Le progrès des technologies de l’information requiert et permet aujourd’hui la collecte et le traitement massif de données, de données personnelles et de données de santé. Les données sont devenues une valeur cardinale de l’économie numérique. Cette valorisation de la donnée n’exclut pas les données de santé, bien au contraire.
Dans ce contexte, le Healthcare Data Institute a souhaité, dans le cadre de son Café juridique, faire le point sur les droits détenus sur les données de santé et leurs titulaires en remettant le patient au cœur de la réflexion.
Les membres présents se sont ensemble demandé si l’empowerment du patient n’était pas la clé d’un système vertueux et bénéficiaire pour tous les acteurs de la santé.
A QUI APPARTIENNENT LES DONNEES ?
L’identification des droits sur les données et de leurs titulaires passe, pour le droit, par leur qualification juridique. Le juriste est donc amené à se poser une question : qu’est-ce qu’une donnée pour le droit ?
Le droit connaît d’une part les choses, d’autre part les personnes. Les choses peuvent être tangibles ou immatérielles, elles sont objet d’appropriation. Les personnes sont titulaires de droits, notamment sur les choses.
La donnée est sans hésitation une chose. Une chose un peu particulière puisqu’elle est immatérielle. Elle est une idée ou un concept. En tant que telle, elle est appropriable, mais sous condition et pour une durée limitée. Elle peut être protégée par le droit d’auteur, si sa forme est originale, par le droit des brevets, si elle est innovante, par le droit des marques si elle est distinctive. Les autres données ne peuvent faire l’objet d’appropriation, elles sont de « libres parcours1 ».
Les données à caractère personnel diffèrent toutefois des autres données par leur lien étroit avec l’individu. Ce lien est d’autant plus étroit que les données concernent sa santé.
Cette relation à la personne est source pour les juristes d’une controverse non réglée. Certains en déduisent un droit de propriété de l’individu sur ses données, d’autres considèrent ces données comme l’expression de l’individualité de la personne, au même titre que son image, sa voix, son corps ou l’expression de sa personnalité dans la création2.
Selon la première de ces thèses, l’individu exercerait un contrôle sur ses données grâce au droit de propriété. Propriétaire, il pourrait donc céder ses données à caractère personnel. Cette thèse reste critiquée puisqu’elle ne permettrait pas selon ses détracteurs une protection satisfaisante des informations personnelles. L’asymétrie des rapports de force entre les exploitants des données et les particuliers permettrait des cessions presque « automatiques » pour des prix dérisoires ou en contrepartie de l’utilisation d’un service, que les mécanismes de gestion collective des droits ne permettraient pas de corriger, compte tenu du nombre des individus concernés3.
Selon la seconde thèse, le lien essentiel de la personne aux données qui la concernent aurait au contraire pour conséquence de placer les données personnelles dans la sphère de l’indisponibilité et de la non patrimonialité. Prolongement de l’être, ces données ne seraient donc pas appropriables et par conséquent pas cessibles, a fortiori à titre onéreux. L’individu disposerait par ailleurs d’un droit de contrôle sur les utilisations de ses données pour faire respecter l’intimité de sa vie privée mais plus essentiellement sa personne, que les données contribueraient à définir.
C’est dans la conjonction de ces principes que cette dernière thèse rencontre néanmoins la critique puisque rien n’exclut qu’une autorisation d’utilisation se monnaie comme le droit à l’image, par exemple4. C’est toutefois a priori cette seconde logique qu’adopte le droit positif puisqu’il est irrigué par cette idée que la personne dispose d’un droit de décider et de contrôler les utilisations faites des données la concernant, logique dite d’autodétermination informationnelle ou de self data5.
QUELS DROITS POUR LE PATIENT SUR SES DONNEES ?
Consacrant expressément cette logique, l’article 54 de la loi n° 2016-1321 pour une République numérique du 7 octobre 2016 a modifié l’article 1er de la loi Informatique et Libertés pour y ajouter un alinéa aux termes duquel : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi6. »
En pratique, les choses ne sont toutefois pas si simples puisque le principe de l’autodétermination vaillamment énoncé connaît de multiples restrictions, et notamment pour les patients.
Ainsi, le consentement du patient au traitement de ses données de santé n’est qu’une dérogation parmi d’autres au principe d’interdiction de traitement de ces données sensibles. Ces données peuvent donc être traitées sans son consentement7.
