Les données de santé sont des informations personnelles qui entretiennent une relation très étroite avec l’individu. Elles sont en quelque sorte une extension de nous-mêmes et de notre identité ; elles touchent de près ou de loin à notre intimité.
Mais en sommes-nous pour autant les propriétaires ?
Parler de propriété des données de santé implique de considérer les données comme un bien, certes immatériel, qui pourrait faire l’objet d’une appropriation ou d’une cession de droits. En d’autres termes, on pourrait utiliser les données de santé pour nous ou pour autrui, mais aussi les vendre et nous libérer de tout lien avec elles.
Est-ce vraiment possible ? Et est-ce autorisé ?
Dans cet article, nous vous proposons d’explorer le statut des données de santé en nous demandant avant tout quels types de droits nous pouvons exercer sur ces informations personnelles afin de garder sur elles une forme de contrôle.
Les données de santé : entre le bien et la personne
Dans la plupart des juridictions, le Droit reconnaît la distinction entre les biens et les personnes. Les biens peuvent être tangibles ou immatériels et produire des bénéfices du fait de leur possession ou exploitation. Les personnes sont quant à elles titulaires de droits, notamment sur les choses qu’elles peuvent utiliser, vendre, céder et posséder !
En apparence, les données semblent être des biens immatériels. On entrepose les données de santé (scans, examens, notes médicales…) dans des dossiers médicaux qui se retrouvent sur des serveurs physiques ou des espaces infonuagiques. Toutefois, on ne peut pas dire que les données personnelles, qui émanent d’un individu et qui permettent directement ou indirectement de l’identifier (âge, code postal, pathologie…), sont véritablement des choses.
Contrairement aux biens numériques tels qu’un livre ou une chanson, les données personnelles ne peuvent être entièrement détachées de l’individu dont elles proviennent et être cédées à une autre personne moyennant un paiement ou un contrat. En fait, les données de santé individuelles demeurent le prolongement de la personnalité d’un individu.
Ce que dit le Droit sur la propriété des données
Pour faire simple et court, selon le droit européen mais aussi québécois, les données de santé sont des renseignements personnels sensibles qui exigent un niveau particulier de protection au regard de leur risque pour la confidentialité et la vie privée des personnes concernées.
Ces renseignements sont considérés comme des éléments intimes de la personnalité d’un individu. Pour autant, ni en Europe ni au Canada, on ne considère qu’un patient peut exercer un droit de propriété sur ses données de santé. Ces dernières ne sont pas considérées comme des biens dont on pourrait disposer librement ou vendre à un tiers.
Toutefois, si les données de santé n’appartiennent pas au patient, selon le Droit, celui-ci peut exercer un ensemble de droits sur elles. Dans le contexte québécois par exemple, qui s’inscrit d’ailleurs dans la perspective européenne de protection des données, un patient peut consentir ou non à l’usage de ses données personnelles par un tiers. Il peut également demander d’avoir accès aux données de santé le concernant qui sont détenues par une organisation. Et il est en droit de savoir qui a utilisé ses données de santé dans le cas de prestations de soins ou de travaux de recherche par exemple.
Par ces droits, un individu exerce non pas une propriété sur ses données de santé mais une forme de contrôle sur leurs usages qui permet de garantir qu’ils rencontrent son adhésion et éventuellement ses valeurs.
La question spécifique de la vente des données
Mais vous nous diriez peut-être : et si nous souhaitons, nous patients et citoyens, pouvoir faire du profit à partir de nos données de santé et les vendre à des tiers ? Y sommes-nous autorisés ?
Réponse simple : cela dépend du type de données !
Tout d’abord, il faut savoir que les données de santé anonymisées, c’est-à-dire celles qui ne permettent plus d’identifier un individu et ce de façon irréversible, ne sont généralement pas couvertes par les législations portant sur les renseignements personnels. Ces données sont certes évoquées dans ces législations, mais les mêmes obligations ne s’appliquent pas à elles. Par exemple, en Union Européenne ou aux Etats-Unis, les données anonymisées peuvent être commercialisées librement, comme des biens immatériels en quelque sorte.
C’est de cette ouverture juridique que sont parties les marchés de données qui permettent aux entreprises telles que les firmes pharmaceutiques d’exploiter des bases de données de santé anonymes pour le développement d’innovations thérapeutiques et la commercialisation de nouveaux produits.
Au final, qui contrôle les données de santé ?
Si l’on revient aux données de santé individuelles, qui sont toujours rattachées à un patient et non anonymisées, on peut légitimement se demander qui finalement contrôle les données de santé. Dès lors qu’un patient entre dans un établissement, nombre d’informations sont collectées sur lui, et celles-ci se retrouvent dans un dossier électronique ou papier dont la gestion est confié à une institution. Celle-ci est alors responsable de la protection et de la gestion des données du patient. Mais attention encore, elle n’en est jamais la propriétaire.
La responsabilité de l’institution, par exemple un hôpital, vis-à-vis des données de santé des patients s’accompagne d’un ensemble d’obligations juridiques. Au Québec comme dans de nombreuses autres juridictions, les organisations de santé ont le devoir de prendre toutes les mesures nécessaires et proportionnées au risque pour protéger la sécurité des données de santé et garantir que leurs usages respectent le consentement des patients ou les autorisations prévues par la Loi (lorsque l’utilisation des données est permise sans consentement par exemple).
L’ensemble de ces mesures visent à s’assurer que les droits des patients sont respectés et que, même s’ils ne peuvent pas contrôler individuellement l’ensemble de leurs utilisations, ils peuvent être assurés du fait que leurs informations sont utilisées dans leur bénéfice (meilleurs soins et services) et dans l’intérêt public (pour la recherche et l’amélioration par exemple).
La Déclaration des droits des patients sur les données de santé
Saviez-vous qu’il existe depuis 2021 au Canada une Déclaration des droits relatifs aux données personnelles sur la santé ?
La Déclaration a été élaborée par un groupe de travail dirigé par des patients et des soignants, et formé en 2019 à la suite du sommet annuel intitulé Les patients redéfinissent l’avenir des soins de santé au Canada. Le groupe de travail a d’abord entrepris un bref examen du paysage actuel des données personnelles sur la santé. Puis, diverses ébauches de la Déclaration ont été révisées en intégrant les commentaires de fiduciaires de données de santé. Mais surtout, un accent particulier a été mis sur la perspective des patients, des soignants et des citoyens engagés dans cette consultation.
Les 11 droits statués dans la Déclaration sont les suivants (traduction libre) :
- être informé de la collecte, utilisation et partage de ses données ;
- consentir selon des modalités plurielles et adaptées aux utilisations;
- avoir accès aux données dans un format lisible et pouvoir au besoin les corriger;
- avoir l’assurance que ses données soient dé-identifiées ;
- retirer des bénéfices de la valorisation de ses données ;
- pouvoir s’opposer au traitement de ses données ;
- restreindre le traitement à certaines situations ou utilisations ;
- avoir accès à un mécanisme de gestion des plaintes ;
- avoir l’assurance que la confidentialité et la sécurité sont préservées ;
- demander l’effacement de ses données ;
- participer aux mécanismes de prise de décision autour de l’utilisation de ses données