12/7/21, 8:49 PM E-Santé : contours et régime de responsabilité des données personnelles « sensibles ». Par M.

Kebir, Avocat et Timothée D…

S'abonner

1219 lectures
1re Parution: 21 septembre 2021

 4 /5

 Profil
Par M. Kebir, Avocat et Timothée Delobel, Juriste-stagiaire.
E-SANTÉ : CONTOURS ET RÉGIME DE RESPONSABILITÉ DES
DONNÉES PERSONNELLES « SENSIBLES ».

 A l’heure du développement massif des NTIC, quelle responsabilité des acteurs

relativement au partage de l’information, et à la protection des données
personnelles du patient ? Pour les professionnels de santé, l’exploitation des
données via les outils numériques apparaît comme un levier de transformation
majeur. Visant la protection renfoncée des données sensibles, la réforme du
système de santé « Ma Santé 2022, un engagement collectif » entend « recourir
au numérique » pour mieux soigner.

Le projet « Ma Santé 2022, un engagement collectif », déploie de nombreuses mesures : le

numérique doit offrir de multiples services visant à faciliter l’exercice des professionnels et
renforcer la coordination entre différents acteurs, notamment par le renforcement de la
télémédecine. Outre, le développement des outils numériques pour une protection renforcée
des données.
Au fond, cette « révolution » vise, entre autres, à apporter de nouveaux moyens aux
citoyens pour être acteurs de leur santé, au travers la création pour chaque Français, d’ici
le 1er janvier 2022, d’un espace numérique de santé. Dispositif où seront référencés le
dossier médical partagé, une messagerie sécurisée etc…
Or, la mise en place de cette future plateforme de santé - « Health data hub » - tendant à
moderniser l’exploitation des données, est assujettie à haut niveau de sécurité et de
confidentialité des données personnelles.
L’enjeu est de taille. En ce sens que la protection des données médicales et la vie privée
soulève moult difficultés. Etant rappelé que les données sensibles sont soumises à une
protection renforcée et leur exploitation contrôlée.

Protection des données personnelles sensibles.

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés définit
une donnée à caractère personnel comme toute information relative à une personne
physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à
un numéro d’identification ou à un ou plusieurs numéros qui lui sont propres [1].
Concrètement, il peut s’agir d’un nom, d’une adresse postale ou électronique, d’une photo

https://www.village-justice.com/articles/sante-contours-regime-responsabilite-des-donnees-personnelles-sensibles,40216.html 1/5
12/7/21, 8:49 PM E-Santé : contours et régime de responsabilité des données personnelles « sensibles ». Par M. Kebir, Avocat et Timothée D…

etc.
Ces données, au regard de leur caractère sensible, bénéficient, dans leur traitement, d’une
protection juridique accrue. Avoir la totale la latitude de disposer de celle-ci procède d’un
droit fondamental.
Ainsi, ladite loi informatique et libertés, réaménagée par la transposition de la directive
95/46/CE sur la protection des données personnelles, est à l’origine de la création de la
Commission nationale de l’informatique et des libertés (CNIL), gardienne de la protection
des données personnelles ainsi que leur traitement. Loi modifiée consécutivement.
Protection qui a été renforcée avec l’entrée en vigueur dans l’ensemble des pays de l’UE, le
25 mai 2018, du règlement général sur la protection des données (RGPD).
Sur ce fondement, toute personne est en droit de demander des informations sur le
traitement de leurs données, d’obtenir l’accès à ces dernières, d’en demander la correction,
de s’opposer à leur utilisation à des fins de prospection ou de requérir la limitation de leur
traitement dans des cas précis.
A cet égard, les organismes privés et publics sont soumis à des prescriptions quant au
traitement de ces données. Ils doivent protéger les données et procéder au recensement
des traitements réalisés. Concrètement, cette obligation se traduit par l’impérieux devoir de
s’assurer de l’exactitude, la sécurité et la confidentialité de ces données et d’en
proportionner la collecte au regard des finalités. De même, s’y ajoute une obligation de
transparence : informer les usagers /clients de leur détention de données personnelles. Au
préalable, l’accord de la personne est requis aux fins de l’exploitation de ses données.
En clair, les données à caractère personnel concernant la santé sont définies comme étant
« les données relatives à la santé physique ou mentale, passée, présente ou future, d’une
personne physique qui révèlent des informations sur l’état de santé de cette personne » [2].

