Covid-19 : Aspects juridiques relatifs aux données de patients entre l’UE et le Cameroun, sujets aux facteurs de risque

[Digital Business Africa – Avis d’expert – Par Laurent-Fabrice ZENGUE*] – En soutien à l’anamnèse[1] réalisée par le médecin d’un patient testé à la maladie à coronavirus (COVID-19), l’apport des données de santé du dossier médical personnel(dossier médical informatisé)[2] antérieur peut être d’une importance vitale en raison de ce qu’il permet d’identifier les facteurs de risque[3], lesquels sont déterminants dans le protocole de prescription et de soins du patient considéré.

Mais, ledit dossier, ayant vocation au partage, est devenu le dossier médical partagé[4], à mettre à disposition des médecins successifs, y compris dans le cadre particulier de l’itinérance thérapeutique entre l’Union européenne (UE) et le Cameroun, par exemple, soulève la problématique de son contenu qui relève des catégories particulières de données[5], anciennement appelées données sensibles, dans le grand ensemble des données à caractère personnel et dont, par conséquent, le transfert et le traitement sont appelés, dans le cas d’espèce, à être opérés dans deux espaces juridiques dont les systèmes de protection de données de santé relèvent de législations asymétriques car, dont celui destinataire ne disposant d’aucune loi protectrice.

Dès lors, il se pose la question de l’accès aux données de santé du patient, personne concernée par le traitement[6], pour des soins efficients, tout en évitant les risques juridiques sur le fondement de l’atteinte à la vie privée, pour défaut de protection de données à caractère personnel.

L’exercice de la médecine repose désormais sur l’usage d’algorithmes pour conduire des opérations, suivre des patients à distance, personnaliser des traitements au moyen de la détection des maladies en avance. D’où le recours au traitement, parfois à grande échelle, de données indispensables au fonctionnement et au perfectionnement des outils médicaux modernes.

A cet effet, il est manifestement opportun et inévitable de saisir la problématique de la collecte, le stockage et la circulation des données sanitaires en considération du facteur d’extranéité dont la place est fortement justifiée par l’activité des itinérances thérapeutiques partant de l’étranger pour le Cameroun et vice-versa. Cet aspect révèle donc les préoccupations qui naissent non seulement en raison de la protection des données nationales et des patients, mais aussi celles des étrangers résidents ou de passage au Cameroun.

A TITRE DE REMARQUES LIMINAIRES CONCEPTUELLES

La « donnée à caractère personnel »[7]

Au sens du RGPD, une « données à caractère personnel » est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”); est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

La jurisprudence a ajouté à cette liste l’adresse IP (protocole Internet), au motif qu’une adresse IP, bien qu’étant attachée à une machine, ladite machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire[8]. C’est un cas d’identification indirecte car, la personne concernée est identifiable même si elle n’est pas identifiée. Cette extension rend la définition de donnée à caractère personnel très large en englobant diverses informations telles que le numéro de plaque d’immatriculation de véhicule, le numéro de téléphone, etc. Cette position rejoint l’esprit du RGPD[9] qui y ajoute les témoins de connexion («cookies») et les étiquettes d’identification par radiofréquence, pour ne citer que ces cas-là.

La donnée de santé[10]

Les données de santé sont des « données concernant la santé »[11], et qui font partie du grand ensemble de données à caractère personnel et du sous-ensemble de catégories particulières de données à caractère personnel. Elles sont  définies comme, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Le « traitement » au sens du RGPD[12]

Un « traitement » est toute opération ou tout ensemble d’opérations effectuées sur des données ou des ensembles de données à caractère personnel. Les procédés de traitement peuvent être automatisés ou non. Il y a autant de traitements que d’opérations réalisées sur les données : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, transfert, rapprochement, interconnexion, limitation, effacement ou  destruction, valorisation, rapprochement, interprétation, destruction, etc.

La qualité de responsable du traitement[13]

Dans le secteur de la santé, les responsables de traitement peuvent être les professionnels et établissements de santé, les structures et services de soins, les fournisseurs de solutions techniques, susceptibles de délivrer de l’information. Le responsable du traitement est la personne morale ou physique, l’autorité publique, le service ou tout organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Il lui est permis d’avoir un responsable conjoint et/ou un sous-traitant, le cas échéant. En cas de confusion ou conflit de qualifications des acteurs du traitement, la solution consiste à réaliser une analyse de la distributivité factuelle et juridique c’est-à-dire l’analyse des actes posés au regard d’un faisceau d’indices qui permet de savoir qui détient cumulativement la pleine et entière autonomie sur non seulement les finalités mais aussi les moyens du traitement considéré. A défaut de clarté, le RGPD développe le régime de la responsabilité « in solidum », en tant que de besoin.

Le responsable du traitement peut être soit une personne physique (médecin, infirmier, aide-soignant, autre personnel médico-sanitaire) ou morale (hôpital, centre de santé, clinique, etc) soit une autorité publique (ministère en charge de la santé, agence gouvernementale) soit un service (dispensaire d’entreprise, centre médico-social) soit un autre type d’organisme.

La personne concernée

La personne concernée est la personne dont on traite les données à caractère personnel. Elle doit être une personne physique vivante, résidente dans l’UE, à l’exclusion de la personne décédée et la personne morale.     

La prise en compte de données de santé du patient considéré commande la mise en exergue des problématiques médicales et juridiques d’imbrication (A) en présence, tout en imposant une série d’exigences dont les premières sont relatives au transfert des données de santé hors UE (B), suivies des règles relatives au traitement des données du patient (C).

