Les patients ne doivent pas avoir peur de confier leurs données à des services de santé car la réglementation française protège aujourd’hui parfaitement la confidentialité de leurs données.
Si le scandale Cambridge Analytica, au cours duquel les utilisateurs ont découvert que Facebook partageait massivement leurs données est loin d’être fini, il a mis en lumière le manque d’informations du grand public sur l’usage de ses données personnelles. C’est dans ce contexte de défiance que le RGPD est entré en vigueur et a imposé un cadre à un secteur du numérique jusqu’ici peu soucieux de confidentialité. Parce que toutes les entreprises qui ont des activités en Europe sont concernées, Google, Apple, Samsung et toutes les entreprises qui jusqu’à présent collectaient les données de santé des utilisateurs, entre autres via des objets connectés - type montres, smartphones, balances - doivent désormais respecter le RGPD qui, bien que juridiquement européen, s’étend par ricochet au monde entier.
Les données de santé : un but médical et non commercial
Une donnée personnelle est une information qui définit une personne et permet de l’identifier. Une donnée de santé, quant à elle, est une donnée personnelle spécifique portant sur les informations de santé d’une personne comme son poids, sa fréquence cardiaque ou ses antécédents médicaux. Les données de santé sont très importantes pour les médecins lors de la prise en charge d’un patient, car elles lui donnent un contexte qui améliore son diagnostic. Il est particulièrement important de protéger ces données car, détournées de leur usage, elles pourraient servir à des dérives comme par exemple être exploitées par des mutuelles pour moduler leurs prix en fonction du profil des patients. Pour garantir un juste accès aux soins, il est fondamental que ces données soient utilisées dans un but médical et non commercial. Pour cela, il faut garantir que seules les personnes accréditées aient accès à ces données, c’est-à-dire le patient lui-même et son médecin traitant.
Le RGPD simplifie le contrôle et l’effacement des données
Fort heureusement, la France dispose d’une législation stricte en matière de données de santé. Depuis 1998, les lois informatiques sur la santé sont très protectrices vis-à-vis des patients. L’entrée en vigueur du RGPD n’y a pas apporté de grand changement, si ce n’est de simplifier le droit à l’accès et à l’effacement de ses données par le patient, qui n’aura désormais plus besoin de passer par la CNIL. Par exemple, un service de télémédecine est déjà dans l’obligation de stocker ses données en France, dans un DataCenter agréé données de santé. À cela, le RGPD a ajouté l’obligation de faciliter leur accès : à partir d’un simple bouton, l’utilisateur doit pouvoir modifier l’accès des différents services à ses données y compris les retirer. Le véritable changement apporté par le RGPD en matière de données de santé n’est donc pas dans la protection des données en elles-mêmes mais dans la manière dont l’utilisateur y accède et en régule l’accès.
Le RGPD n'empêche pas de profiter des données
Les données personnelles doivent être protégées. Néanmoins, il serait dommage de se priver des formidables améliorations que leur analyse peut offrir à la santé publique. Comment alors parvenir à trouver le bon équilibre entre respect de la vie privée et utilisation des données à des fins médicales ? Grâce à l’anonymisation des données. Anonymes, elles deviennent des données spécifiques qui n’ont plus rien de personnelles et peuvent, par exemple, être utilisées pour améliorer la médecine préventive. Dans les années à venir, un nombre croissant de données de santé va être exploité par des services publics comme privés pour améliorer la prise en charge des patients. Grâce à la législation française et au RGPD, les utilisateurs ne doivent pas avoir peur pour leurs données de santé, mais au contraire accueillir cette transformation numérique de la santé comme une révolution de la prise en charge.
Le numérique a longtemps été un secteur concurrentiel très peu réglementé, ce qui a permis de faire émerger des acteurs majeurs. Cette situation doit pourtant aujourd’hui être encadrée pour protéger la vie privée des internautes et empêcher des dérives mercantiles. C’est la raison d’être du RGPD qui, en régulant ce secteur, lui donne le second souffle dont il a besoin pour retrouver la confiance des internautes.