Analyse

Quel point commun entre le Dossier Médical Partagé (DMP), serpent de mer technico-médical à la mise en place toujours retardée, le récent Health Data Hub souhaité par Emmanuel Macron et désormais presque totalement effectif, ou les outils mis en place pendant la récente crise sanitaire (StopCovid, devenu TousAntiCovid, et les fichiers de contact tracing) ? Ils sont tous d’initiative publique, et ils traitent tous d’un type de données assez particulier, mais pourtant de plus en plus banalisé : les données de santé.

Si le statut juridique de chacun de ces dispositifs est différent, les données de santé disposent d’un cadre commun de protection, à la fois par le RGPD européen et par son pendant français, la Loi Informatique et Libertés de 1978. Elles sont considérées comme des données « sensibles » dont le traitement, c’est-à-dire aussi bien la collecte que la conservation et a fortiori l’utilisation, est par principe interdit.

L’encadrement juridique semble donc extrêmement sévère, témoignant par là du caractère très particulier des données de santé, au même titre que les données relatives aux opinions politiques ou à l’orientation sexuelle par exemple. Si les données de santé font l’objet d’une protection particulière, c’est sans doute d’une part parce que celles-ci touchent au plus intime de l’individu et, d’autre part, parce que l’individu peut difficilement s’en détacher ou décider d’en changer. Elles ne sont pas à sa libre disposition.

Pourtant, les traitements de données de santé sont, par exception, possibles. Le neuvième article du règlement européen, immédiatement après avoir posé le principe de l’interdiction, ne liste pas moins d’une dizaine de circonstances ou motifs pour lesquels le traitement est possible. À la lecture des différentes possibilités de traitement des données de santé, deux éléments alertent immédiatement : d’une part, sur dix cas prévus, un seul (le premier) fait mention du consentement de l’individu, et d’autre part, certaines