La sécurité de mes données de santé, c’est vraiment important ?

Vous avez déjà renseigné des données de santé sur Internet, sans vous poser de questions ? Cet article est fait pour vous !

Nous y détaillons l’importance de protéger ses données de santé, le rôle de la CNIL en ce domaine et un changement majeur de réglementation intervenu il y a quelques semaines et passé complètement inaperçu du grand public : le passage d’un régime de demande d’autorisation auprès de la CNIL à un régime de simple déclaration dans le cadre de dossiers médicaux partagés, de télémédecine ou d’éducation thérapeutique.

De l’importance de protéger ses données de santé

La confidentialité des données de santé est un enjeu de taille sur lequel les patients sont très peu sensibilisés. Or, tous les jours, de nouveaux projets de e-santé apparaissent, qui nécessitent la collecte de données de santé pour fonctionner. Il va donc falloir rattraper rapidement le retard d’information des patients…

Vous allez me demander quel est le risque réel de partager ses données de santé ? C’est très simple : certains acteurs pourraient être tentés de sélectionner les risques - c’est-à-dire de choisir uniquement les personnes bien portantes - au lieu de les mutualiser. Les entreprises embaucheraient-elles un malade, susceptible d’être souvent absent ? Les assureurs continueraient-ils à assurer au même coût les personnes atteintes de maladies graves ?

Nous pensons rarement à cela lorsque nous sommes angoissés par la maladie et que nous cherchons des réponses rapides sur internet.

Le rôle de la CNIL en ce domaine

La CNIL est l’agence en charge du respect de la loi Informatique et Liberté.
Les données de santé y sont considérées comme sensibles et les règles sont renforcées pour s’assurer de leur protection.
 
La CNIL demande donc à savoir, en amont de chaque projet :

• Dans quel but les données de santé sont collectées ? On parle de « finalité » de la collecte
• Quelles sont les données de santé collectées ? Sont-elles légitimes eu égards à la finalité de la collecte ?
• Comment sont-elles collectées, stockées et conservées ? Les règles de sécurité informatique sont-elles respectées ?
• Des données de santé sont-elles communiquées à des tiers ? Pourquoi et comment ? Sont-elles anonymisées et comment ?

La CNIL s’assure également que le patient a consenti à cette collecte en étant clairement informé et qu’il a la possibilité de s’y opposer.

Le passage d’un régime d’autorisation à un régime de déclaration

Jusqu’à présent et dès lors qu’il y avait une collecte de données de santé, il fallait faire une demande d’autorisation auprès de la CNIL. Le processus était très long. Par exemple, pour notre site deuxiemeavis.fr, nous avons attendu 18 mois, sans possibilité de lancer le service entre temps. Les conséquences financières ont été conséquentes pour notre startup.

Ce système a laissé place à un simple régime de déclaration auprès de la CNIL. Il suffit de remplir un formulaire en ligne et hop, plus besoin d’attendre !

Très clairement, le secteur de la e-santé gagne en agilité avec cette réforme et de très beaux projets vont émerger qui vont beaucoup apporter aux patients.

Mais tous ces projets joueront ils le jeu de la confidentialité et de la sécurité ? Quand on connaît la complexité des règles de sécurité actuelles, lesquelles peuvent brider l’usage de nouveaux services, c’est peu probable. Un exemple : sur deuxiemeavis.fr, nous vous embêtons avec notre « one time password » (ou code unique et temporaire) que vous devez renseigner à la connexion après saisie de votre email et mot de passe, justement pour nous assurer que c’est le véritable patient qui se connecte !

Les sanctions devront être significatives et réelles pour être dissuasives. La CNIL deviendra-t-elle une véritable agence de contrôle avec des moyens significatifs pour le faire ? C’est possible mais pas encore gagné… D’où l’importance que nous, patients, soyons informés de ces enjeux et soyons en mesure de faire la distinction entre des services sérieux qui nous protègent et d’autres qui ne le sont pas ! Nous vous y aiderons dans nos prochains articles.