Délia Rahal-Löfskog (CNIL) "Le respect des données va devenir un avantage concurrentiel dans l'e-santé"
Selon Délia Rahal-Löfskog, chef du service de la santé à la direction de la conformité de la CNIL, la France n'est pas un pays particulièrement restrictif quant à l'utilisation des données de santé.
JDN. En quoi le traitement des données de santé est-il spécifique ? Par quels textes est-il régi ?
Délia Rahal-Löfskog. Les informations relatives à la santé d'une personne font l'objet d'une protection par les textes applicables, par exemple le code de la santé publique ou le code de la sécurité sociale. Elles sont considérées par la loi Informatique et Libertés comme des données sensibles. Le règlement européen sur les données personnelles dont l'adoption est imminente confirme cette sensibilité. Cette protection particulière se traduit par une interdiction de principe tout en ménageant un certain nombre d'exceptions. Les professionnels de santé ne sont pas soumis à cette interdiction pour la prise en charge de leurs patients par exemple.
Qu'en-est-il des données de santé anonymes ?
Les données anonymes ne sont plus des données à caractère personnel. Mais il faut faire attention, car une donnée dont on a simplement enlevé le nom et le prénom de la personne concernée n'est pas forcément anonyme. L'article 2 de la loi Informatique et Libertés définit la donnée à caractère personnel comme "toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres". Ainsi, si l'on possède une date de naissance, un lieu de résidence, des données de santé et un numéro d'ordre dont quelqu'un connaît la correspondance avec l'identité de la personne, on ne peut pas parler de donnée anonyme.
"Une donnée dont on a enlevé le nom et le prénom n'est pas forcément anonyme"
Cela paraît restrictif…
La loi encadre le traitement des données à caractère personnel, cela ne veut pas dire que l'on ne peut pas les exploiter. C'est possible à condition de respecter les principes de la loi : la finalité, c'est-à-dire définir le but de l'utilisation des données, la pertinence de la collecte, la sécurité et confidentialité des données. Il y a aussi obligation de veiller à l'intégrité de la donnée en veillant à ce que des tiers non autorisés n'y aient pas accès. Par ailleurs, la durée de conservation doit être proportionnelle à la finalité poursuivie et doivent être respectés les droits des personnes à l'information, à l'accès, à la modification et à la suppression. Le nouveau règlement européen introduit le droit à la portabilité : tous les consommateurs pourront exiger de se faire remettre leurs données dans un format exploitable et pourront ainsi plus facilement faire jouer la concurrence.
Pour les entreprises, respecter ces principes va d'ailleurs devenir un argument concurrentiel. Les consommateurs vont pouvoir choisir entre différents services celui qui mise le plus sur la confidentialité des données et pour lequel l'information sur leurs droits est la plus transparente. Les entreprises ont tout intérêt à intégrer rapidement l'importance du Privacy by design, la prise en compte de la protection des données personnelles dès la conception du produit.
Quelles sont les utilisations des données de santé qui pourraient être interdites par la CNIL ?
Il n'y a pas d'utilisation interdite par principe par la CNIL. Elle regarde le cadre légal dans lequel s'inscrit le traitement. En fonction de la finalité le traitement relève soit du régime autorisation, soit du régime de déclaration. La CNIL peut être amenée à prononcer un refus d'autorisation si les conditions posées par la loi ne sont pas satisfaites. Elle privilégie néanmoins l'accompagnement à la conformité.
Quel recours en cas de refus d'autorisation de la CNIL ?
La décision est susceptible de recours devant le Conseil d'Etat.
Les données de santé doivent obligatoirement être hébergées par un acteur agréé par le ministre de la Santé, sur conseil d'un comité d'agrément des hébergeurs et de l'Asip après avis de la CNIL. Certains entrepreneurs se plaignent car les quelques hébergeurs agréés en profitent pour afficher des coûts bien plus chers…
La procédure pour l'agrément d'hébergeur de santé va être simplifiée
Nous avons constaté une élévation du niveau de sécurité depuis le début du processus d'agrément et on ne peut pas se permettre de prendre le risque que des données de santé se retrouvent entre des mains malveillantes. La CNIL a souligné la lourdeur de la procédure d'agrément. Et avec la loi santé adoptée en 2016 des modifications sont en cours pour simplifier la procédure. Les services de la CNIL y travaillent avec ceux du ministère de la santé.
La France n'est elle-pas trop restrictive quant à l'utilisation des données de santé ?
Tout dépend où se situe le niveau de comparaison. Si on compare avec les Etats-Unis ou la Chine, d'accord. Mais en Europe, entre la directive de 1995 et le règlement à venir, le socle est commun. Par exemple, l'autorité de régulation des données néerlandaise a récemment mis en demeure deux entreprises qui proposaient des bracelets connectés à leurs salariés tout en gardant la possibilité d'accéder aux données enregistrées. L'autorité a jugé que malgré le consentement du salarié, ce n'était pas possible, le consentement des salariés n'étant pas libre. Ce n'est donc pas une question spécifique à la France.
"Nous accueillons régulièrement des start-up et projets innovants et les orientons"
Comment libérer l'utilisation par des entreprises privées de l'e-santé ?
Nous faisons beaucoup d'accompagnement sur le sujet. La CNIL dispose d'un pôle innovation et prospective. Avec mes collègues de ce pôle, nous accueillons régulièrement des start-up et projets innovants et les orientons. Le but de la CNIL n'est pas d'empêcher mais d'accompagner pour trouver un équilibre entre les droits des personnes, les principes de la loi et l'innovation.
Peut-on imaginer qu'un assureur santé mette en place un système de récompenses en fonction de l'activité physique enregistrée par des objets connectés ?
Tout dépend des modalités. Les personnes doivent pouvoir exprimer leur consentement et bénéficier pour ce faire d'une information loyale. Le modèle assurantiel français est basé sur la mutualisation du risque. Si cela doit changer, il doit y avoir un débat public sur la question.
Délia Rahal-Löfskog occupe actuellement les fonctions de chef du service de la santé à la Commission Nationale de l'Informatique et des Libertés (CNIL). Avocate de formation et diplômée de l'Ecole des Hautes Etudes en Sciences Sociales (EHESS) ainsi que de l'Université de Paris Sud, elle a débuté sa carrière à l'Office National d'Indemnisation des Accidents Médicaux (ONIAM) en 2003.