Données de santé et quantified self : un espace de liberté?
Les données de santé sont sur le devant de la scène juridique ces derniers temps. Comme bien souvent dans le domaine de l’innovation, la technologie va trop vite pour le droit et le législateur, traditionnellement lent, a du mal à suivre le rythme effréné des nouveautés.
Demandez à un spécialiste du droit des données personnelles de vous expliquer le cadre légal de la protection des données de santé et vous le verrez vous répondre tranquillement, dans sa zone de confort.
Puis devenez taquin et demandez lui le régime qui s’applique par exemple aux données issues du quantified self et vous allez le voir commencer à suer à grosses gouttes, se dandiner frénétiquement sur son fauteuil et se sentir vraiment mal à l’aise. La raison est toute simple : le cadre juridique existant est inadapté à toutes ces données que nous collectons nous mêmes avec nos bracelets connectés, nos montres et autres smartphones équipés de capteurs en tout genre, bref, avec tous ces objets de plus en plus intelligents qui ne cessent de vous répéter que vous mangez trop gras, que votre IMC est trop élevée, que votre rythme cardiaque n’est pas bon, bref qu’il faut vite arrêter les soirées pizzas/bières entre potes les soirs de foot…
Le schéma classique c’est celui de la donnée de santé recueillie un professionnel de la santé dans un environnement médical : on sait en la matière que le régime juridique existe et qu’il est ultra-strict, qu’il s’agisse du recueil de la donnée, de son traitement ou de sa conservation. Mais face à ce régime ultra-rigoriste on trouve le no-man’s land (provisoire sans doute) de la donnée recueillie, traitée et conservée en dehors de ce schéma là : bref, la donnée la plus commerciale…
Car la loi ne définit pas la donnée de santé et ne permet donc pas son classement dans un régime spécifique. Tout juste sait-on avec les avis de la CNIL que la définition est entendue largement (toute donnée susceptible de donner une information sur la santé d’une personne).
La loi du 6 janvier 1978 nous dit simplement dans son article 8-1 « I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, (…) ou qui sont relatives à la santé (...) » des personnes. La loi prévoit ensuite quelques exceptions.
Les entreprises oeuvrant dans un domaine lié à la donnée de santé doivent donc analyser la typologie des données dont la collecte, le traitement et le stockage sont envisagés pour vérifier à quel régime ils doivent se soumettre, la sanction de l’erreur pouvant conduire jusque devant le Tribunal Correctionnel, la vigilance est donc de mise. Les données issues du quantified self vous offrent donc d’importantes opportunités commerciales puisque vous n’avez pas vocation à vous soumettre normalement (restons prudent…) à la législation traditionnelle et ultra-restrictive de la data de santé entendue dans un environnement médical traditionnel.
Contraint ou non par la législation sur les données personnelles, pensez à toujours rester dans l’esprit de l’article 1 de la loi du 6 janvier 1978 : « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
On signalera pour ceux qui préparent une exploration au Pôle Nord et qui auront beaucoup de temps à consacrer à sa lecture l'excellent cahier Innovation & Prospective de la CNIL : "le corps, nouvel objet connecté" :