LES PROBLEMATIQUES MEDICALES ET JURIDIQUES D’IMBRICATION

A.1. Problématiques médicales

Les problématiques médicales mettent en articulation les facteurs de risque de complication de la maladie à coronavirus et l’importance des données de santé antérieures du patient.

A.1.a. COVID-19 et facteurs de risque de complication

Plusieurs études médicales font état de ce que les divers facteurs de risque de complication de la maladie à coronavirus peuvent être l’âge[14], les antécédents médicaux[15] (antécédents cardiovasculaires, insulinodépendance non équilibrée, pathologie chronique respiratoire, insuffisance rénale chronique dialysée, cancer sous traitement, immunodépression congénitale ou acquise, cirrhose au stade B ou C, obésité, grossesse), le tabagisme[16], le sexe[17], la génétique[18], les bio marqueurs[19] et le groupe sanguin[20].

A.1.b. Incidence des données antérieures dans la prise en charge médicale

Les facteurs de risque ne sont pas seulement une problématique médicale circonstancielle à la COVID-19, mais aussi la corrélation évidente entre le bon diagnostic et les données médicales antérieures fiables du patient, pour une administration de soins efficiente en toute bonne connaissance de cause. C’est l’avis de l’Organisation Mondiale de la Santé (OMS)[21] qui affirme que les données de santé permettent « d’établir une planification plus efficiente et plus efficace et de réagir rapidement aux pics de maladies grâce à l’utilisation de données en temps réel ». Ce qui entraîne une meilleure prise en charge des patients. D’où l’importance vitale pour le patient et le médecin traitant d’accéder à ces données, en toute légalité évidemment.

A.2. Asymétrie de systèmes juridiques de protection de données de santé

La protection des données de santé peut être saisie sous un double angle : l’état de la législation camerounaise et les solutions de l’UE.

A.2.a. Etat de la législation camerounaise

Sur le plan général, la loi fondamentale[22] et le juge camerounais[23] protègent la vie privée, et présumémént les données de santé, y compris par le mécanisme de renvoi à la protection des Droits de l’Homme[24] : « Le Peuple camerounais (…) Affirme son attachement aux libertés fondamentales inscrites dans la déclaration universelle des droits de l’homme (…).

Sur le plan sectoriel sanitaire, le dispositif législatif, en l’occurrence la loi n°96/03 du 4 janvier 1996, portant loi-cadre dans le domaine de la santé, affirme, entre autres, à son article 3 que : « la politique nationale de santé vise en particulier la rationalisation de la gestion des infrastructures, des équipements et du personnel par la mise en place des systèmes d’information performants permettant une réelle planification qui tienne compte des acquis, des besoins et des objevtifs du service de  la santé. »

Quant au niveau réglementaire, le Ministère de la Santé[25] est chargé de : « la conception et le suivi de la mise en œuvre du système d’information sanitaire ; la collecte et le traitement des données statistiques de santé ; la mise en place de bases et des banques de données relatives à la santé publique ; la sécurisation et la disponibilité des données statistiques ; et, la publication des données sanitaires ». Le reste de l’ensemble du corpus réglementaire sectoriel[26] se limite à énoncer le répérage, la collecte, le rassemblement, l’analyse, la confrontation et la synthèse des données de santé humaine, sans pour autant organiser les règles qui devraient encadrer les droits des patients et  les obligations et sanctions du professionnel de santé au sens large.

A titre prospectif, pour ce qui est des outils devant servir à la réalisation de ces missions, le Plan Stratégique National Santé Numérique 2020-2024, dans l’Axe stratégique 2, intitulé Legislation politique et conformité, mentionne deux activités à savoir, l’élaboration des projets de textes juridiques en santé numérique et la vulgarisation  des textes juridiques en santé numérique, sans préciser la place que pourrait avoir les données de santé.

Sur le plan sectoriel des technologies de l’information et de la communication, il existe l’énoncé de la garantie de la protection des consommateurs, et dont du patient et des intervenants du secteur médical, utilisateurs de services de communications électroniques[27] et d’outils numériques dans le cadre de leur profession de prescription et d’administration des soins. Mieux, le droit à la protection de leur vie privée en tant que personne est consacré dans le cadre la lutte contre la cybersécurité et la cybercriminalité[28].  

A.2.b. Solutions européennes

Le système juridique de protection des données de santé de l’UE  est sous l’empire du RGPD, qui couvre toute la problématique des données à caractère personnel, et dont les données de santé font partie. La protection des données de santé y est organisée comme suit : une catégorisation de la donnée de santé ; des transferts de données de santé hors UE autorisés sous condition ; des principes de traitement de données clairs ; des bases légales de traitement limitativement énumérées ; des droits les plus larges accordés à la personne concernée ; des sanctions conséquentes contre les contrevenants.

Or, le RGPD interdit tout transfert des données à caractère personnel des personnes concernées domiciliées en Europe, vers un pays non membre de l’UE, pour des raisons de maîtrise, de niveau de qualité de la sécurité, et de mécanismes de contrôle qui peuvent ne pas être conformes aux exigences du RGPD en la matière, même dans le cas d’une simple consultation. Ce qui peut rendre considérablement ardue la tâche du médecin traitant camerounais, en présence d’un patient souffrant de la COVID-19, et présentant des facteurs de risque dont le diagnostic et les soins sont tributaires des données de santé sous l’empire du RGPD.

A.2.c. Insuffisances juridiques camerounaises

En somme, la législation camerounaise sur les données à caractère personnel présente plusieurs insuffisances. Bien qu’elle reconnaisse un droit de niveau constitutionnel à la protection de la vie privée, il reste de nombreuses insuffisances.

