Données de santé

 

Médiathèques
Qu'est-ce qu'une donnée de santé

Ce document est une aide pour permettre aux chercheurs et chercheuses de la HES-SO de définir si les données qu’ils ou elles traitent doivent être considérées comme des données de santé, et, par conséquent, si les recommandations contenues dans le reste des lignes directrices sont pertinentes pour eux et elles.

Toute donnée de santé n’est pas nécessairement une donnée personnelle de santé. Par exemple, un taux d’incidence de reproduction d’un virus dans une région donnée est une donnée de santé non personnelle.

 

Pour la différence entre donnée personnelle et non personnelle, voir le glossaire.

Le texte qui encadre l’utilisation des données de recherche est la loi fédérale relative à la recherche sur l’être humain (LRH; RS 810.30) et ses différentes ordonnances d’application (ORH ; RS 810.301; OClin; RS 810.308; OClin-Dim; 810.306).

 

C’est donc dans la Loi fédérale relative à la recherche sur l’être humain (LRH; RS 810.30, art.3f) que l’on trouve la définition des « données personnelles liées à la santé » qui fait autorité dans le droit suisse :

Données personnelles liées à la santé : les informations concernant une personne déterminée ou déterminable qui ont un lien avec son état de santé ou sa maladie, données génétiques comprises. 

 

Cette définition ne précise pas s’il s’agit de santé physique ou mentale, ni s’il s’agit de de données relatives au présent, au passé ou au futur. En l’absence de précision, on considère qu’elles sont toutes comprises (physiques et mentales ; passées, présentes et futures).

 

D’une manière générale, le droit suisse compte les données de santé parmi les données sensibles (LPD; RS 235.1, art 3, let. c2), dont la manipulation comporte un risque pour les libertés fondamentales des personnes concernées (Considérant 33 du Préambule à la directive  95/46).

 

Pour la différence entre donnée sensible et non sensible, voir le glossaire.

La définition des données de santé telle qu’elle apparaît dans le droit suisse étant proche de celle donnée par le Règlement européen de protection des données (RGPD; R UE 2016/679), on peut reprendre sur ce point l’indication de la Commission Nationale de l’Informatique et Libertés française à propos du droit européen. Elle indique que cette définition comprend trois types de données :

  1. « les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  2. les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
  3. les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro). »

 

Il faut préciser que cette définition « permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. » (CNIL, s.d.)

A retenir : La notion de données de santé est désormais large. Elle est à apprécier, au cas par cas, compte tenu de la nature des données recueillies. Elle recouvre non seulement l’ensemble des données collectées et produites dans le cadre du parcours de soins mais aussi celles qui, détenues par d’autres acteurs (développeurs d’application par exemple), constituent une information sur l’état de santé de la personne.

  1. Comme toute donnée personnelle, on ne saurait exclure qu’une donnée a priori non personnelle le devienne par rapprochement. Par exemple, des données de santé sur une maladie rare dans un district donné peuvent s’avérer personnelles par recoupement.

On peut suivre sur ce point le préposé à la protection des données cantonal du Valais :

 

"Dans de nombreux cas, l'anonymisation des identificateurs particuliers évidents ne suffit pas à exclure toute réidentification. Même les quasi-identificateurs des combinaisons d'attributs, comme la date de naissance, le sexe et le code postal doivent être traités avec précaution. 

 

La règle qui s’applique est donc la suivante : dans l’hypothèse d’une anonymisation des données insuffisante, les exigences en matière de traitement prévues par la législation relative à la protection des données s'appliquent et le maître du fichier d'origine peut devoir être amené à rendre des comptes. La situation devra donc être appréciée in concreto, ce qui paraît pertinent compte tenu des développements rapides en cette matière"  (Fanti, 2017).

 

  1. Entrent dans la notion de données de santé trois catégories de données :
  • celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
  • celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
  • celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.

 

A noter : la loi sur la protection des données ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne. A titre d’exemple, la loi ne s’applique pas aux applications mobiles en santé qui proposent dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données à condition que ces opérations s’effectuent localement sur un ordinateur, un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.

 

  1. N’entrent pas dans la notion de données de santé celles dont on ne peut déduire aucune information au regard de l’état de santé de la personne concernée. Par exemple, une application collectant un nombre de pas au cours d’une promenade sans croisement de ces données avec d’autres.
  • CNIL (s.d.). Qu’est-ce ce qu’une donnée de santé ? https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
  • Fanti, S. (2017). Big data & protection des données dans le domaine de la santé. https://lexing.ch/wp-content/uploads/2017/10/31.pdf

Pour le droit européen

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119/1 du 04.05.2016).  https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 

 

Pour le droit suisse

 

Nous ne citons ici que les lois fédérales. La plupart des cantons ont leur propre loi de protection des données. Elles ne changent toutefois pas la définition d’une donnée de santé qui prévaut en Suisse.

  • Loi fédérale relative à la recherche sur l’être humain (Loi relative à la recherche sur l’être humain) du 30 septembre 2011 (= LRH ; RS 810.30 ; état le 26 mai 2021). https://www.fedlex.admin.ch/eli/cc/2013/617/fr
  • Loi fédérale sur la protection des données du 19 juin 1992 (LPD ; RS 235.1 ; état le 1er mars 2019). https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr
  • Loi fédérale sur la protection des données du 25 septembre 2020 (nLPD ; FF 2020 7397). https://www.fedlex.admin.ch/eli/fga/2020/1998/fr
  • Ordonnance relative à la recherche sur l’être humain à l’exception des essais cliniques (Ordonnance relative à la recherche sur l’être humain) du 20 septembre 2013 (=ORH ; RS 810.301, état le 26 mai 2021). https://www.fedlex.admin.ch/eli/cc/2013/642/fr
  • Ordonnance sur les essais cliniques hors essais cliniques de dispositifs médicaux (Ordonnance sur les essais cliniques) du 20 septembre 2013 (= OClin ; RS 810.305 ; état le 26 mai 2021). https://www.fedlex.admin.ch/eli/cc/2013/643/fr
  • Ordonnance sur les essais cliniques de dispositifs médicaux du 1er juillet 2020 (OClin-Dim ; RS 810.306 ; état le 26 mai 2021). https://www.fedlex.admin.ch/eli/cc/2020/553/fr
  • Ordonnance relative à la loi fédérale sur la protection des données du 14 juin 1993 (OLPD ; RS 235.11 ; état le 16 octobre 2012). https://www.fedlex.admin.ch/eli/cc/1993/1962_1962_1962/fr

 

En plus du droit fédéral, s’appliquent les lois spécifiques à chaque canton. Toutefois, aucune loi cantonale à ce jour ne produit de définition différente de la notion de « donnée de santé ».

 

Version 3

Dernière relecture et approbation : 22.11.2021

FAQ des données de santé

Consultez également le FAQ sur les données de santé