Cette série, régulièrement enrichie, constitue une boîte à outils pour tous ceux qui se lancent sur le marché des objets de santé connectés sans avoir nécessairement une bonne connaissance des contraintes juridiques et réglementaires liées tant au droit de l’IT et des données personnelles qu’au droit de la santé.
Fiches réalisées en étroite coopération entre les Equipes Industries & Solutions de Santé et IT & Protection des Données Personnelles de SEA Avocats.
La sécurité et la confidentialité des données de santé, quelles obligations ?
Les données de santé sont considérées comme sensibles, donc soumises à un haut niveau de sécurité, physique, logique et organisationnelle (Voir notre Fiche « Qu’est-ce qu’une donnée de santé ? »).
Stockage versus Archivage des données de santé
Les notions de stockage, de sauvegarde et d’archivage des données font bien souvent l’objet d’une confusion. Il existe pourtant une différence de taille entre le stockage de données pour une utilisation quotidienne et immédiate, la sauvegarde de données pour une restauration en cas d’incident, et l’archivage de données à des fins de conservation règlementaires.
Principes clés pour un traitement licite de données personnelles
Tout responsable de traitement de données personnelles (ci-après « le RT »), et à fortiori de données personnelles de santé, doit, sous peine de sanctions, respecter un certain nombre de principes clés, qui conditionnent la légalité dudit traitement.
Le principe d’accountability et ses conséquences en matière de santé
En matière de protection des données à caractère personnel, le principe de transparence implique, vis-à-vis des autorités, la mise en oeuvre de formalités préalables par le responsable de traitement.
Selon les règlementations française et européenne actuellement en vigueur, les données de santé sont des données sensibles, et leur traitement est par principe interdit.
Comment respecter les droits des personnes dont les données de santé sont traitées ?
Les personnes dont les données font l’objet d’un traitement bénéficient de droits sur leurs données, définis par la loi Informatique et Libertés du 6 janvier 1978 (Loi IFL) et encore renforcés par le nouveau Règlement européen relatifs à la protection des données personnelles (RGPD).
Objet de Quantified self : quel statut juridique ?
Objets connectés, solutions connectées… l’heure est à l’automesure. Face à la diversité des offres et des techniques, comment déterminer quelles règles sont applicables à un instrument de Quantified self déterminé ? La réglementation sera notamment fonction de son statut juridique (DM / pas DM). Voici les clés nécessaires à une juste qualification.
Objets connectés de santé : qu’implique le statut de DM ?
Les objets connectés peuvent revendiquer la qualification de dispositif médical. Si ce statut offre d’indéniables avantages, en termes de market access notamment, il implique en contrepartie de se soumettre à une réglementation particulièrement dense. Voici un aperçu du cadre juridique qui entoure le statut du DM.
Logiciels et applications mobiles de santé : DM ou pas DM ?
Il est aujourd’hui admis que des logiciels et des applications mobiles de santé puissent être des dispositifs médicaux. La qualification n’est cependant pas évidente et peut nécessiter l’analyse experte de professionnels de la réglementation des Industries de santé. Voici, en substance, les critères retenus en pratique.
Qu’est-ce qu’une donnée de santé ?
A l’heure du Big Data, de l’Open Data et du Quantified self, les données personnelles sont plus que jamais au cœur de la stratégie des Industriels. Si elles sont considérées comme « l’Or noir du XXIème siècle », elles sont particulièrement protégées par la loi, à plus forte raison lorsqu’elles touchent à la santé des individus. Identifier les données de santé est donc primordial mais nécessite quelques clés de qualification que cette fiche s’emploie à synthétiser.
Le traitement des données sensibles
Les données de santé sont des données sensibles. A ce titre, leur traitement est strictement encadré par la loi. Voici, en substance, les critères à appliquer quand on entreprend la collecte de données sensibles.
Données anonymisées, données pseudonymisées : de quoi s’agit-il ?
Collecter des données c’est bien, pouvoir les exploiter c’est mieux, surtout lorsqu’on connait le potentiel qu’offre la collecte de masse dans le domaine de la santé. Et s’il suffisait de « dépersonnaliser » les données ? Voici un petit guide pour comprendre les moyens et les enjeux de l’anonymisation et de la pseudonymisation des données.