Premièrement, il y a le caractère extrêmement généraliste du système de protection qui non seulement demeure principiel mais aussi ne renvoie à aucune disposition spécifiquement sanitaire. Néanmoins,  les données biométriques, sans être des données de santé, bénéficient de la protection spéciale dévolue aux catégories particulières de données. Deuxièmement, la règlementation sectorielle sanitaire se limite à l’énumération de ce qu’il est fait des données de santé mais sans organiser leur traitement. Enfin, il n’existe ni convergence d’exigences ni intelligibilité conceptuelle qui auraient pu mettre en concurrence les deux systèmes législatifs, permettant de la sorte le traitement des données en vue d’une prise en charge optimum du patient, notamment en raison de l’accès juridiquement sécurisé de ses données de santé, montrant les facteurs de risques de complication de la maladie à coronavirus.

A.3. Eléments de détermination de la compétence du RGPD

La compétence du RGPD tient sur deux critères principaux. Premièrement le critère d’existence d’un établissement, sur le territoire de l’UE, qui participe au traitement dans le cadre de ses activités, que le traitement lui-même ait lieu ou non dans l’UE. En second lieu, l’applicabilité du RGPD peut s’imposer lorsque la personne concernée ou visée par ledit traitement réside dans l’UE, même si le responsable du traitement ou le sous-traitant n’est pas établi dans l’UE. Mais, cette summa divisio critériologique de compétence recouvre une réalité plus inclusive.

La détermination de la compétence par l’élément personnel. Le premier élément de détermination de la compétence liée à la personne concernée est la nature du droit relatif à la protection des données à caractère personnel : un droit universel fondamental[29] et donc, rattaché à la personne humaine. Sur ce point, le RGPD renvoie au Traité sur le fonctionnement de l’Union Européenne[30] et à la Charte des droits fondamentaux de l’Union Européenne[31].  Le deuxième élément est la nature de la personne : seule la personne physique vivante est protégée[32]. La personne décédée est exclue, étant donné qu’elle cesse d’être une personne physique au sens du RGPD[33], et aussi au sens du juge français par exemple[34], exception faite de la volonté d’un Etat membre de réglementer le traitement des données à caractère personnel des personnes décédées. Ainsi, en matière de données publiques[35] les données personnelles des personnes physiques décédées, établies par l’Institut national de la statistique et des études économiques, constituent des documents administratifs libres d’accès. Néanmoins en France par exemple, il existe le droit à la mort numérique, permettant à toute personne physique d’organiser, de son vivant et par écrit, les conditions de conservation et de communication de ses données à caractère personnel après son décès, y compris les informations qui figurent sur les certificats des causes de décès, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit[36]. La personne morale est exclue de la protection[37] mais, elle demeure responsable à l’égard de la personne physique en ce qui concerne le traitement des données à caractère personnel, notamment à travers les lourdes obligations qui incombent au responsable de traitement et au sous-traitant, ce d’autant plus que ces derniers sont très souvent des personnes morales.

Les personnes en charge du traitement sont aussi un élément de détermination de la compétence du RGPD : le responsable du traitement, le responsable conjoint, le sous-traitant et le tiers bénéficiaire. Pour les acteurs dont l’établissement existe dans l’UE, le problème ne se pose pas. A ce propos d’ailleurs, la notion de lieu d’établissement est développée en rapport avec une certaine étroitesse ou proximité avec celle de domicile, notamment lorsque les éléments d’extraterritorialité existent. Pour une personne morale, le domicile peut être soit le lieu du siège social ou statutaire, soit le lieu de l’administration centrale, soit encore le lieu du principal établissement. Lorsqu’il s’agit d’une personne physique, le domicile est soit le lieu de résidence habituelle, soit le lieu choisi et fixé par le concerné comme étant le centre permanent ou habituel de ses intérêts[38], soit le lieu d’intégration dans un environnement social et familial[39]. Et, le juge saisi définit le domicile selon la loi de l’Etat et tel que le comprend la loi de l’Etat du domicile considéré. Pour ceux installés hors UE, les juges ont adopté une approche englobante et extensive. Ainsi, sont sous l’empire du RGPD soit le responsable du traitement installé hors UE mais qui peut déterminer les finalités et les modalités du traitement qui ont lieu au sein de l’UE, soit le responsable de traitement qui opère auprès de la représentation diplomatique ou consulaire d’un Etat membre, en vertu du droit international public[40], soit toute personne, même n’ayant pas la qualité de responsable de traitement, qui participe directement à des activités impliquant le traitement des données à caractère personnel[41], soit toute personne qui joue un rôle significatif dans le traitement de données à caractère personnel indépendamment de la forme juridique de son établissement[42], notamment le cas d’aspects de la protection de données liés aux moteurs de recherche[43], hypothèse ayant tout son sens au regard de la nature des activités du numérique et des sites de e-commerce par exemple.

La détermination de la compétence par l’élément matériel. Le premier élément matériel est l’activité de traitement de données à caractère personnel du patient, qui peut être saisi de trois manières[44]. Premièrement par son contenu : des informations «objectives» telles que le nom, le numéro d’identification, le groupe sanguin, la génétique, la biométrie, la localisation, des informations «subjectives» à savoir des avis ou des appréciations. En second lieu, par sa finalité, et notamment les informations relatives à la vie privée et familiale, aux activités et au comportement sociaux, économiques et professionnels.   

La détermination de la compétence par la territorialité. Il s’agit, premièrement, de traitements effectués au sein de l’espace européen[45]. Mieux, en matière de données à caractère personnel, il est intéressant de comprendre la territorialité non pas seulement à la résidence dans les limites géographiques de l’UE, mais aussi à l’élargissement à tous les territoires des Etats tiers et des organisations multinationales hors de l’UE physique qui sont sous l’empire du RGPD au moyen, respectivement, de l’adéquation, des garanties appropriées ou des dérogations pour des situations particulières.

