Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.
Il s’agit d’une notion très large qui doit être appréciée au cas par cas.
Trois catégories de données entrent dans cette définition :
- Les données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…
- Les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé car elles permettent alors de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort…
- Les données qui deviennent des données de santé en raison de leur destination, autrement dit de l’utilisation qui en est faite au plan médical.
La Règlementation relative à la protection des données ne s’applique pas aux données de santé utilisées uniquement par la personne elle-même. C’est le cas notamment pour les applications mobiles en santé qui permettent de collecter, d’enregistrement des données localement sur son ordinateur, son téléphone, sa tablette sous réserve qu’aucune connexion extérieure ne soit prévue et que l’utilisation de ces données soit exclusivement personnelle.
En outre, si aucune conséquence ne peut être tirée des données au regard de l’état de santé d’une personne concernée, il ne s’agira pas de données de santé.
Ainsi, un podomètre collectant le nombre de pas au cours d’une promenade ne fournit pas de données de santé tant que cette mesure n’est pas croisée avec d’autres données comme le pouls, le poids…
La donnée de santé est une donnée sensible au sens de la Règlementation et se voit appliquer un régime juridique protecteur.
Article 4 du RGPD – Définitions