À l’heure du Dossier Médical Partagé et des applications santé, que savez-vous vraiment au sujet de vos données de santé ? On vous dit l’essentiel à retenir ! 

À retenir

  • Je ne suis pas propriétaire de mes données de santé, mais j’ai quand même des droits sur elles.
  • Je dois toujours être informé lorsque mes données sont collectées.
  • Je dois également savoir pourquoi mes données sont collectées.
  • En France, personne n’a le droit de vendre ou d’acheter mes données de santé : ni moi, ni les services de santé, ni les entreprises.
  • Je lis toujours les Conditions Générales d’Utilisation quand j’utilise une application santé : c’est là que je peux savoir quelle utilisation sera faite de mes données de santé.
  • Pour assurer ma sécurité et la qualité des soins que je reçois, je dois permettre la vérification de mon identité lorsque je suis pris en charge, et vérifier moi-même les documents administratifs.

Qu’est-ce qu’une données de santé ?

Ce sont des informations sur l’état de santé physique ou mentale, passée, présente ou future, d’une personne.

Il existe 3 catégories différentes de données de santé :

  • Les données de santé par nature : comme les maladies, les résultats d’examens ou encore les prestations de soin. Elles informent directement sur l’état de santé d’une personne.
  • Les données qui, croisées à d’autres données, renseignent sur l’état de santé d’une personne. Par exemple, connaître le poids d’une personne ainsi que le nombre de pas qu’elle effectue chaque jour constitue une donnée de santé : en rassemblant ces deux informations, cela donne une une indication sur la santé de la personne. On pourrait ainsi dresser un profil : cette personne est peut-être en surpoids et peu active. Mais une application qui collecte uniquement le nombre de pas effectués quotidiennement ne collecte pas de données de santé, car à lui tout seul ce chiffre ne donne pas d’indication sur la santé de la personne.
  • Les données de santé par destination : ce sont des renseignements qui, a priori, n’ont pas forcément de rapport avec la santé. Mais elles deviennent des données de santé lorsqu’elles sont collectées ou utilisées dans un contexte médical. Exemple : mon genre, mon orientation sexuelle, mon statut marital, etc. Objectif : élargir la protection de ces données sensibles au maximum.

Mes données de santé sont-elles des données personnelles comme les autres ?

Non. Les données de santé sont considérées comme des données sensibles. Leur utilisation est donc très encadrée. Leur stockage et leur collecte sont soumis à des normes de sécurité et de confidentialité renforcées.

À qui appartiennent mes données de santé ?

Selon la Loi Informatique et Libertés de 1978, les données de santé sont exclues du droit de propriété. C’est-à-dire qu’elles n’appartiennent à personne. Nous ne sommes donc pas “propriétaire” de nos données de santé comme nous pouvons l’être d’une maison ou d’un objet, et nous n’en disposons pas selon notre envie : nous n’avons pas le droit de les vendre, par exemple.

Pas d’inquiétude cependant, personne d’autre n’en est le propriétaire !

Quels sont mes droits sur mes données de santé ?

Même si elles ne nous appartiennent pas, nous avons des droits sur nos données de santé :

  • Accès à nos données : si une personne ou un établissement de santé détient des données nous concernant, nous sommes en droit de savoir lesquelles, et nous devons pouvoir les consulter.
  • Suppression : nous pouvons demander à ce que nos données de santé soient détruites, totalement ou en partie.
  • Rectification : nous pouvons demander la modification des données qui nous concernent, notamment lorsqu’elles contiennent des erreurs.
  • Portabilité : par exemple, nous pouvons exiger que notre ancien médecin généraliste transfère notre dossier médical à notre nouveau médecin
  • Limitation : nous pouvons limiter les personnes qui ont accès à nos données.

A priori, nous exerçons donc un contrôle total sur nos données de santé : nous pouvons choisir qui peut les consulter, nous pouvons les supprimer, les corriger, et exiger qu’elles soient transférées selon nos besoins. Mais ces droits ne sont pas absolus. Ils peuvent être limités dans certaines situations strictement encadrées par la loi. Par exemple :

  • Dans le cadre de l’exécution d’un contrat : si nous signons un contrat qui stipule que nous renonçons à une partie de nos droits sur nos données de santé.
  • Pour le respect d’une obligation légale : dans certains cas, nos droits sur nos données peuvent entrer en conflit avec les obligations légales des personnes ou des structures qui détiennent nos données. Par exemple, un hôpital a l’obligation légale de conserver les données de santé de ses patients pendant 20 ans. Nous ne pouvons donc pas lui demander de supprimer nos données après un passage aux urgences. En revanche, nous pouvons limiter leur accès. Autre exemple : certaines maladies sont à déclaration obligatoire. C’est le cas notamment du SIDA, de la tuberculose, de la méningite ou de la dengue à La Réunion : les professionnels de santé ont obligation de faire une déclaration aux agences régionales de santé, nous ne pouvons pas nous y opposer.
  • Pour la sauvegarde des intérêts vitaux : lorsque notre vie est en jeu et qu’accéder à nos données de santé peut aider à nous soigner.
  • Pour l’exécution d’une mission d’intérêt public ou général.

Qui peut collecter mes données de santé ?