Il y a aussi la compétence personnelle par la nationalité ou la résidence de la personne concernée[46]. A propos de la résidence, le juge européen a adopté l’interprétation la plus large possible, en faisant éclipser le critère de la nationalité par la notion de domicile, laquelle s’étend naturellement à la résidence habituelle, englobant ainsi automatiquement les apatrides, les réfugiés et les sans-papiers. Mais encore, en ce qui concerne le mineur, la notion est plus inclusive[47], en y ajoutant, pour le cas de l’enfant, le lieu traduisant son intégration dans un environnement social et familial, c’est-à-dire le lieu et les conditions de la scolarisation, les connaissances linguistiques et enfin les rapports familiaux et sociaux entretenus par l’enfant[48].

En deuxième lieu, il s’agit des activités de traitement liées à l’offre de biens ou de services aux personnes qui se trouvent dans l’UE[49]. Ce cas rejoint la théorie judiciaire de la focalisation[50] en droit international privé, et notamment le contentieux des activités du numérique, dans laquelle c’est moins l’accessibilité[51] du site internet par les personnes concernées et vivant dans l’UE, que la focalisation sur le marché européen par le responsable du traitement, le sous-traitant ou l’intermédiaire qui est prise en compte. Laquelle focalisation peut donc se manifester, en plus de l’adresse électronique, l’adresse géographique ou le numéro de téléphone sans indication du préfixe international, par les indications d’interactivité telles que la langue généralement utilisée ou la monnaie d’usage courant, ayant cours légal et pouvoir libératoire, dans un ou plusieurs Etats membres, avec la possibilité de commander des biens et des services dans cette langue ou la mention de clients ou d’utilisateurs qui s’y trouvent.

En troisième lieu, il s’agit de traitements liés au suivi du comportement des personnes manifestées au sein de l’UE[52]. Cette précaution évite, dans d’autres Etats hors UE, que l’on prive les personnes concernées protégées par le droit de l’UE, des droits qui leurs sont garantis au sein de l’UE.

La question de l’accès et de l’usage des données de santé venant de l’espace européen pose une double exigence inévitable. La première condition à remplir concerne les règles qui encadrent le transfert des catégories particulières de données à caractère personnel. Et, lorsque ces règles sont respectées, il est question alors de satisfaire aux exigences relatives au traitement desdites données sous l’empire du RGPD.

LES TRANSFERTS DE DONNEES DE SANTE HORS UE VERS LE CAMEROUN

B.1. Principe et règles générales de l’interdiction de transfert

B.1.a. Esprit du principe de l’interdiction de transfert de données  

Le transfert de données à caractère personnel dans un Etat hors UE est interdit en principe. Cette prohibition qui vise la seule protection de la vie privée de la personne physique, assure l’extension de la protection dévolue à la personne à l’étranger, tout en consacrant les effets extraterritoriaux du droit européen de la protection des données à caractère personnel. Il s’agit aussi et surtout de ne pas compromettre les exigences du RGPD et d’assurer aux personnes concernées un degré très élevé de protection de leurs données.

B.1.b. Règles générales applicables aux exceptions de transfert de données hors UE

Les exceptions au principe d’interdiction de transfert de données hors UE existent, mais leurs modalités s’analysent sous un prisme. Premièrement, les bénéficiaires de ces exceptions sont soit un pays tiers soit une organisation internationale d’une part, soit un autre pays tiers ou une autre organisation internationale à partir du premier pays tiers ou de la première organisation internationale auprès duquel ou de laquelle le transfert a été d’abord effectué depuis l’espace de l’UE. En second lieu, il y a la condition temporelle qui concerne soit des traitements immédiats effectués directement à la suite du transfert soit des traitements ultérieurs.

B.2. Cas de transferts exceptionnels de données du patient hors UE[53]

L’on peut énumérer deux grands groupes de cas de transferts en considération du patient : les transferts tributaires de la volonté du patient ou servant directement ses intérêts, et ceux externes à la volonté du patient.

B.2.a. Cas de transferts tributaires de la volonté du patient, servant directement ses intérêts ou ceux du responsable du traitement, et non soumis à l’approbation préalable des instances européennes.

Ils relèvent généralement de la catégorie des dérogations de transferts pour des situations particulières[54] ou transferts dits atypiques, dès lors qu’ils restent imprévus ou à intervalles arbitraires, occasionnels, sauf dans le cas de  la possibilité à l’accès direct à une base de données par le destinataire via l’interface d’une application informatisée[55].

En outre, ces transferts doivent remplir les conditions ci-après : ne pas avoir un caractère répétitif ; être nécessaires aux fins des intérêts légitimes et impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les droits et libertés de la personne concernée ; faire l’objet d’une évaluation de toutes les circonstances entourant le transfert offert et des garanties appropriées en ce qui concerne la protection des données à caractère personnel, par le responsable du traitement.

On peut citer les cas ci-après : le patient a donné son consentement explicite au transfert envisagé ; le transfert est nécessaire à l’exécution d’un contrat entre lui et le médecin ou tout personnel médico-sanitaire, responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande du patient ; le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt du patient entre le médecin, responsable du traitement ou tout professionnel de santé, et une autre personne physique ou morale ; le transfert est nécessaire pour des motifs importants d’intérêt général ; le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ; le transfert est nécessaire à la sauvegarde des intérêts vitaux du patient ou d’autres personnes, lorsque le patient se trouve dans l’incapacité physique ou juridique de donner son consentement ; le transfert a lieu au départ d’un registre qui est destiné à fournir des informations au public et est ouvert à la consultation du public en général et de toute personne justifiant d’un intérêt légitime ; le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées et est nécessaire aux intérêts légitimes poursuivis par le responsable du traitement.

