Les patients ont-ils vraiment le contrôle de leurs données de santé?
La cyberattaque WannaCrypt0r 2.0, qui a fait de nombreuses victimes au début du mois de mai, parmi lesquelles les hôpitaux britanniques, a relancé le débat de la sécurisation des données de santé.
80% des individus considèrent que leur dossier médical est une donnée sensible, qu'ils ne souhaitent pas partager avec n'importe quel organisme, selon une étude KPMG. En pratique, les patients n'ont pas toujours la maîtrise de l'utilisation qui peut être faite de leurs données de santé, à des fins de recherche notamment.
Depuis la loi pour une République numérique adoptée en octobre dernier, «toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi» (article 54). Mais en matière de données de santé, l'application de cet article est soumis à des exceptions. Ainsi, «le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée», selon le Règlement Général sur la Protection des Données (RGPD), adopté en 2016.
Le Big Data au coeur de la médecine de demain
Plus précisément, le RGPD interdit le traitement de données concernant la santé des individus, sauf si ce dernier est «nécessaire aux fins de médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale (…), nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique (…)» (article 9, paragraphe 2).
Et pour cause, anonymisées, ces données peuvent être utilisées pour analyser les facteurs qui influencent la santé et les maladies, selon Ronan Le Quéré, directeur général d'Interaction Healthcare. Ces dernières peuvent également servir la médecine prédictive, dans une logique de prévention, ou pour diminuer les effets indésirables de certains traitements. Elles servent ainsi de socle à ce que les professionnels du secteur appellent «la médecine des 7 P» (voir l'encadré en fin d'article). «Il est nécessaire de protéger l'usage qui peut être fait des données de santé, dans un cadre qui serait différent du cadre de collecte», souligne Ronan Le Quéré. «Des problèmes éthiques se posent si un assureur adapte sa tarification en fonction des données de santé qu'il collecte sur ses clients, par exemple.».
Un risque accru pour les applications de santé et de bien-être
Pour le spécialiste, le véritable risque de perte de contrôle provient avant tout des applications mobiles de santé et de bien-être, qui se développent massivement. «On les utilise sans forcément consulter les mentions légales. L'utilisateur se concentre sur la promesse de l'application, sans s'interroger sur la quantité de données personnelles qu'il doit fournir pour les utiliser, l'endroit où celles-ci sont stockées, ou encore si l'entreprise respecte les règles d'anonymisation.».
De plus, les patients qui le souhaitent peuvent demander une copie de l'ensemble de leurs données de santé, comme le prévoit le Code de la santé publique. Mais est-ce suffisant pour que ces derniers se «réapproprient» leurs données de santé? «Dans la mesure où le patient peut les récupérer, et avoir accès à des données auxquelles il n'aurait pas pu avoir accès autrement, oui il se réapproprie ses données. En revanche, tout dépend de la logique dans laquelle il le fait, et si une partie des informations communiquées à un tiers sont conservées ou non», analyse Ronan Le Quéré. Autre limite pointée du doigt, la complexité des données qui sont communiquées au patient, qui peuvent nécessiter l'aide d'un professionnel pour être vulgarisées.
«Il est nécessaire de trouver le juste milieu entre la protection indispensable des patients, et l'innovation», conclut le dirigeant. A titre d'exemple, la Cnil a récemment simplifié la procédure de déclaration préalable jusqu'à présent obligatoire pour tout traitement de données de santé, tout en prévoyant des contrôles renforcés a posteriori. «Cette évolution s’inscrit dans la philosophie générale portée par le règlement européen sur la protection des données qui confère au consentement des personnes concernées une place particulière dans la maîtrise de leurs données, favorise une responsabilisation accrue des acteurs et renforce le contrôle en aval par la CNIL», peut-on ainsi lire sur le site de la Commission.
- Personnalisée, grâce à des traitements sur-mesure.
- Prédictive, grâce au big data.
- Préventive, grâce aux objets connectés de santé, qui transforment les comportements de leurs utilisateurs.
- Participative, avec un patient acteur de sa santé.
- Partagée, grâce à une meilleure circulation des données de santé entre les établissements.
- Pédagogique, la formation des professionnels de santé étant indispensable à la transformation du secteur.
- Structurée autour d'un Parcours de santé.
Lire aussi :
- E-santé: les 10 tendances à surveiller
- Données personnelles: ce que les consommateurs tolèrent, ce qui leur fait peur
- Gestion financière, quels sont les nouveaux outils qui s’imposent à tous dirigeants et CFO pour piloter leurs activités? - 12/10/2023
- Gestion de contrats d’entreprise: quelles sont les meilleures pratiques à adopter? - 21/09/2023
- NAVAN (ex-TripActions), un pionnier de la gestion des voyages d’affaires qui mise sur l’Europe - 14/09/2023