Si le patient bénéficie toutefois du droit de s’opposer au traitement de ses données, il doit justifier de motifs qui doivent être jugés légitimes8.
Le Règlement 2016/679 qui entrera en application le 25 mai 2018 prévoit au bénéfice des individus de nouveaux droits dont on aurait pu attendre un progrès pour les patients. Leur application est pourtant limitée. Le droit à l’effacement des données traitées (droit à l’oubli)9 n’est pas applicable en matière de traitements auxquels il est procédé dans le cadre des soins ou à des fins de recherche scientifique. La poursuite d’un intérêt public important permettra de contourner le droit de ne pas subir des décisions fondées exclusivement sur un traitement automatisé de données personnelles concernant la santé10. Le droit à la portabilité des données, c’est-à-dire le droit pour les individus de recevoir communication « dans un format structuré, couramment utilisé et lisible par machine » des données qu’ils ont renseignées auprès du responsable du traitement ou qui ont été « récupérées » par ce responsable, avec la possibilité de demander le transfert des ces données à un autre prestataire11 n’est quant à lui applicable que dans le cadre de traitements fondés sur le consentement de la personne concernée, bien que le G29 en recommande la généralisation12.
Le patient ne décide donc pas véritablement du traitement des données de santé le concernant recueillies dans le cadre des soins. Doit-on en conclure que pour le patient point de salut ?
Rien de moins sûr. La loi prévoit au bénéfice du patient un droit clair et précieux d’accès aux données de santé le concernant collectées dans le cadre des soins13 avec la possibilité d’en obtenir copie.
C’est ce droit essentiel d’accéder aux données et de les détenir qui pourrait peut-être permettre la participation pleine et entière du patient aux soins qu’il reçoit et plus généralement au système de santé.
QUEL ROLE POUR LE PATIENT ?
Les patients semblent encore avoir une conscience limitée de ce qu’est une donnée de santé et des utilisations qui peuvent en être faites. Ils ne semblent parfois pas réaliser qu’ils s’en délestent, dans diverses circonstances, que ce soit dans le cadre des soins ou de l’utilisation d’une application. Ils semblent par ailleurs ne pas nécessairement connaître leur droit d’accès à leurs données ou, à tout le moins, ne pas maîtriser les procédures pour y accéder.
Les formats proposés pour leur restituer ces données – essentiellement papier – constituent également un frein à une « réappropriation » satisfaisante.
Quant au dossier médical partagé, il permet aujourd’hui simplement d’obtenir un accès aux documents médicaux qui y seront versés, sans garantie d’exhaustivité et avec des difficultés tenant au format et aux possibilités d’extraction14.
Les enjeux identifiés sont donc (i) l’éducation des patients face à l’émergence de moyens permettant de collecter leurs données, pour qu’ils puissent connaître leurs droits et bénéficier des avantages pouvant résulter de l’utilisation de leurs données, (ii) la progression concrète de l’interopérabilité (iii) et une réflexion sur l’organisation qui permettrait aux patients de détenir de manière exhaustive les éléments de leur histoire médicale.
Les initiatives Blue Button et MesInfos sont à considérer15.
La logique du tiers de confiance, qui pourrait assurer une gestion sécure et efficace des données du patient, contribuer à reconstituer son dossier médical en assurant la qualité de la donnée et de son format pourrait peut-être permettre au patient de redevenir seul maître de son histoire clinique.
« réappropriation » de ses données par le patient lui permettrait de prendre l’initiative de les partager, pour être le plus libre possible dans le choix du praticien et de ses traitements bien sûr, mais aussi pour contribuer plus largement au système de santé en s’associant par exemple à des études en vie réelle sur l’efficacité ou la sécurité des produits de santé16, par le biais d’associations de patients ou sur le modèle d’une démocratie sanitaire encore plus directe, dans le cadre de plateformes, communautés ou réseaux.
Pourrait-on même imaginer des cohortes de patients autogérées ?
Le patient deviendrait ainsi véritablement acteur de sa santé17 mais aussi et peut-être surtout, un acteur de santé à part entière.
—————————-
1 H. Desbois, Le droit d’auteur en France, Dalloz 1978, 3e éd., p. 22; L’absence d’appropriation n’excluant pas toute protection par le droit, notamment par le biais des actions en concurrence déloyale
2 Voir notamment J. Rochefeld « Contre l’hypothèse de la qualification des données personnelles comme des biens » in Les Biens numériques, sous la direction d’E. Netter et A. Chaigneau, Centre de droit privé et de sciences criminelles d’Amiens (CEPRISCA) collection Colloque, novembre 2015 p 221 et s.