En ce qui concerne le consentement, celui pour le traitement de données ne doit pas être confondu avec celui requis pour la réalisation de certains actes médicaux.

B.2.b. Cas de transferts externes à la volonté du patient

On y fait recours de manière subsidiaire par le mécanisme de cascade selon lequel le cas suivant est utilisé en cas d’impossibilité du cas précédent. On peut citer ici trois cas à savoir : les transferts fondés sur une décision d’adéquation, les transferts moyennant des garanties appropriées et les transferts sous conditions de règles d’entreprise contraignantes.

Les transferts fondés sur une décision d’adéquation[56]. Ils peuvent bénéficier aux pays tiers, organisations internationales, territoires ou secteurs d’activités déterminés de destination des données considérées. Cette approche peut conduire à des adéquations globales, territorialement partielles ou sectorielles. Pour octroyer l’adéquation, il est exigé que le bénéficiaire assure un niveau de protection adéquat, substantiellement de même niveau qualitatif d’exigences et de conditions que le RGPD.

Lesdites exigences sont : l’existence d’une législation qui non seulement organise la protection des données mais aussi le respect des droits de l’homme et des libertés fondamentales ; l’existence d’une ou plusieurs autorités de contrôle indépendante(s) destinée(s) à veiller au respect de la législation et à assister et conseiller les personnes ; l’adoption d’engagements juridiquement contraignants avec des mécanismes de coopération avec les autorités de protection de données des Etats membres de l’UE assortis de droits effectifs et opposables ainsi que des possibilités de recours administratif et/ou juridictionnel. La décision d’adéquation est susceptible de réévaluation, abrogation, modification ou suspension, le cas échéant.

Les transferts moyennant des garanties appropriées[57]. Ces transferts n’interviennent que dans le cas où il n’y a pas de décision d’adéquation. Au bénéfice des personnes concernées par le traitement des données à caractère personnel, les garanties appropriées octroient des droits opposables et des voies de droit effectives. Ils sont de deux ordres. Il y a d’abord les garanties ne nécessitant pas d’autorisation particulière dès lors qu’elles sont préalablement approuvées par les instances de l’UE au moyen de clauses types déjà adoptées par l’UE, et qu’elles sont garanties soit pour les autorités et organismes publics par un instrument juridiquement contraignant et exécutoire, soit pour les multinationales par des règles d’entreprises contraignantes, soit pour tous les acteurs publics ou privés par des clauses types de l’UE ou des codes de conduite ou encore des mécanismes de certification approuvés. Il y a en second lieu les garanties nécessitant une autorisation particulière des instances européennes. Il s’agit soit des clauses contractuelles ad hoc soit des dispositions intégrées dans des arrangements administratifs des autorités publiques ou des organismes publics prévoyant des droits opposables et effectifs pour les patients.

Les règles d’entreprise contraignantes (binding corporate rules – BCR)[58]. Elles concernent un groupe d’entreprises donné ou un groupe d’entreprises engagées dans une activité économique conjointe. L’instance de protection des données de l’Etat membre chargée d’approuver les BCR est alors soit celle du siège de la société mère soit celle la plus appropriée. Par ailleurs, les BCR commandent non seulement une réelle organisation de la protection des données en termes de ressources humaines, de gestion des réclamations, d’obligation d’audit et de suivi internes, de coopération et d’obligations juridiques étrangères, mais aussi d’opposabilité effective des droits des patients.

Cependant, aussi démocratique puisse paraître le transfert de données hors de l’UE, la qualité des exigences imposées au traitement desdites données maintient le haut degré de protection des patients dont les données de santé viendraient à être exportées.

LES REGLES RELATIVES AU TRAITEMENT DES DONNEES DU PATIENT

C.1. Cadre du traitement des données de santé

Les règles relatives au traitement des données de santé sont non seulement celles spécifiques à la qualité de catégorie particulière de données, mais aussi d’abord celles générales relatives aux données à caractère personnel en général : elles concernent les droits et obligations des acteurs du traitement des données à caractère personnel. Le traitement des données à caractère personnel concernant la santé est interdit[59], sauf si   certaines conditions sont remplies[60].

La première condition est la finalité du traitement ou le cadre opérationnel qui doit avoir pour objet : la médecine préventive ou la médecine du travail, l’appréciation de la capacité de travail du travailleur, les  diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services de soins de santé ou de protection sociale.

La deuxième condition est le cadre juridique qui peut être soit législatif-réglementaire communautaire ou étatique, soit contractuel sanitaire.

La dernière condition est la qualité du responsable de traitement, y compris toute personne sous sa responsabilité, qui doit remplir trois conditions : être un professionnel de santé, être soumis à l’obligation de secret professionnel, et être soumis à des règles conformes au droit de l’UE, d’un Etat membre ou d’un organisme national compétent. La question de la conformité des règles peut être soumise à débat dès lors qu’elle pourrait appeler non pas des dispositions ou des stipulations particulières, mais un niveau d’intelligibilité conceptuelle et d’exigence d’applicabilité de sorte à rassurer le juge communautaire et les autorités de contrôles respectives des Etats membres concernés. Ce qui rappelle l’esprit des exigences qui fondent le principe général applicable aux transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale[61]. Quant à la responsabilité du professionnel de santé, elle pourrait être double : il y a non seulement sa responsabilité principale de son propre fait, mais aussi sa responsabilité du fait d’autrui[62]. La soumission à l’obligation de secret professionnel pose le problème de sa valeur dans des Etats tiers ne faisant pas partie de l’UE, si tant est que tous les professionnels de santé des Etats de l’UE ont un secret professionnel de même valeur. Le secret professionnel auquel est tenu le professionnel de santé est une prérogative du patient et donc l’une facettes du droit de la personnalité dont bénéficie chaque personne, le droit au respect de la vie privée[63], lequel droit est universellement reconnu et protégé[64]. Par conséquent, tout professionnel de santé qui exerce et traite les données du patient, en parfaite conformité avec les règles du principe universel de respect de la vie privée, peut être considéré comme l’ayant fait en conformité avec le droit de l’UE, d’un Etat membre ou d’un organisme de santé compétent, qui lui-même est la source d’inspiration du droit européen communautaire en la matière[65].    