C’est nous qui décidons. Personne n’a le droit de collecter nos données de santé sans :

  • Nous informer au préalable du recueil, et de l’utilisation qui sera faite de nos données
  • Obtenir notre consentement

Concrètement, les entités les plus susceptibles de collecter des données de santé sont :

  • La Sécurité Sociale qui prend en charge nos remboursements
  • Notre mutuelle santé
  • Les établissements de santé (laboratoires d’analyse, hôpitaux, cliniques, etc.)
  • Les professionnels de santé libéraux (médecin, infirmier, gynécologues, ophtalmologue, etc.) qui nous prennent en charge.

Légalement, personne n’a accès à nos données de santé sans que nous en soyons informé. Cette information peut prendre la forme d’une affiche dans une salle d’attente, d’un paragraphe dans un contrat (avec votre assurance par exemple), d’une ligne dans des Conditions Générales d’Utilisation (d’une application santé, notamment)…

C’est quoi le “quantified self” ?

Les outils de “quantified self”, c’est-à-dire littéralement de “mesure de soi”, collectent également nos données de santé. Il s’agit d’objets connectés, d’applications mobiles ou web qui mettent en place des contrats ou des services à la personne.

Par exemple :

  • L’application “Santé” proposée par notre smartphone
  • Les applications qui comptent le nombre de pas effectués dans la journée
  • Celles qui nous proposent de nous accompagner dans un régime alimentaire, ou encore les diverses applications de sport.

Deux possibilités concernant le quantified self :

  • Soit les données sont stockées sur votre téléphone et ne sont pas collectées par l’application, et personne n’y a donc accès à part nous ;
  • Soit elles sont collectées par l’application, et nous avons été informé du recueil de ces données, d’où l’importance de lire les Conditions Générales d’Utilisation ! Si l’application concernée souhaite utiliser vos données, nous devons en être informé également, voire même avoir consenti expressément à cette utilisation. Par exemple, si l’application souhaite envoyer nos données à une mutuelle santé, nous devons obligatoirement avoir donné notre accord.

Quelles utilisations sont faites de mes données de santé ?

Potentiellement, les données de santé peuvent avoir de très nombreux usages. Par exemple :

  • Établir des statistiques sur la santé d’une population
  • Permettre à des professionnels de santé d’échanger des informations pour mieux soigner un patient
  • Permettre à un patient de mieux gérer sa maladie (ex : une application de suivi pour les diabétiques)
  • Permettre à un professionnel de demander un avis à un spécialiste sur un cas particulier (télé-expertise)
  • Permettre dans certains cas les consultations à distance (télémédecine)
  • Aider à prévoir les risques futurs pour la santé d’une personne grâce à la médecine prédictive
  • Etc.

Ces différentes utilisations présentent de réels bénéfices pour notre santé et la santé publique, mais elles sont aussi au cœur d’enjeux économiques importants. C’est la raison pour laquelle les lois française et européenne encadrent très strictement l’utilisation des données de santé, afin de protéger nos vies privées, et empêcher les mauvaises pratiques.

Lorsque nos données de santé sont collectées, elles doivent obligatoirement être utilisées pour une finalité précise dont nous avons été informé, ou à laquelle nous avons consenti. Nous devons également être informé de la durée de conservation de nos données, de nos droits et de la liste des personnes ou des entités qui accèdent à nos données.

Y a-t-il un risque de confusion entre mes données de santé et celles d’une autre personne ?

Le risque d’erreur dans les données de santé existe, et il est bien réel. Les erreurs d’identification des patients, notamment, sont plus fréquentes qu’on ne le pense. Ainsi, les estimations les plus basses évoquent 40 erreurs de patients dans les blocs opératoires français chaque année (par exemple, opérer un patient à la place d’un autre).

Pour les prévenir, on a mis en place des règles d’identitovigilance. Derrière ce mot barbare se cache un ensemble de pratiques pour garantir que le bon patient est traité pour la bonne pathologie.

La première règle de l’identitovigilance consiste à bien vérifier l’identité d’un patient. À l’occasion d’une visite à l’hôpital, chez notre médecin traitant ou encore dans un laboratoire d’analyse, au moment de votre enregistrement, il peut donc nous être demandé de fournir une pièce d’identité “fiable” c’est-à-dire notre carte d’identité, passeport ou titre de séjour. Attention ! La carte vitale n’est pas une pièce d’identité.

De plus, les soignants qui nous prennent en charge nous re-demanderons régulièrement notre identité : c’est une précaution pour s’assurer de fournir les bons soins à la bonne personne.

Pensez également à vérifier toutes les informations nous concernant sur les documents administratifs des structures dans lesquelles nous sommes pris en charge. Nous ne voudrions pas que l’on nous enlève un rein à la place de Mme Payet !

Quels recours en cas de problème sur la collecte et le traitement de vos données en santé ?

Quand il y a collecte de données de santé, il y a un responsable du traitement de ces données : il a des obligations sur la sécurisation de vos données, la transparence de leur utilisation, et la traçabilité des accès à ces données. En cas de problème, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qu’il faut saisir, ce qui peut être fait par le biais d’une simple déclaration en ligne.

Mai 2019

Mathias Laurent, Responsable de la Sécurité des Systèmes d’Information et Délégué à la Protection des Données au GCS TESIS

Sources

Qu’est ce qu’une donnée de santé — CNIL

Loi du 6 janvier 1978 — Legifrance

Amélioration des pratiques et sécurité des soins – HAS

Qu’est-ce qu’une donnée de santé ? – CNIL

Tous nos articles sont rédigés avec l’aide de professionnels de santé de La Réunion.