3 C. CASTETS-RENARD « Des biens aux services numériques : de l’Ere de la propriété à l’âge de l’accès » in Les Biens numériques, sous la direction d’E. Netter et A. Chaigneau, Centre de droit privé et de sciences criminelles d’Amiens (CEPRISCA) collection Colloque, novembre 2015 p 203 et s. ; A. Anciaux, J. Farchy « Données personnelles et droit de propriété : quatre chantiers et un enterrement », in Revue Internationale de droit économique 2015/3 p 307
4 Cass Civ 1ère 11 décembre 2008, Bull. Civ. I n°282
5 Voir notamment, Conseil d’Etat, Le numérique et les droits fondamentaux, Rapport 2014, les Rapports du Conseil d’Etat ; Cour Constitutionnelle fédérale allemande 15 décembre 1983. L’ambiguïté des règlementations européennes doit toutefois être soulignée puisque la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, est relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel mais aussi à la livre circulation de ces données et que le Règlement (UE) 2016/679 qui va entrer en application en 2018 reprend ce même titre. Il faut ici également préciser que les droits consentis aux personnes concernées sur leurs données comme le rejet de l’idée d’appropriation des données personnelles n’excluent pas l’appropriation des bases dans lesquelles les données sont intégrées (sous certaines conditions voir les articles L.112-3 et L341-1 du Code de la propriété intellectuelle et l’intéressant arrêt rendu par la CJUE le 15 janvier 2015 dans l’affaire C30-14 Ryanair Ltd contre PR Aviation BV). Ceci vaut pour les bases de données personnelles si la réglementation est respectée (Voir par ex CE 23 mars 2015 n°357556 ou Com 25 juin 2013, Bull. IV, n° 108). On rappellera néanmoins ici que l’article L.1111-8 du Code de la santé publique prohibe toujours, sous peine de sanctions pénales, « tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée » dans sa version refondue par l’ordonnance n°2017-27 du 12 janvier 2017.
6 https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=2109972CF5106DB0AADE1C4169CDA0C7.tpdila07v_ 1?cidTexte=JORFTEXT000033202746&categorieLien=id ; T. DAUTIEU, E. GABRIE, « Analyse de l’apport de la loi pour une République numérique à la protection des données à caractère personnel (2è partie) », Comm. Com. Elect. Janv. 2017, p9
7 Article 8 II. de la loi
8 Article 38 de la loi 56, en matière de recherche avec des conditions d’exercice plus clémentes ; Le droit d’opposition est retrouvé dans le Règlement (UE) 2016/679 à l’article 21. Les motifs légitimes deviennent des « raisons tenant à la situation particulière » de la personne concernée.
9 Article 17 ; CJUE Aff. C-131-12, 13 mai 2014 Google / Sapin
10 Article 22 du Règlement (UE) 2016/679
11 Article 20 du Règlement (UE) 2016/679. Le droit à la portabilité ne concerne toutefois pas les données enrichies, G29, Guidelines on the right to data portability, 13 december 2016
12 G29, 13 december 2016
13 Articles L.1111-7 et R.111-1 du Code de la santé publique ; Article 39 de la loi n° 78-17 du 6 janvier 1978 et article 15 du Règlement (UE) 2016/679
14 Sur le DMP, voir notamment les articles L.1111-14 et s. et R.1111-26 du Code de la santé publique ; Délibération n°2016-258 du 21 juillet 2016 de la CNIL portant avis sur un projet de décret en Conseil d’Etat autorisant la création d’un traitement de données à caractère personnel dénommé « dossier médical partagé » (demande d’avis n°16017107) ; https://wwww.dmp.gouv.fr
15 Voir notamment Conseil national du numérique « la santé, bien commun de la société numérique », octobre 2015
16 Voir notamment L. Abenhaim « Le nouveau paradigme de l’évaluation des médicaments en vie réelle », Académie de Pharmacie 2 décembre 2015
17 Nathalie LEVRAY, Le patient-usager acteur de sa santé, in Gazette santé social, Mai 2011, p52
—————————-
« Le patient acteur de santé : à qui appartiennent les données de santé ? Quels droits sur ses données ? Quel rôle pour le patient ? »
Compte rendu du Café Juridique Pons & Carrère / Healthcare Data Institute du 30 janvier 2017.