Sur tous ces aspects, il serait opportun de voir les clarifications des juges et des régulateurs, notamment en ce qui concerne les effets extraterritoriaux du RGPD en matière de données de santé.

C.2. Droits[66] du patient dans le cadre du traitement des données de santé

Il y a six types de droits dont certains ont un impact sur l’intégrité des données et d’autres non.

C.2.a. Les droits n’ayant pas un impact sur l’intégrité des données du patient

Le droit d’accès qui permet à la personne concernée d’obtenir non seulement la confirmation que ses données à caractère personnel sont traitées ou pas, mais aussi l’accès auxdites données et à certaines informations, dès lors qu’il y a confirmation qu’elles sont traitées. Le droit à la limitation de traitement est celui qui conduit au marquage de données à caractère personnel enregistrées en vue de leur traitement futur. Le droit à la portabilité permet à la personne concernée de contrôler la circulation et la réutilisation de ses données brutes à caractère personnel, qui peuvent alors être communiquées soit à la personne concernée soit à un nouveau responsable de traitement. Enfin, le droit d’opposition  qui peut être soit général soit limité à la prospection. 

C.2.b. Les droits ayant un impact sur l’intégrité des données du patient

Le droit de rectification qui octroie la possibilité de rectifier et de compléter les données considérées. Le droit à l’effacement ou droit à l’oubli qui permet à la personne concernée d’en demander la restriction ou la cession de diffusion si elle juge cette dernière préjudiciable ou contraire à ses intérêts. Ce groupe de droits est le plus susceptible d’abus parce que les opérations de traitement sont plus exposées à des traitements non consentis tels que l’altération,  l’enrichissement ou l’oubli des directives du patient.

C.3. Obligations du professionnel de santé au titre de la protection des données de santé

Les obligations du professionnel de santé peuvent être examinées sous un double angle. Premièrement, il y a l’angle général qui fait appel non seulement à la notion de gouvernance, mais aussi aux obligations génériques. En second lieu, il y a l’aspect spécifique des obligations liées au traitement de données de santé à proprement parler.  

C.3.a. Obligations générale et génériques du professionnel de santé

La gouvernance est l’obligation générale-pivot du traitement de données à caractère personnel. Elle repose sur un référentiel thématique triptyque : la construction de son organisation interne de traitement de données à caractère personnel, l’identification et l’évaluation des risques encourus, notamment ceux des droits et libertés des personnes concernées, ainsi que l’organisation du monitoring et de l’évolution des traitements en prenant soin de veiller au risque de « hacking » ou de « ransomware ».

Les obligations génériques principales soumises aux traitements de données à caractère personnel sont : l’accountability qui regroupe les mesures à mettre en œuvre continuellement sur les plans technique et organisationnel ; le privacy by design ou le privacy by default qui permet de mettre en œuvre des protections respectivement soit lors de leur conception institutionnelle soit par la suite en considération des finalités spécifiques du traitement considéré ; la sécurité qui induit une double approche à savoir des mesures techniques organisationnelles et/ou la pseudonymisation ; l’analyse d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ; la consultation préalable de l’autorité de contrôle ; l’information de la personne concernée qui induit la problématique des hypothèses d’information et les modalités de communication des informations ; la tenue d’un registre de traitement sous une forme écrite ; la notification des violations lorsque celles-ci sont susceptibles de causer soit des dommages physiques, matériels, économiques ou sociaux importants soit un préjudice moral, que ces violations concernent la confidentialité, la disponibilité ou l’intégrité des données considérées.

C.3.b. Obligations spécifiques du professionnel de santé

Ces obligations relèvent des bonnes pratiques à respecter pour les données contenues dans les dossiers des patients[67].

Il s’agit en premier lieu de la limitation des informations collectées au strict nécessaire en les utilisant conformément aux finalités définies à savoir, les activités de prévention, de diagnostic et de soins, le suivi des patients, et notamment la gestion des rendez-vous, la gestion des dossiers médicaux, l’édition des ordonnances, l’envoi des courriers aux autres professionnels de santé, l’établissement et la télétransmission de feuilles de soins. Ladite limitation concerne aussi l’accès aux données de santé des patients aux seules personnes autorisées, au regard de leurs missions. Ainsi par exemple, le secrétaire médical ne pourrait accéder qu’aux données administratives permettant de gérer les prises de rendez-vous, tandis que l’équipe de soins et l’organisme d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, auraient accès à la totalité du dossier médical.

Deuxièmement, il y a la tenue à jour d’un registre de traitement des activités. Le registre de traitement est l’outil sur lequel il est possible de vérifier la mise en œuvre de l’accountability, conformément aux axes de gouvernance de la protection de données que le professionnel de santé se serait fixé.

En troisième lieu, il faut opérer la suppression de dossiers et informations du patient qui ont déjà dépassé la durée de conservation prescrite. Cette durée peut varier d’un Etat à un autre. Elle peut aussi avoir divers fondements : légal, réglementaire ou contractuel.

