in ,

SIdO : L’éthique et le droit questionnent les acteurs de la santé connectée

sante sido ethique

Catherine Chabert, avocat au barreau de Lyon, est spécialisée dans le droit des nouvelles technologies. C'est donc tout naturellement qu'elle a accepté de participer à l'une des tables rondes dédiées à la santé connectée du SiDO, le salon d'envergure international consacré à l'Internet des Objets qui se déroulera à Lyon le 4 et 5 avril 2018.

Avec Thierry Picard, Chief Data Officer de Pierre Fabre, Jérôme Béranger, co-fondateur d'Adel, et Jean Latiere, fondateur de Caracal, Catherine Chabert évoquera les questions de l'éthique et du droit au regard de la santé connectée. Le titre de cette table ronde ? “Projet santé : opportunités d'innovation et défis technologiques et réglementaires”. L'avocat revient avec nous sur certains des sujets qui seront abordés lors de cette discussion.

catherine chabert iot jouets connectés santé

Pourquoi avoir axé votre intervention sur la santé connectée au SIdO ?

L'IoT est véritablement en train de bousculer l'univers de la santé. Les enjeux économiques sont en pleine expansion. Ainsi le français est évalué à 4 milliards d'euros d'ici 2020.

En 2016, 100 millions d'euros ont été investis dans le secteur de l'e-santé et du bien-être. Au niveau mondial, le marché de l'IoT santé, est estimé représenter 410 milliards de dollars d'ici 2022 et ce notamment en raison de la mise sur le marché de nouveaux outils permettant d'améliorer les appareils médicaux actuels.

L'apparition de très nombreuses applications dans le domaine du « quantified-self » est disruptive par rapport au schéma classique mettant en scène un professionnel de santé et un patient.

C'est un nouveau champ d'investigation qui sort du périmètre jusqu'alors connu. C'est l'abandon du « colloque singulier » entre le professionnel de santé et le patient. D'une part parce qu'il n'y a plus un seul professionnel mais plusieurs, lesquels ne sont pas forcément professionnels et que le patient n'est plus dans la situation d'être protégé par le secret médical qu'il viole lui-même en diffusant ses propres informations. Désormais les individus collectent en effet eux-mêmes leurs données personnelles dans une démarche de bien-être et les diffusent sur le dans un but de contrôle et/ou de comparaison sans forcément connaître les modes de sécurisation dont ils bénéficient ou non.

Il s'agit d'une nouvelle manière d'envisager la santé qui génère de nombreux risques et révèle d'importants enjeux réglementaires.

Quels sont les trois principaux points légaux que soulève la santé connectée ?

La santé connectée questionne la problématique des données personnelles médicales et de leur réglementation sur fond de secret médical, de confidentialité, de protection de la vie privée, de sécurité des et de sécurisation de l'hébergement.

Trois axes de réflexion peuvent être développés à ce propos concernant les données de santé :

  • leur protection,
  • leur maîtrise,
  • leur valorisation.

Ces données particulièrement délicates, dont la diffusion peut attenter lourdement à la vie privée des personnes concernées, doivent d'abord être protégées. C'est pourquoi elles bénéficient d'une double protection : celle relevant du secret médical et celle en lien avec leur statut de données sensibles depuis la Loi du 6 janvier 1978 modifiée, laquelle va être renforcée par les dispositions du RGPD.

Ainsi la personne dont les données de santé sont collectées doit disposer du contrôle de leur collecte et de la maîtrise de leur gestion. C'est le but poursuivi par la loi de modernisation de notre système de santé du 26 janvier 2016 laquelle une fois déployée sur l'ensemble du territoire national va permettre au patient de disposer d'un dossier médical partagé (DMP) en ligne dont il pourra sélectionner et modifier le contenu et hiérarchiser les accès. Ces dispositions font écho au nouveau droit à la portabilité de ses données à caractère personnel (médicales ou non) consacré par le RGPD.

Enfin, la question de la valorisation de ces données se pose dans un contexte où les acteurs du marché génèrent des profits très importants, grâce à la collecte de ces données, amplifiés par les technologies du . Cette manne financière apparaît en déséquilibre total par rapport aux droits des personnes concernées qui le plus souvent communiquent leurs données sans aucune contrepartie et sans aucune conscience de leur valeur et des résultats issus de leur interconnexion.

Le RGPD souffle-t-il vraiment un vent de changement dans le domaine de la santé ?

vent santé connectée

Le RGPD s'inscrit dans la continuité de la réglementation informatique et libertés. En revanche on passe d'une logique d'un contrôle a priori à un principe de contrôle a posteriori. En conséquence les entreprises qui collectent des données doivent organiser leur conformité en respectant :

  • les principes déjà instaurés par la loi Informatique et Libertés et toujours en vigueur,
  • les nouvelles obligations introduites par le RGPD.

