START-UPS : COMMENT PROTÉGER LE SECRET MÉDICAL ET LES DONNÉES PERSONNELLES
Les modèles économiques des récentes start-ups de l’e-santé nous apparaissent bien nébuleux quant à l’utilisation de nos données personnelles, et le respect du secret médical est parfois menacé par l’opacité des pratiques ces entreprises.
D’un côté, les secrétariats se dématérialisent via des logiciels ergonomiques. Les agendas interactifs proposés recueillent nombre d’informations : les habitudes de santé des patients, les spécialistes consultés, le type de soins et leur fréquence.
De l’autre, les sites internet de mise en relation se multiplient dans cette jungle commerciale qu’est le web, obligeant les professionnels de santé à protéger leurs données personnelles, et par voie de conséquence, leurs données médicales.
Mais où est vraiment le problème quant aux données personnelles ?
Petit exemple de taille. Nous avons tous en tête les pratiques controversées de Google, qui nous apprend beaucoup à ce sujet. La stratégie du groupe californien est ainsi fondée sur l’analyse des données de ses utilisateurs. Afin de proposer une offre commerciale « plus pertinente », une segmentation précise est affinée en permanence pour atteindre des « cibles marketing » selon leur genre, âge, localisation, habitudes de consommation, recherches, etc. Et ils sont en position de force : 97% des requêtes web passent par leur moteur de recherche, Android équipe un parc immense de smartphones, Google Maps enregistre l’intégralité de vos déplacements, etc.
Saviez-vous que pour connaître l’intégralité des données qu’un site collecte sur votre personne, une simple demande par mail suffit. Ainsi, en 2017, une journaliste a demandé l’accès à toutes les données collectées par l’application de rencontres TINDER, comme chaque citoyen est en droit de le faire au regard du règlement européen. Elle a reçu un rapport de 800 pages : détail des messages intimes échangés, date et lieu des conversations, âge des hommes qui l’intéressaient, date de toutes ses connexions, informations détaillées de compte Instagram et son profil Facebook, etc.
L’EUROPE AU DIAPASON
En ce sens, le 25 Mai 2018, le règlement européen sur la protection des données (RGDP) entre en vigueur. Il uniformise et renforce le contrôle des citoyens européens sur l’utilisation de leurs données personnelles. Déjà encadrées par l’article L1110-4 du code de la santé publique, les données médicales, leur secret et leur partage, sont l’enjeu majeur de ce renforcement de la législation.
Organisme absolument nécessaire à cette tâche, la CNIL veille au grain sur les pratiques numériques, mais ne peut intervenir qu’a posteriori en mettant en demeure les sites commerciaux aux pratiques illégales.
Le transfert à des tiers des données collectées doit recevoir l’assentiment de l’utilisateur. Ce dernier peut donc s’opposer au transfert de ses données à un tiers, et avant tout, d’en demander le détail.
En principe, les responsables du site doivent informer le candidat sur la durée de conservation des données collectées. En effet, il est légitime de craindre que les données seront indéfiniment conservées. Le législateur tente aujourd’hui de légiférer sur un droit à l’oubli numérique, c’est-à-dire sur la possibilité de faire disparaître définitivement toutes les données qui concernent un individu.
Dans la pratique, à l’exception de certains sites, les responsables de site ne donnent aucune précision sur la durée de conservation des données récoltées. Mais la CNIL fixe à 2 ans la date maximum de conservation des données par le responsable du site.
Concernant l’utilisation des données personnelles via les smartphones et les applications mobiles, notons le récent et excellent travail de l’association Exodus Privacy, qui montre que les applications les plus banales, parfois institutionnelles, envoient à des partenaires commerciaux (Google, Facebook, publicitaires en tout genres) vos informations à chaque ouverture de l’application concernée. Nous vous invitions à vérifier vos applications ici : https://reports.exodus-privacy.eu.org/reports/
Agenda interactif et secrétariat dématérialisé vendu à -70% pour votre clinique ?
Promotion sur les petites annonces que vous publiez pour trouver un remplaçant ?
Vendre un service n’est pas le nerf de la guerre pour ces modèles économiques.
La donnée est la matière première de ces acteurs du web.
Dans le respect de la vie privée et du secret médical, il est aujourd’hui vital de protéger toutes données personnelles, et encore davantage les données médicales.
Nous vous invitons donc à être très vigilants concernant les plate-formes que vous pouvez utiliser : qui édite le site, quelles données je communique, dans quel but vont-elles être utilisées. Nous ne serons jamais trop prudents…
Rappels importants pour la profession :
La réglementation européenne sur les données personnelles (et médicales) qui entre en vigueur en Mai 2018 : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
Le code de la santé publique et l’article L1110-4 : http://secretpro.fr/secret-professionnel/fiches-legislation-commentee/code-sante-publique/article-1110-4
“III.-Lorsque ces professionnels appartiennent à la même équipe de soins, au sens de l’article L. 1110-12, ils peuvent partager les informations concernant une même personne qui sont strictement nécessaires à la coordination ou à la continuité des soins ou à son suivi médico-social et social. Ces informations sont réputées confiées par la personne à l’ensemble de l’équipe. Le partage, entre des professionnels ne faisant pas partie de la même équipe de soins, d’informations nécessaires à la prise en charge d’une personne requiert son consentement préalable, recueilli par tout moyen, y compris de façon dématérialisée, dans des conditions définies par décret pris après avis de la Commission nationale de l’informatique et des libertés.”
Sur vos données de santé : https://www.usine-digitale.fr/article/donnees-de-sante-ce-que-change-la-loi-du-26-janvier-2016.N376544