Ensuite, il y a la mise en place de mesures appropriées de sécurité des dossiers du patient, et la désignation d’un délégué à la protection des données, dont la missions sera de contrôler le respect de la législation par la structure, d’alerter le responsable de traitement en cas de non-respect, de le conseiller et de lui proposer des mesures correctrices, le cas échéant.

Enfin, il s’agit de l’information et de l’assurance du patient sur le respect de ses droits, par tout moyen concis, transparent, compréhensible et aisément accessible, en termes clairs et simples, accompagnés d’icônes normalisées, aussi bien sous la forme papier, électronique et/ou orale,  permettant un consentement éclairé, exprès et univoque du patient. Néanmoins, le responsable de traitement peut être dispensé d’informer le patient dans des cas spécifiques, que les données soient collectées directement ou indirectement. Quant au titulaire de l’autorité parentale, il doit être informé des traitements de données de santé portant sur l’enfant mineur.

CE QU’IL FAUT RETENIR

Bien qu’ayant pour sources le contexte sanitaire et une problématique médicale, en raison du poids du marché des données évalué à plusieurs milliers de milliards d’euros, les modalités de transfert et de traitement de données à caractère personnel représentent  un enjeu de concurrence économique dont le protectionnisme est légitime, d’où les règles strictement encadrées du RGPD. Néanmoins, l’analyse des logiques relatives à la protection de catégories particulières de données, dont font partie les données de santé, révèle l’omniprésence de l’impératif permanent de la protection de la vie privée et de l’intimité, notamment au titre de droit fondamental humain universel, au regard des lourdes obligations imposées aux professionnels de santé, responsables de traitements et des importants droits reconnus aux patients.

Le caractère suprême de ces acquis rattachés aux droits fondamentaux humains universels survit absolument, même dans des espaces juridico-administratifs n’ayant ni législation ni règlementation dédiée à la protection des données à caractère personnel en général et des données sensibles en particulier. Les hypothèses opportunément emménagées par le RGPD, à cet effet, sont non seulement l’expression de ce besoin d’offrir la protection des intérêts personnels au plus grand nombre possible d’êtres humains, mais aussi de démontrer que la législation et la réglementation peuvent être supplées, le cas échéant, par l’intelligibilité conceptuelle, la coopération et l’harmonisation des niveaux d’exigences étatiques, ainsi que l’autodiscipline dans le cadre des contraintes organisationnelles, y compris de nature contractuelle.

Par Laurent-Fabrice ZENGUE*

---

[1] Guide pédagogique de l’OMS pour la sécurité des patients : édition multiprofessionnelle, Organisation Mondiale de la Santé, Genève, Suisse, 2011. https://www.has-sante.fr/upload/docs/application/pdf/2015-12/guide_pedagogique_pour_la_securite_des_patients_-_guide_complet.pdf

[2] Enquête mondiale sur la cyber santé,  Organisation Mondiale de la Santé, 2005 https://www.who.int/goe/data/FrenchGlossaryGOe.pdf?ua=1#:~:text=Dossier%20informatis%C3%A9%20(et%20non%20sur,assurant%20les%20soins%20du%20patient

[3] Un facteur de risque est tout attribut, caractéristique ou exposition d’un sujet qui augmente la probabilité de développer une maladie ou de souffrir d’un traumatisme. https://www.who.int/topics/risk_factors/fr/

Davies, N.G., Klepac, P., Liu, Y. et al. Age-dependent effects in the transmission and control of COVID-19 epidemics. Nat Med (2020). https://doi.org/10.1038/s41591-020-0962-9

[4] Décret n° 2016-914 du 4 juillet 2016 relatif au dossier médical partagé (DMP), Art. R. 1111-26 du CSP. https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000032843719

[5] Article 9, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (RGPD).

[6] Article 4, RGPD.

[7] Article 4, RGPD.

[8] CA Paris, 13e ch., sect. A, 15 mai 2007, n° 06/01954, Henri S. c/ SCPP

Cass, 1ère civ., 3 novembre 2016, n°15-22595

G29, Avis …

CJUE, 24 nov. 2011, aff. C-70/10, Scarlet Extended

CJUE, 19 oct. 2016, aff. C-582/14

[9] Considérant 30, RGPD.

[10] Article 9, RGPD.

[11] Article 4, RGPD.

[12] Article 4, RGPD.

[13] Article 4, RGPD.

[14] Davies, N.G., Klepac, P., Liu, Y. et al. Age-dependent effects in the transmission and control of COVID-19 epidemics. Nat Med (2020). https://doi.org/10.1038/s41591-020-0962-9.  

[15] Haut Conseil de la santé publique, Avis, Actualisation de l’avis relatif aux personnes à risque de forme grave de Covid-19 et aux mesures barrières spécifiques à ces publics, 20 avril 2020, Paris.  file:///C:/Users/HP%20PC/Downloads/hcspa20200420_covperrisetmesbarspccesper.pdf

[16] Smoking Is Associated With COVID-19 Progression : A Meta-analysis, Roengrudee Patanavanich, MD, LLM, PhD, Stanton A Glantz, PhD, Nicotine & Tobacco Research, ntaa082, 12 mai 2020, University of California, San Francisco. https://doi.org/10.1093/ntr/ntaa082

[17] Clinical Features of 85 Fatal Cases of COVID-19 from Wuhan: A Retrospective Observational Study, American Journal of Respiratory and Critical Care Medicine, 3 avril 2020. https://www.atsjournals.org/doi/citedby/10.1164/rccm.202003-0543OC

[18] COVID-19 : plusieurs équipes d’Imagine se mobilisent, communiqué d’Imagine, 19 mars 2020. https://www.institutimagine.org/fr/covid-19-plusieurs-equipes-dimagine-se-mobilisent-693

APOE e4 Genotype Predicts Severe COVID-19 in the UK Biobank Community Cohort 

Chia-Ling Kuo, PhD, Luke C Pilling, PhD, Janice L Atkins, PhD, Jane A H Masoli, MBChB, João Delgado, PhD, George A Kuchel, MD, David Melzer, MBBCh, PhD, The Journals of Gerontology: Series A, glaa131, https://doi.org/10.1093/gerona/glaa131, 26 May 2020.