Flexible, cette acception peut comprendre les informations concernant une maladie, une
personne physique ou encore des résultats obtenus lors d’un test ou examen.
Par leur importance et leur nature, les données de santé sont considérées par le RGPD
comme des données sensibles [3]. Dans son article 9, le principe est l’interdiction du
traitement de ces données :

« Le traitement des données à caractère personnel qui révèle l’origine raciale

ou ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale, ainsi que le traitement des
données génétiques, des données biométriques aux fins d’identifier une
personne physique de manière unique, des données concernant la santé ou
des données concernant la vie sexuelle ou l’orientation sexuelle d’une
personne physique sont interdits ».

Ce principe général est atténué par quelques exceptions.

En effet, le traitement de ces données est recevable si et seulement si la personne
concernée a donné son consentement explicite, en ayant connaissance des objectifs de ce
traitement. De plus, le RGPD prévoit des exceptions en l’absence de consentement
préalable dans l’hypothèse où ce traitement est réalisé pour atteindre certaines finalités
comme des motifs d’intérêt public importants, ainsi que la gestion des systèmes de
service de santé. Il est aussi autorisé quand la dérogation s’avère nécessaire à la
préservation des intérêts vitaux de la personne concernée ou l’appréciation médicale
(médecine préventive, soins etc.).
Néanmoins, les dispositions du RGPD relative à la santé, révèle l’importance et les enjeux
autour de ces données qui peuvent être utilisées à des fins commerciales ou impacter de
manière certaine la vie privée. Au fond, le principe de confidentialité cristallise les réformes
successives.

Du dossier médical partagé à l’espace santé.

https://www.village-justice.com/articles/sante-contours-regime-responsabilite-des-donnees-personnelles-sensibles,40216.html 2/5
12/7/21, 8:49 PM E-Santé : contours et régime de responsabilité des données personnelles « sensibles ». Par M. Kebir, Avocat et Timothée D…

Propulsée par la révolution numérique, le dossier médical partagé constitue un projet

