Montres et bracelets connectés pour surveiller sa forme physique, son état de santé, pour maigrir ou suivre un traitement de manière plus efficace ou autonome ; chatbots, agents conversationnels intelligents, dans les hôpitaux et cliniques pour faciliter le parcours ambulatoire ; pilules connectés munis de microprocesseurs capables de mesurer les paramètres médicaux des patients, d’envoyer les informations au médecin et de délivrer les doses quotidiennes de médicaments nécessaires ; cerveau connecté pour lutter contre la maladie de Parkinson ou la maladie d’Alzheimer, telles sont les promesses actuelles et futures de l’Internet des objets (IoT) dans le domaine de la santé (e-santé).
Science-fiction ou réalité, une chose est sûre : une quantité considérable de données de santé va être collectée, stockée et traitée pour permettre un fonctionnement optimal de ces nouvelles technologies.
Au plan juridique, un des points de vigilance dans ce domaine est la protection des données personnelles collectées. En effet, les objets connectés génèrent un nombre considérables d’interactions et de communications autonomes, dont peu de personnes ont conscience. La question de la protection des données du patient va donc devenir un enjeu majeur de l’e-santé.
Le règlement UE 2016/679 du 27 avril 2016, dit « Règlement général sur la protection des données » ou « RGPD », qui entrera en vigueur le 25 mai 2018, abroge la directive 95/46/CE qui était jusqu’à présent le texte de référence européen sur la protection des données à caractère personnel.
Contrairement à la directive qui laissait le soin à chaque état de mettre en place un dispositif législatif adéquat et contraignant (en France par exemple il s’agit de la loi du 6 janvier 1978), le présent texte, dans un souci d’harmonisation, est d’application directe et impose à toute entité collectant des données personnelles dans l’Union Européenne une série de mesures, afin de garantir la protection de ces données.
Outre le souci d’harmoniser les pratiques de protection des données au sein de l’Union Européenne, le règlement tend à s’adapter à l’évolution rapide de la technologie en prévoyant une protection plus étendue et en responsabilisant tout acteur amené à détenir des données personnelles.
Quant aux sanctions, l’autorité de contrôle compétente (la CNIL en France) pourra infliger des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
3 conseils pour une protection réussie :
Privacy by design
Le principe étant que chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau possible de protection des données, les structures de santé devront sélectionner des concepteurs d’objets e-santé et des sous-traitants ayant procédé à une analyse des risques et intégrer la protection des données dès la conception de leurs objets.
Privacy by default
Le RGPD oblige chaque personne ou entreprise traitant des données personnelles à garantir par défaut le plus haut niveau possible de protection des données.
Les hôpitaux, cliniques, centres et cabinet médicaux, de même que les médecins, devront être en mesure de cartographier les données collectées, en identifiant leurs provenances, l’objet par lequel elles ont été collectées et avec qui les données seront partagées. Des audits seront indispensables afin d’évaluer les niveaux de protection et mettre en place de bonnes pratiques.
Privacy shield
Sur le modèle américain du « Privacy shield », les structures de santé pourraient mettre en place un mécanisme d’auto-certification au sein de leur réseau afin de garantir la meilleure protection des données possible.
—-
Le site internet : http://www.novaejuris.com
