Données : attention, sensible !

Mai 2015. La deuxième compagnie d’assurance santé aux Etats-Unis, Anthem, annonce le piratage de sa base de données. Les informations personnelles de 78 millions d’assurés sont aspirées par des hackers malintentionnés. Ainsi, après la banque, ces derniers s’en prennent à la santé et démontrent avec fracas le caractère précieux de ces données plus que sensibles.

Des données qui obtiendront enfin une définition juridique précise grâce au nouveau règlement européen sur la protection des données personnelles, applicable dès mai 2018. Ce dernier propose une définition des données de santé à caractère personnel à l’échelle européenne.

Jusqu’ici, en France, en l’absence de définition légale, il fallait se reporter à la jurisprudence nationale et européenne pour déterminer leur champ précis. Auparavant, c’était le contexte de recueil de ces informations – par un médecin ou dans le cadre d’un acte médical ou paramédical – qui leur conférait une protection.

Les renseignements collectés par les objets connectés et autres applis « bien-être » en bénéficieront également : une analyse d’impact sur la vie privée devra obligatoirement être réalisée par tout détenteur de ces données et un processus d’anonymisation sera défini dès  la conception de l’appli ou du dispositif.

La Cnil vigie de leur sécurité

La Commission nationale de l’informatique et des libertés (Cnil) veille à tout abus d’utilisation des données de santé, comme en juin 2014, quand elle a sanctionné une entreprise proposant un service de suivi de régime en ligne, qui avait manqué à ses obligations de confidentialité.

Un cadre juridique pour l’ouverture des données.

Si la Cnil dispose d’une extension de ses moyens, l’entrée en vigueur de ce règlement européen pourrait mettre fin à un paradoxe souvent souligné : en France, le recueil et la conservation des données de santé sont depuis longtemps sous étroite surveillance (considérées comme des « données personnelles sensibles », elles entrent dans le champ de l’article 24 de la loi de 1978), tandis que les infos transmises par une montre connectée à un smartphone pouvaient faire trois fois le tour de la Terre, sans garantie qu’il soit possible de les intercepter.

L’attention sourcilleuse du gendarme de la vie privée apparaît, parallèlement, comme un frein au développement de l’e-santé. En effet, l’exploitation du big data trace des potentialités de recherche infinies : évaluation des politiques de santé, amélioration de l’offre de soins, étude des maladies et de l’efficacité des traitements…

En 2013, la base de données du Sniiram (Système national d’information inter-régimes de l’Assurance Maladie) avait permis d’évaluer les risques d’AVC et d’infarctus du myocarde chez les femmes sous pilule de troisième génération. L’analyse des données de plus de 4 millions de femmes avait permis d’identifier que le risque d’embolie pulmonaire était deux fois supérieur chez les femmes sous pilule de troisième génération que chez celles sous pilule de deuxième génération.

Sylvie Fagnart

La France ouvre les portes de son coffre-fort numérique

La France détient le plus important fichier de données médicales d’Europe. La loi santé de janvier 2016 permet l’accès universel aux données agrégées ne permettant pas la réidentification d’une personne, via un système agrégateur (SNDS), en service depuis le 1^er avril 2017. Les autres données ne pourront servir qu’à des recherches « d’intérêt public ».