public lancé par le ministère de la Santé (Loi du 13 août 2004 relative à l’assurance
maladie) [4].
L’objectif étant que chaque français dispose d’un dossier patient informatisé, qui reprend
toutes les informations médicales du patient. (Ex : les résultats d’analyse, les antécédents
et allergies etc.). Précisément, faciliter l’information et la coopération entre les
professionnels de santé, mettant à disposition et mutualisant les informations médicales,
avec l’accord préalable du patient. Fournir, in fine, aux médecins une base de données qui
permet d’éviter les redondances inutiles d’examens ou de prescriptions. De telle sorte que
les traitements soient rationalisés. Il est permis de relever que les récentes réformes ont
largement privilégié les informations automatisées, dans le cadre de la maitrise des
dépenses de santé des patients.
En vertu du socle du secret médical et du principe de confidentialité, chaque personne est
libre de créer ou non ce dossier ; et de le fermer directement en ligne. De plus, les
personnes y ayant légitimement accès sont des professionnels de santé auxquels le
patient a autorisé l’accès en amont. Exception faite de l’urgence où la santé du patient est
en danger, où le SAMU, ou le professionnel de santé, peuvent avoir accès au DMP sans
autorisation. En somme, le DMP a été conçu comme « le dossier » du patient qui en
maîtrise et le contenu et les accès.
L’exploitation du DMP soulève une autre problématique. Quid du rôle et responsabilité des
hébergeurs ? Un hébergeur est défini comme un organisme qui assure la conservation des
données dans des serveurs informatiques sécurisées. Il prend toute mesure de nature à
permettre la restitution des données. En l’espèce, l’hébergement des données de santé à
caractère personnel est assujetti à un agrément du Ministère en charge de la santé. C’est
la loi du 4 mai 2002 relative aux droits des malades [5] qui a instauré la procédure
d’agrément des hébergeurs de données de santé.
De plus, au titre de la règle posée par l’article L1110-4 du Code de la santé publique, la
législation entend préserver strictement la vie privée des patients. Dès lors, le
consentement du patient à la collecte, la transmission des données est primordiale.
L’article L1111-8 du Code de la santé publique impose que l’hébergeur se conforme en tout
point avec la loi du 6 janvier 1978. La transmission des données médicales du
professionnel de santé vers l’hébergeur repose sur un contrat qui doit spécifier que la
transmission, l’hébergement et l’accès sont subordonnés à l’accord de la personne
concernée [6]. Toute violation de ces dispositions expose l’hébergeur à des peines pénales
comme la violation du secret professionnel punie d’un an d’emprisonnement et de 15 000
euros d’amende [7].
De plus, un contrôle est exercé par la CNIL quant à la sécurité de ces données et la
protection mise en place par les hébergeurs. Ainsi, par un communiqué [8], la CNIL a
adressé un avertissement à un hébergeur qui n’avait pas chiffré les données médicales et
qui étaient donc accessibles aux administrateurs informatiques de la société et non pas
exclusivement au personnel de santé habilité. Le non-chiffrage était, donc, illicite.
A l’issue du contrat d’hébergement, les données transmises doivent être restituées soit au
patient ou au professionnel de santé.
Par ailleurs, la protection des données sensibles ressurgit avec l’entrée en vigueur du
nouveau service « Mon espace santé » qui sera disponible dès le début d’année 2022.
Depuis le 1er juillet 2021, il n’est ainsi plus possible de créer de nouveaux DMP. Prévue
dans la loi Buzyn de 2019 [9], cette plateforme vise à facilite le stockage et ces données.
Considéré comme successeur au DMP, cet espace numérique doit permettre à tous les
Français de stocker et partager leurs informations médicales. Actuellement en
expérimentation depuis début juillet auprès de 4 millions d’usagers dans trois
départements métropolitains (Haute- Garonne, la Somme et la Loire-Atlantique), l’espace
santé suit le fonctionnement de l’ancien DMP et est consultable pour chaque personne
bénéficiant d’un régime de sécurité sociale. Ainsi, elle contient une version améliorée du
DMP mais aussi une messagerie sécurisée de santé, un agenda et un catalogue de
services numériques de la santé.
Cet espace, comme le DMP, ne sera pas obligatoire ; créée automatiquement pour chaque
Français sauf opposition expresse de leur part.

l d l d d é bl f f

https://www.village-justice.com/articles/sante-contours-regime-responsabilite-des-donnees-personnelles-sensibles,40216.html 3/5
12/7/21, 8:49 PM E-Santé : contours et régime de responsabilité des données personnelles « sensibles ». Par M. Kebir, Avocat et Timothée D…

Sur un autre registre, la question de la protection de ces données sensibles refait surface
avec la mise en œuvre de cette plateforme. Et pour cause, nonobstant les différentes
mesures de protection et du respect de la confidentialité, la centralisation des informations
sensibles de santé présente certains risques. Des défaillances sont potentielles et
l’actualité récente confirme la fragilité des systèmes informatiques.
Ces lacunes ont conduit à des cyberattaques en 2011 ou encore le piratage des systèmes
informatiques des hôpitaux [10]. Sur ce point « les hôpitaux et les autres entités du secteur
de la santé représentent globalement l’une des cibles privilégiées des attaquants », pointe
un rapport de l’Agence nationale de la sécurité des systèmes d’information [11].
De surcroît, le choix de l’hébergeur pour ce nouvel espace de santé n’est pas anodin. Ainsi,
début 2019, le géant Microsoft avait été choisi discrètement pour héberger la
plateforme [12]. Or, la législation américaine par le « Cloud Act », oblige dans certains cas,
les hébergeurs américains à fournir des données aux autorités même si elles sont
hébergées à l’étranger. Ce choix a été contesté par beaucoup d’experts et de
professionnels qui jugent dangereux de confier ces données à Microsoft. De plus, la CNIL
s’est prononcée contre ce choix et demandait « d’évaluer en urgence l’existence de
fournisseurs alternatifs » [13], dans le but d’aboutir à un hébergement souverain de ces
données sensibles. Depuis, la recherche d’une plateforme alternative, française ou
européenne, pour transférer les données du Health data hub, apparaît être privilégiée.
Quid de la responsabilité du médecin quant à l’exploitation et l’usage de ces données ? En
particulier quand celles-ci, s’en trouvent divulguées, sans l’accord du patient.

