Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.

Il s’agit d’une notion très large qui doit être appréciée au cas par cas.

Trois catégories de données entrent dans cette définition :

• Les données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…

• Les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé car elles permettent alors de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort…

• Les données qui deviennent des données de santé en raison de leur destination, autrement dit de l’utilisation qui en est faite au plan médical.

La Règlementation relative à la protection des données ne s’applique pas aux données de santé utilisées uniquement par la personne elle-même. C’est le cas notamment pour les applications mobiles en santé qui permettent de collecter, d’enregistrement des données localement sur son ordinateur, son téléphone, sa tablette sous réserve qu’aucune connexion extérieure ne soit prévue et que l’utilisation de ces données soit exclusivement personnelle.

En outre, si aucune conséquence ne peut être tirée des données au regard de l’état de santé d’une personne concernée, il ne s’agira pas de données de santé.

Ainsi, un podomètre collectant le nombre de pas au cours d’une promenade ne fournit pas de données de santé tant que cette mesure n’est pas croisée avec d’autres données comme le pouls, le poids…

La donnée de santé est une donnée sensible au sens de la Règlementation et se voit appliquer un régime juridique protecteur.

Article 4 du RGPD – Définitions

L’objectif de cette règlementation est de protéger les droits et les libertés des personnes concernées. Toute la règlementation vise à garantir à la personne concernée cette protection ainsi que le respect de la vie privée.

En France, la première réglementation relative à la protection des données à caractère personnel remonte à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite Loi Informatique et Libertés (LIL).

L’évolution des techniques, leur faculté à dépasser les frontières et le recours toujours plus présent aux données identifiantes ont mis à jour la nécessité d’adopter des textes au niveau européen et international.

Une première directive européenne a été adoptée en 1995 (directive 95/46/CE). Avec l’évolution des pratiques et des technologies, il est apparu nécessaire de réformer et harmoniser le cadre européen applicable.

Les discussions européennes ont abouti à l’adoption du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données, et abrogeant la directive 95/46/CE  dit « Règlement général sur la protection des données » ou « RGPD ».

Un règlement européen est un texte qui suppose une application directe dès son entrée en application par les Etats membres de l’Union européenne. Pour ce faire, certaines adaptations du droit national sont parfois nécessaires. C’est ainsi qu’une période de deux ans a été laissée aux Etats membres pour prendre les mesures nécessaires pour se mettre en conformité. Le RGPD est donc entré en application le 25 mai 2018.

Le législateur européen a laissé aux Etats membres une certaine marge de manœuvre pour appliquer le RGPD. Ceci a conduit la France a modifié la LIL de 1978.

Ainsi la règlementation relative à la protection des personnes est constituée du RGPD, de la LIL mais aussi des autres dispositions législatives et réglementaires spécifiques à certains secteurs, liées à des modalités de communication relatives à la protection des données à caractère personnel. Tel est le cas par exemple de dispositions prévues par le code des postes et des communications électroniques ou par le code de la santé publique.

Règlement général sur la protection des données – RGPD
Loi informatique et libertés – LIL
Code de la santé publique
Code des postes et des communications électroniques