Les conséquences d'une non-conformité en cas de contrôle peuvent être particulièrement lourdes avec des sanctions qui peuvent s'élever à 10 à 20 millions d'euros ou 2 à 4% du chiffre d'affaire mondial.

En matière des données de santé, le principe est celui de l'interdiction de la collecte de ces données. Toutefois, ce principe connait plusieurs exceptions, à l'instar de celles prévues par la loi Informatique et Libertés. A titre d'exemple, un de santé est notamment possible lorsque :

  1. la personne concernée donne son consentement exprès,
  2. le traitement a pour finalité des diagnostics médicaux, la prise en charge sanitaire ou sociale, la gestion des systèmes et des services de soins de santé ;
  3. le traitement poursuit une finalité d'intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail.

En cas de collecte de données de santé, le responsable du traitement doit respecter les principes déjà en vigueur sur le fondement de la loi du 6 janvier 1978 modifiée (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité et respect des droits des personnes).

Il doit également respecter plusieurs nouvelles obligations ainsi que des obligations renforcées en ce qui concerne les modalités de mise en œuvre de ses traitements, à savoir :

  •  tenir une documentation interne, décrivant les traitements mis en œuvre et les mesures de mise en conformité de ces traitements ;
  •  désigner un délégué à la protection des données (DPD ou DPO) dans la majorité des cas ;
  •  réaliser, avant la mise en place de certains traitements, une analyse de leur impact pour les personnes concernées;
  •  signaler dans les 72h à la CNIL et aux personnes concernées les violations en matière de données personnelles ( obligation qui s'ajoute à celle prévue à l'article L.1111-8-2 du code de la santé publique concernant le signalement des incidents de sécurité des systèmes d'information de santé) ;
  •  garantir la sécurité et la confidentialité des données par la mise en place de procédures respectant les règles de politique générale de sécurité des systèmes d'information de santé (PGSSI-S) ;
  •  respecter les obligations liées à la conservation des données et notamment à la durée de conservation, aux modalités d'archivage et aux procédures de restitution des données de santé.

Par ailleurs lorsque le responsable de traitement de données de santé fait appel aux services d'un sous-traitant concernant ledit traitement, il doit établir un contrat qui décrit précisément le contenu des prestations et les modalités de contrôle du respect des nombreuses obligations prévues par l'article 28 du Règlement.

Plus largement le responsable de traitement doit s'assurer du respect par son sous-traitant des principes du RGPD.

Le RGPD renforce également les droits des personnes dont les données sont collectées. Le responsable de traitement doit respecter le droit préexistant à l'information sur la finalité du traitement, aux droits d'accès, de rectification, de suppression, ou encore au droit d'opposition pour motif légitime. Concernant les données de santé, ces droits sont d'ailleurs spécifiquement prévus par le code de la santé publique.
De nouveaux droits sont prévus notamment le droit à la portabilité des données quant au droit à l'oubli il a été renforcé.

Le règlement ne peut-il pas favoriser l'émergence d'applications de santé connectée ?

Ce texte a pour dessein d'encadrer un secteur en pleine émulation : celui du traitement des données personnelles qui trouve application notamment dans l'IoT de santé. Bien que pouvant être ressenti par certains comme une contrainte puisqu'il vise à protéger la vie privée des individus dont les données sont collectées. Il peut s'avérer bénéfique pour les entreprises qui choisiront de s'y conformer et d'inclure cette conformité dans leur stratégie de communication et de marketing.

Les consommateurs se préoccupent de plus en plus de la sécurité et de la fiabilité des qu'ils acquièrent. Ainsi les utilisateurs d'un service d'IoT santé conforme au RGPD seront rassurés et feront plus facilement appel à ce service.

C'est la raison pour laquelle le projet de loi sur la protection des données personnelles venant modifier la « loi informatique et libertés » en application des dispositions du RGPD voté au Sénat le 21 mars dernier prévoit pour la CNIL la possibilité de certifier des objets connectés.

Quels conseils légaux donneriez-vous à des entreprises qui veulent se lancer dans la santé connectée ?

Face à la complexité de la réglementation en la matière, j'encourage ces entreprises à faire une étude de faisabilité pour apprécier la conformité de leur projet avec la réglementation en vigueur. En effet la dimension réglementaire doit être pensée et budgétée dès la conception du projet pour analyser valablement sa viabilité. C'est une étape obligatoire.

Ces entreprises peuvent, pour ce faire, s'adjoindre les conseils d'un cabinet d'avocats spécialisé qui sera à même de les accompagner tout au long de leur projet. Il convient pour ces entreprises de prendre la mesure de l'étendue des responsabilités qui leur incombent en raison des conséquences potentielles pour les utilisateurs d'objets connectés et des sanctions pénales et administratives particulièrement lourdes encourues.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.