Un règlement européen va définir, pour la première fois, le terme «données de santé» à partir de mai 2018.
Objets connectés ou applications de santé … Ces outils regorgent de vos données de santé: votre rythme cardiaque, l’analyse de votre sommeil ou encore votre indice de masse corporelle. À partir du 25 mai prochain, ces données seront mieux protégées.
La raison est simple: la loi va – enfin – définir ce qu’est une «donnée de santé». Un règlement européen qui entrera en application dans six mois, s’en charge pour la première fois. Jusqu’à présent dans les textes de loi, ce terme de «donnée de santé» apparaissait sans jamais être explicité. On en parlait simplement comme des données dites «sensibles».
Le règlement européen sera donc plus clair. Les données de santé y sont définies comme «l’ensemble des données se rapportant à l’état de santé d’une personne et révélant des informations sur son état de santé physique ou mentale passé, présent ou futur». Toute donnée recueillie par un dispositif médical sera considérée comme une donnée de santé. Le règlement va même très loin puisqu’il définit les «données génétiques», ainsi que les «données biométriques». Le principe général de la loi dispose qu’il est interdit de collecter des données de santé… sauf exceptions (dans le cadre de la sécurité sociale, de la médecine préventive, ou pour des intérêts de santé publique, consentement éclairé préalable, etc.).
Contrairement à ce que l’on pourrait croire, il ne s’agit pas d’une simple bataille de juristes. Jusqu’à présent, seules les informations sur votre état de santé issues du milieu médical (hôpital, médecin de ville, laboratoire…) avaient valeur de «données de santé». À ce titre-là, elles étaient particulièrement protégées. Mais toutes les informations produites par exemple par des applications de bien-être (rythme cardiaque, poids, masse graisseuse etc.) ne rentraient pas forcément dans cette catégorie. Désormais, ce sera le cas.
Les données à caractère personnel
Mais ce n’est pas tout. Le nouveau règlement légifère plus généralement sur les données à caractère personnel dont font partie les «données de santé». Pour détenir ces données il faudra désormais montrer patte blanche avec une analyse d’impact sur la vie privée. Ce rapport, établi par chaque entreprise qui en assure la collecte, devra prévoir des mesures appropriées pour anonymiser ces informations dans les cas où elles seraient piratées, modifiées ou perdues.
De plus, il sera obligatoire de tenir compte de la protection des données dès la conception d’une application, d’un site internet ou d’un objet connecté capable de les collecter. Enfin, «les entreprises devront s’organiser pour garantir que, par défaut, seules les données personnelles qui sont strictement nécessaires seront traitées. Autrement dit, elles devront, par défaut, limiter la quantité de données collectées, leur durée de conservation et le nombre de personnes qui y auront accès», déclare Selima Ellouze, consultante en protection des données personnelles pour l’industrie pharmaceutique.
10 à 20 millions d’euros
«L’absence de définition légale de la «donnée de santé», rendant la frontière entre «bien-être» et santé assez floue, ainsi que le faible montant des sanctions encourues, limitait quelque peu l’action des autorités de protection des données», explique Selima Ellouze. Désormais, les pouvoirs conférés aux autorités sont renforcés. Car pour les entreprises qui ne respecteraient pas leurs obligations, des sanctions ont été prévues par le règlement européen, applicable directement dans le droit français: De 10 à 20 millions d’euros ou entre 2% et 4% du chiffre d’affaires annuel mondial de l’entreprise. De quoi décourager, même les plus gros groupes.
Contactés par le Figaro, les entreprises comme Fitbit, Doctolib ou encore KcalMe (une application pour calculer le nombre de calories ingérées) affirment déjà respecter la loi. Mais d’autres applications ont encore des progrès à faire. Une société de suivi de régime en ligne, a reçu un avertissement de la part de la CNIL en 2014 pour différents manquements dans le cadre de la collecte des données personnelles.
Source LE FIGARO.
