentement éclairé ou, s’agissant du patient, au seul bénéfice de la continuité de la prise en charge sanitaire. Mais est-ce suffisant, sachant que cette continuité peut justifier une dispense de consentement ?


Les GAFA contre la CNIL ?

La principale cause d’une éventuelle fragilité du système juridique de protection est sans doute ailleurs : comme l’écrit le docteur Laurent Alexandre dans son livre la guerre des intelligences, « ils ont les GAFA, nous avons la CNIL ». « Ils », ce sont les GAFA, ces géants américains d’internet : Google, Amazon, Facebook et Apple, auxquels il faut au moins ajouter Microsoft (d’ailleurs, ils sont parfois désignés comme GAFAM), et leurs équivalents chinois, les BATX, pour Baidu, Alibaba, Tencent et Xiaomi. Leurs pendants européens accumulent environ un milliard d’euros de capitalisation boursière alors que chaque mastodonte américain avoisine mille milliards !

Or le marché de la santé est pour eux un objectif prioritaire et très convoité. La donnée de santé est la reine des données personnelles, car elle ne concerne pas seulement les pathologies, mais aussi le bien-être, ce qui ouvre des perspectives infinies : alimentation, immobilier et aménagement intérieur, domotique, automobile, habillement, sport, médicaments, parapharmacie… En nous connaissant, en nous disséquant, en nous scannant, les GAFA veilleront à notre bien-être, voire à notre bonheur !

Sur un plan plus strictement sanitaire, la santé numérique et donc très connectée nous promet une prise en charge largement individualisée : fini le prêt-à-porter, et vive le sur mesure, la haute couture, le luxe sanitaire pour tous ! La réduction de la durée de prise en charge en établissement s’accompagne d’une augmentation du nombre d’intervenants externes, souvent au domicile du patient ou de la personne âgée ou dépendante, avec le concours de nouveaux outils de surveillance et d’assistance à distance. Plus nombreux seront les acteurs et les outils qui partageront les données de santé, plus grands seront les risques de fuite, de piratage, de mauvaise utilisation. Les « responsables du traitement » selon la terminologie du RGPD, devront se montrer particulièrement vigilants avec leurs sous-traitants. Le RGPD considère les données de santé comme « sensibles », avec comme conséquence que leur traitement est interdit, sauf pour une série d’exceptions parmi lesquelles figurent le consentement éclairé de l’usager et les nécessités de la prise en charge sanitaire. Face à la puissance et à l’appétit des géants américains et chinois d’internet, face au développement exponentiel de la santé connectée et de l’intelligence artificielle, voire aux projets transhumanistes qui rattrapent voire dépassent l’imagination des auteurs de science-fiction, notre CNIL et son RGPD s’apparentent à une défense bien fragile et peut-être illusoire.

Il n’y a que les juristes pour croire que le droit règle tout et préserve du pire. Il ne faut pas oublier que le RGPD vise d’abord à favoriser l’échange de données au sein de l’Union européenne et non à le contrarier. Son premier mérite est d’avoir conduit certaines entreprises, en particulier celles de l’internet, à revoir les modalités d’information et de recueil du consentement de leurs clients et utilisateurs. Google, par exemple, s’engage à ne pas vendre nos données et à ne les utiliser que pour nous proposer des publicités et des services personnalisés correspondant à notre profil. À nous d’en déduire que nous serions vraiment idiots de refuser une pareille proposition !

Les entreprises, en particulier celles qui traitent des données sensibles, auraient pourtant tort de miser sur la mansuétude de la CNIL. Quelques jours à peine après l’entrée en vigueur du RGPD, la société Optical Center (les opticiens sont des professionnels de santé) s’est vu infliger une amende de 250.000 € « pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet ». Certes, le fondement juridique de la condamnation est l’article 34 de la loi Informatique et liberté, qui comme le RGPD, impose au responsable du traitement de veiller à la sécurité des données, et non le RGPD lui-même.

Ce motif traduit une autre réalité : protéger les données personnelles est autant une question informatique que juridique.

Raymond TAUBE

Directeur de l’IDP – Institut de Droit Pratique

 

Directeur de l'Institut de Droit Pratique