Le RGPD dans le cadre des logiciels
de santé
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
Le développement des applications mobiles a fait augmenter de manière exponentielle les traitements de données concernant la santé.
De fait, une étude sur ce sujet a été publiée par The BMJ en juin 2021 : Mobile health and privacy: cross sectional study.
Cette étude, qui porte sur plus de 20 000 applications mobiles de santé (ou mHealth apps) disponibles sur le Google Play Store en Australie, nous apprend
- que 88 % des applications examinées peuvent collecter des données et les transmettre à différentes entités et
- que les traitements mis en œuvre ne sont ni clairement indiqués ni sécurisés.
Dans l'Union Européenne, les données concernant la santé sont des données particulières pour lesquelles le Règlement (UE) 2016/679 (ou RGPD) prévoit une protection.
Penchons-nous sur ce sujet à l'occasion de cet article.
Qu'est-ce qu'une donnée concernant la santé ?
Les données concernant la santé sont aussi dénommées Données de santé.
Le Règlement (UE) 2016/679 (ou RGPD) définit les données concernant la santé en se fondant sur la définition de données à caractère personnel (aussi dénommées Données personnelles).
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Source : Règlement (UE) 2016/679 (ou RGPD)
Données concernant la santé
Les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.
Source : Règlement (UE) 2016/679 (ou RGPD)
Ainsi, les données de santé sont des informations relatives à la santé d'une personne identifiée ou identifiable.
Et la CNIL (Commission Nationale de l'Informatique et des Libertés) précise que les données de santé regroupent
- les données de santé par nature;
- les données de santé par croisement, c'est-à-dire que leur croisement avec d'autres données permet de tirer une conclusion sur l'état de santé ou le risque pour la santé d'une personne et
- les données de santé par destination, c'est-à-dire l'utilisation qui en est faite au plan médical.
Le tableau suivant fournit quelques exemples de ces types de données de santé.
| Type | Exemples |
|---|---|
| Données de santé par nature | Antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap |
| Données de santé par croisement | Croisement d'une mesure de poids avec le nombre de pas ou avec la mesure des apports caloriques, croisement de la tension avec la mesure de l'effort |
| Données de santé par destination | Couleur des cheveux et couleur des yeux dans le cadre de la caractérisation de l'albinisme |
Sur cette base, quand on considère les logiciels de santé, notamment les logiciels dispositifs médicaux (ou SaMD pour "Software as Medical Device"), les données personnelles traitées sont le plus souvent des données de santé.
Il s'agit d'informations personnelles tout particulièrement sensibles.
Les données de santé sont des données sensibles
Le Règlement (UE) 2016/679 (ou RGPD) définit plusieurs catégories particulières de données à caractère personnel. Ces catégories de données sont aussi dénommées Données sensibles.
Il s'agit des informations qui révèlent
- l'origine raciale ou ethnique,
- les opinions politiques ou l'appartenance syndicale ou
- les convictions religieuses ou philosophiques
de la personne concernée.
Sont aussi comprises dans les données sensibles
- les données génétiques,
- les données biométriques pour identification univoque d'une personne,
- les données concernant la santé et
- les données concernant la vie sexuelle ou l'orientation sexuelle.
Les traitements de données sensibles sont susceptibles de porter atteinte à la vie privée des personnes concernées et d'amener des changements sociétaux d'envergure.
A titre d'exemple : que se passerait-t-il si tous les employeurs avaient accès à une base de données sur les opinions politiques ou sur l'état de santé des candidats pour un poste ?
Et si les assurances de prêts immobiliers ou les mutuelles pouvaient établir des liens entre les données de santé d'un client éventuel et les informations de santé de ses ascendants ?
Ces considérations permettent de comprendre les raisons pour lesquelles les données de santé sont des données sensibles.
Pour éviter d'éventuelles dérives, les données sensibles sont protégées par le Règlement (UE) 2016/679 (ou RGPD).
Le RGPD protège les données de santé
L'étude publiée par The BMJ montre que plus de 40 % des applications mobiles de santé et presque 50 % des applications mobiles qualifiées de dispositif médical (DM ou DMDIV) disponibles via le Google Play Store en Australie intègrent GoogleAnalytics.
