Les Big Data ont changé la façon dont nous gérons, analysons et utilisons les données. Dans le secteur des soins de santé, nous disposons depuis plusieurs années d’applications telles que des applications de santé, des podomètres et d’autres appareils portables. Ils mesurent notre vie, stimulent les initiatives en faveur d’un mode de vie sain et nous avertissent des problèmes de santé. Les Big Data sont également très performantes dans le secteur de la santé. Les données provenant des hôpitaux, des médecins généralistes, des laboratoires médicaux, mais aussi des patients eux-mêmes, peuvent contribuer à des soins personnalisés et à une meilleure prévention des problèmes de santé. Mais de quelles données s’agit-il exactement ? A-t-elle vraiment un tel potentiel ? Et qu’en est-il de la vie privée ?
Mes données ? Utile ?
Vous l’avez peut-être déjà vécu : votre médecin généraliste vous envoie chez un spécialiste, vous devez d’abord passer un scanner, vous avez des antécédents d’allergie diagnostiquée par un médecin à l’étranger, votre nouveau kinésithérapeute ne sait rien de votre rééducation d’il y a 5 ans avec votre kinésithérapeute maintenant retraité, et seul votre ancien médecin généraliste est au courant des maladies de vos parents. Grâce aux données cliniques (dossiers des patients) et à la localisation (vos antécédents), ces données pourraient être regroupées, ce qui améliorerait les soins et les rendrait plus efficaces. Les données administratives des patients et des prestataires de soins peuvent toutes être importantes. Grâce à un meilleur accès aux données des patients, il est possible de découvrir les relations entre les modèles et les tendances, ce qui peut permettre de réduire les coûts de traitement et d’éviter les symptômes ou même les maladies. Par exemple, les ensembles de données permettent aux appareils de prévoir les accidents vasculaires cérébraux ou d’analyser les scanners cardiaques avec plus de précision que ne pourrait le faire un médecin. En bref : le traitement de données importantes dans le secteur des soins de santé peut améliorer la qualité de vie globale.
Médecins ou sous-traitants ?
L’échange de données médicales entre prestataires de soins ou entre patient et prestataire de soins est à la base de nombreuses nouvelles possibilités d’application. Dans le même temps, des garanties suffisantes doivent rester en place en ce qui concerne la sécurité des informations, la protection de la vie privée et le secret professionnel. Notre vie privée ne sera-t-elle pas compromise à mesure que de plus en plus de données sont collectées, traitées et utilisées ?
Avant qu’un hôpital n’effectue une activité de traitement, sa légitimité doit être vérifiée. En général, le RGPD reconnaît six bases juridiques (non cumulatives) sur lesquelles un traitement de données personnelles peut être basé, comme mentionné dans l’article 6, paragraphe 1 RGPD : le consentement de la personne concernée ; la nécessité de l’exécution d’un contrat ; une obligation légale ; la sauvegarde des intérêts vitaux ; l’exécution d’une mission d’intérêt public ; et la représentation des « intérêts légitimes poursuivis par le responsable du traitement ».
Outre les bases juridiques susmentionnées, une base juridique supplémentaire est nécessaire pour le traitement des données sensibles, telles que les données relatives à la santé. En effet, dans le secteur des soins de santé, des informations hautement confidentielles et sensibles sont en jeu.
Le traitement des données sensibles est en principe interdit par l’article 9 RGPD. Cela comprend les données génétiques, les données biométriques, les données relatives au comportement et/ou aux préférences sexuelles et les données relatives à la santé. Le RGPD n’autorise le traitement de ces données que dans des cas exceptionnels, c’est-à-dire si l’un des motifs de traitement visés à l’article 9, deuxième alinéa, est présent, comme (entre autres) lorsque le consentement explicite a été obtenu, que le traitement est nécessaire pour des obligations et/ou des droits en vertu du droit du travail ou de la sécurité sociale, que des raisons d’intérêt public dans le domaine de la santé publique sont en jeu, que des intérêts vitaux sont en jeu, que les informations ont été manifestement rendues publiques par la personne concernée elle-même ou que le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail.
Lorsque nous appliquons cette méthode aux soins de santé, nous constatons que les données relatives à la santé sont traitées quotidiennement. Chacune de ces activités de traitement nécessite donc deux motifs de traitement : en général un motif de l’article 6 et en particulier un motif de l’article 9 RGPD.
La recherche scientifique
Lorsque l’on va plus loin et que l’on veut (ré)utiliser ces données de santé pour la recherche scientifique (pour découvrir des modèles, par exemple), la situation se complique.
Pour commencer, le transfert de données entre les sources de données, la plate-forme de recherche et les chercheurs n’est pas toujours nécessaire. Imaginez, par exemple, que les sources de données ne permettent que des analyses de données importantes au sein de leurs systèmes et que seules des conclusions générales soient tirées ici : il n’y a alors aucun transfert de données personnelles et le RGPD ne s’applique pas.
Cependant, le RGPD s’applique au responsable du traitement, afin de faire une analyse des données qu’il gère lui-même. Comme le RGPD applique le principe de limitation de la finalité, cela signifie que les finalités spécifiques pour lesquelles les données sont collectées doivent être expliquées au patient. Et puis une « réutilisation » des données d’un patient pour la recherche scientifique n’est certainement pas la finalité initiale pour laquelle le patient avait donné son consentement. Toutefois, la recherche scientifique constitue une exception à ce principe de limitation de la finalité.
Dans le cas où des données personnelles sont transférées, toutes les mesures nécessaires doivent être prises pour maximiser la sécurité des données et éviter l’identification des patients. Cela peut se faire par anonymisation (les données perdent leur statut de données à caractère personnel) ou pseudonymisation (par l’intermédiaire d’un « conseiller confidentiel tiers »).
Si les données du patient sont utilisées pour mener des recherches dans l’intérêt public et que toutes les « garanties appropriées » pour une réutilisation sûre et non reconnaissable sont respectées, la réutilisation de ces données est possible sans le consentement du patient en question. Sans cette exception particulière d’intérêt public, le patient conserve son droit d’opposition à la réutilisation de ses données.
Conclusion
La pandémie de Covid-19, malgré les efforts admirables des prestataires de soins belges, a révélé des points de douleur évidents dans le secteur des soins de santé. Cependant, l’utilisation de grandes données peut, entre autres interventions, révolutionner le bon fonctionnement des soins de santé, tout en améliorant la qualité de vie des personnes.
Si nous observons que le secteur médical peut invoquer différents motifs pour traiter des données à caractère personnel, dans ces situations, le RGPD semble offrir un cadre très précis et pertinent qui concilie les différents intérêts de manière équilibrée.
Pour en savoir plus sur big data et les soins de santé, n’hésitez pas à nous contacter à l’adresse hallo@dejuristen.be.
Rédigé par Emiel Koonen, Legal Adviser lesJuristes, et Kris Seyen, Partner lesJuristes
