Avec le projet « Ma Santé 2022 », la France entend recourir au numérique pour mieux soigner. Ce projet déploie plusieurs mesures ayant pour but de faciliter la circulation des informations entre professionnels et favoriser l’accès aux soins, notamment par le renforcement de la téléconsultation. Mais il implique de gérer prudemment la question du traitement et de la protection des données personnelles des patients.
Création d’un espace virtuel de santé
L’espace virtuel de santé est un dispositif numérique qui permet l’accès au dossier médical partagé du patient ainsi qu’à une messagerie sécurisée. Cet espace implique un haut niveau de sécurité des données personnelles sensibles afin d’en assurer la confidentialité. Concrètement, il s’agit d’informations relatives à l’état physique ou mental d’un patient, à la prise d’un traitement médical, à la réalisation de tel acte de médecine ou de telle opération chirurgicale. On comprend alors l’enjeu de sécurité que la création d’un tel espace peut poser.
En effet, le dossier médical informatisé et partagé reprend toutes les informations de santé du patient avec ses antécédents médicaux. L’objectif est de faciliter l’information et la coopération entre les professionnels de santé. Ainsi, avec l’accord préalable du patient, les données médicales sont mutualisées afin de rationaliser les prescriptions et d’optimiser la qualité du soin. À terme, cela devrait également produire des effets sur la maîtrise des dépenses de santé à l’échelle nationale.
Ce projet doit néanmoins trouver sa place en respectant le secret médical et la confidentialité. L’accès au dossier est donc réservé aux seules personnes légitimes et préalablement autorisées. Hors cas d’urgence où la santé du patient est en danger imminent, seuls les professionnels de santé autorisés peuvent avoir accès au dossier médical numérique partagé. L’espace numérique de santé a donc vocation à être maîtrisé par le patient, tant du point de vue du contenu que des personnes y ayant accès. Mais la question du traitement des données de santé met plus que jamais en évidence les enjeux autour de ces données qui peuvent être utilisées à des fins commerciales ou directement impacter la vie privée des patients.
Traitement et protection des données personnelles
Dès le départ, la loi du 6 janvier 1978 relative à l’informatique et aux libertés définit la donnée à caractère personnel. Il s’agit de toute information relative à une personne physique qui permet son identification directe ou indirecte. En pratique, il peut s’agir d’un nom, d’une adresse email, d’une photo, d’un numéro de téléphone. Ces données doivent donc faire l’objet d’une protection juridique accrue.
En 2018, la protection est renforcée avec l’entrée en vigueur du RGPD, règlement général sur la protection des données, dans les pays de l’Union Européenne. Il en résulte que toute personne a le droit d’être informée sur le traitement de ses données, d’en demander la modification, de s’opposer à leur utilisation à des fins commerciales ou d’exiger la limitation de leur traitement à des cas précis. Dans son article 9, le RGPD pose le principe de l’interdiction du traitement des données concernant la santé d’une personne physique. Par dérogation, il est admis lorsque la personne concernée a donné son consentement explicite à l’exploitation de ses données en pleine connaissance des objectifs poursuivis. Par ailleurs, le texte autorise le traitement de ces données lorsqu’il poursuit un motif d’intérêt public, comme la question du pass vaccinal anti-covid, ou pour la gestion des systèmes de service de santé.
Les médecins et établissements de soin privés ou publics doivent donc s’organiser pour assurer un traitement des données médicales dans le respect du RGPD. Principalement, il s’agit de s’assurer de l’exactitude des informations stockées, ainsi que de la sécurité et de la confidentialité de ces données. Leur collecte doit être justifiée par la finalité poursuivie. Par ailleurs, l’accord de la personne est indispensable à l’exploitation de ses données et les établissements ont une obligation de transparence et d’information quant à la détention de données personnelles.