Source : Mobile health and privacy: cross sectional study – Gioacchino Tangari, Muhammad Ikram, Kiran Ijaz, Mohamed Ali Kaafar, Shlomo Berkovsky
Ors, l'objectif de GoogleAnalytics est de recueillir des informations sur l'utilisateur du logiciel, y compris des données de santé, pour les croiser avec des données personnelles obtenues par ailleurs, le tout à des fins de profilage publicitaire.
Pour prévenir ces situations et leurs éventuelles dérives, le Règlement (UE) 2016/679 (ou RGPD) pose le principe d'interdiction des traitements de données de santé.
1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
Source : Règlement (UE) 2016/679, article 9
Néanmoins, des exceptions sont prévues pour cet interdit.
En effet, l'objectif du Règlement (UE) 2016/679 (ou RGPD) n'est pas d'empêcher la mise sur le marché de logiciels qui mettent en œuvre des traitements de données de santé pour, par exemple, rappeler une prise de médicaments.
Par conséquent, pour assurer la conformité règlementaire d'un logiciel de santé, il est important de répertorier tous les traitements de données à caractère personnel mis en œuvre par le logiciel considéré et d'identifier la base légale sur laquelle ils reposent.
Des traitements de données de santé peuvent être effectués par inadvertance
L'étude publiée par The BMJ montre qu'un grand nombre d'applications mobiles disponibles via le Google Play Store en Australie exploite des APIs (pour "Application Programming Interface") à finalité utilitaire.
Ainsi, quand on considère les applications mobiles qualifiées de dispositif médical (DM ou DMDIV), on constate que plus de 20 % d'entre elles utilisent Crashlytics (un produit Google) pour assurer le tracking des dysfonctionnements.
Source : Mobile health and privacy: cross sectional study – Gioacchino Tangari, Muhammad Ikram, Kiran Ijaz, Mohamed Ali Kaafar, Shlomo Berkovsky
D'un point de vue purement technique, le tracking des dysfonctionnements participe à la sécurité des logiciels : il simplifie l'identification des causes d'anomalies, notamment en fournissant des informations contextuelles.
Cependant, d'un point de vue réglementaire, le tracking des dysfonctionnements d'un logiciel dispositif médical (DM ou DMDIV) peut constituer un traitement de données de santé.
Sous cette hypothèse, dans l'Union Européenne, il ne serait pas envisageable d'utiliser Crashlytics pour ce faire car Google ne satisfait pas les exigences du Règlement (UE) 2016/679 (ou RGPD) applicables aux sous-traitants de données de santé.
Cet exemple illustre que des traitements de données de santé peuvent être effectués par des fonctionnalités tout autres que celles qui implémentent la destination première du logiciel.
Autrement dit : les traitements de données de santé ne se limitent pas forcément aux traitements effectués sur les données hébergées par l'éditeur dans son datacenter.
Intérêt pour les éditeurs de logiciels de santé
L'une des clefs de réussite d'un projet logiciel de santé est de bien identifier les exigences réglementaires applicables au logiciel et aux fonctionnalités qu'il implémente.
En effet, ces exigences sont déterminantes pour assurer la conformité du logiciel en précisant les utilitaires disponibles et les approches techniques à mettre en œuvre dans le cadre de sa conception et son développement.
Ces considérations sont d'autant plus importantes pour les logiciels (de) dispositifs médicaux qui, outre le Règlement (UE) 2016/679 (ou RGPD), devront aussi tenir compte des Règlements (UE) 2017/745 et/ou 2017/746 respectivement relatifs aux dispositifs médicaux (DM) et aux dispositifs médicaux de diagnostic in vitro (DMDIV).
Au besoin, n'hésitez pas à prévoir du consulting pour préparer votre projet.
Pour en savoir plus
Dans le cadre des logiciels dispositifs médicaux, les logiciels SOUP (ou logiciels tiers) mettent souvent en œuvre des traitements de données de santé.
Par ailleurs, les traitements de données de santé par inadvertance illustrent que la conformité réglementaire d'un logiciel (de) dispositif médical ne se limite pas à des questions de documentation.