Responsabilité du médecin dans l’exploitation et sauvegarde des

données.
Acteurs de premier plan en matière de la data, les médecins sont particulièrement
concernés par l’application du RGPD. Leurs obligations, nombreuses, sont assorties de
responsabilité renforcée. En cela, l’Ordre des médecins, conjointement avec la CNIL, a
élaboré, un guide pratique [14] constitué de six fiches pratiques thématiques.
Par ailleurs, les médecins doivent s’assurer que l’usage des dossiers « patients » respecte
les principes fondamentaux de la protection des données personnelles [15]. Désormais, sur
ce fondement, la CNIL [16] ainsi que les chambres disciplinaires de l’ordre des
médecins [17] peuvent sanctionner les médecins qui contreviennent aux prescriptions du
RGPD et du Code de la santé publique.
Pour rappel, le médecin a l’obligation de sécuriser les données personnelles qu’il traite
dans le cadre de sa pratique. Tout manquement expose ce professionnel à de lourdes
sanctions pécuniaires. Ainsi, la CNIL, dans sa formation restreinte, a prononcé deux
amendes [18] de 3 000 et 6 000 euros, à l’encontre de deux médecins libéraux, pour avoir
insuffisamment protégé les données personnelles de leurs patients. Qui plus est, certaines
de ces données étaient librement accessibles sur Internet. Sur le fond, la CNIL a retenu un
manquement à l’obligation de sécurité des données, au titre de l’article 32 du RGPD. La
vigilance doit donc être de mise pour les professionnels de santé.
De plus, au titre de l’article 33 du RGPD, le médecin informé d’une violation de données
dont il assure le traitement, doit informer la CNIL dans un bref délai. L’absence de diligence
du médecin est susceptible d’engager sa responsabilité.
En outre, le médecin à l’origine de la divulgation de ces données, peut s’exposer à des
sanctions disciplinaires voir pénales. A ce propos, l’article 226-16 du Code pénal prévoit
que :

« Le fait, y compris par négligence de procéder ou de faire procéder à des

traitements de données à caractère personnel sans qu’aient été respectées
les formalités préalables à leur mise en œuvre prévues par la loi est puni de
cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Pour finir, d’une part, la violation de données, à la suite de l’absence au recours d’un
hébergeur certifié, pour conserver les données de santé, peut être regardé comme un
manquement au respect des formalités prévues par la loi, susceptible d’engager la
bl é é l d éd ’ à l’ d l’ d l d é

https://www.village-justice.com/articles/sante-contours-regime-responsabilite-des-donnees-personnelles-sensibles,40216.html 4/5
12/7/21, 8:49 PM E-Santé : contours et régime de responsabilité des données personnelles « sensibles ». Par M. Kebir, Avocat et Timothée D…

responsabilité pénale du médecin. D’autre part, à l’aune de l’interconnexion et de la rapidité

de transfert d’informations, l’utilisation des données de santé s’avère être une nécessité
pour les soins, tendant à améliorer la prévention ou le traitement thérapeutique.

https://www.village-justice.com/articles/sante-contours-regime-responsabilite-des-donnees-personnelles-sensibles,40216.html 5/5