[19] Yan, L., Zhang, H., Goncalves, J. et al. An interpretable mortality prediction model for COVID-19 patients. Nat Mach Intell 2, 283–288 (Nature Machine Intelligence, 14 mai 2020). https://doi.org/10.1038/s42256-020-0180-7 (résultats en attente de confirmation).

[20] Jiao Zhao, Yan Yang, Hanping Huang, D.L. et al. Relationship between the ABO Blood Group and the COVID-19 Susceptibility, MedRXiv, 27 mars 2020. https://doi.org/10.1101/2020.03.11.20031096. (résultats en attente de confirmation).

[21] Des données sanitaires de qualité pour des systèmes de santé plus efficaces, OMS, mars 2016.  https://www.who.int/fr/news-room/feature-stories/detail/more-than-numbers-how-better-data-is-changing-health-systems

[22] Préambule de la Loi n°96/06 du 18 janvier 1996, modifiée par la loi n°008/001 du 14 avril 2008 portant révision de la constitution du 02 juin 1972.

[23] Dominique Junior Zambo Zambo, « Protection des droits fondamentaux et droit à la jurisdictio constitutionnelle au Cameroun : continuité et ruptures », La Revue des droits de l’homme [En ligne], 15 | 2019, mis en ligne le 10 janvier 2019, consulté le 17 juillet 2020. URL : http://journals.openedition.org/revdh/5847 ; DOI : https://doi.org/10.4000/revdh.5847.

[24] Article 12, Déclaration Universelle des Droits de l’Homme.

[25] Article 20, Décret n°2013/093 du 03 Avril 2013, portant organisation du Ministère de la Santé.

[26] Article 2,  Décret n°2010/2952/PM du 01 novembre 2010 portant création, organisation et fonctionnement de l’Observatoire National de la Santé Publique.

Article 3, Arrêté n°0977/A/MINSANTE/SESP/SG/DROS du 18 avril 2012 portant création, organisation et fonctionnement des comités d’éthique de la recherche pour la santé humaine au sein des structures relevant du Ministère en charge de la santé publique.

[27] Article 36 alinéa 2, Loi n°2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun.

[28] Article 41, Loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et la cybercriminalité au Cameroun.

[29] Considérant 1, RGPD.

[30] Article 16, paragraphe 1, Traité sur le fonctionnement de l’Union Européenne.

[31] Article 8, Charte des droits fondamentaux de l’Union Européenne.

[32] Considérant 14, RGPD.

[33] Considérant 27, RGPD.

[34] CE (Conseil d’Etat) – 10ème et 9ème chambres réunies, 8 juin 2016, n°386525.

[35] Commission d’accès aux documents administratifs, Avis du 17 mai 2019.

[36] Article 63, Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Article 40-1, La loi n° 2018-493 du 20 juin 2018 modifiant la   loi n^o 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[37] Considérant 15, RGPD.

Considérant 27, RGPD.

[38] Civ, 1^ère, 14 déc. 2005.

[39] CJUE, 2 avril 2009.

[40] Considérant 25, RGPD.

[41] G29, Avis n°3/2010, 16 décembre 2010, WP 179.

[42] G29, Avis n°1/2008, 4 avril 2008.

CE, 27 juill. 2012, Sté AIS2, n°340026 : Lebon T.

[43] CJUE, gr. Ch., 13 mai 2014, Google Spain, n°C-131/12.

[44] A. Bamdé & J. Bourdoiseau, La notion de personne concernée par un traitement de données à caractère personnel.https://aurelienbamde.com/2018/12/03/la-notion-de-donnee-a-caractere-personnel/

[45] Considérant 22, RGPD.

[46] Considérant 14, RGPD.

[47] CJCE, 2 avril 2009, Décision n°523/07.

[48] Laurent-Fabrice ZENGUE, Traitement de données en dehors de l’union européenne : un dispositif dérogatoire universaliste du RGPD ? https://www.village-justice.com/articles/traitement-donnees-dehors-union-europeenne-vue-offre-services-numeriques-une,29952.html

[49] Considérant 23, RGPD.

[50] CJUE, 7 décembre 2010, C585-08 et C144-09, aff. Peter Pammer contre Reederei Karl Schlüter GmbH & Co. KG et Hotel Alpenhof GesmbH contre Oliver Heller.

[51] Considérant 24, RGPD.

[52] Considérant 24, RGPD.

[53] Article 44, RGPD.

[54] Article 49, RGPD.

[55] CEPD, n°2/2018, 6 février 2018, WP 262.

[56] Article 45, RGPD.

[57] Article 46, RGPD.

[58] Article 47, RGPD.

[59] Article 9, paragraphe 1, RGPD.

[60] Article 9, paragraphe 2, point h, RGPD.

Article 9, paragraphe 3, RGPD.

[61] Article 44, RGPD.

[62] Article 1242, al. 5 : « Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés ».

[63] Feuillet-Le Mintier Brigitte. Les fondements du secret médical. In: Revue juridique de l’Ouest, N° Spécial 2000. Les médecins libéraux face au secret médical. pp. 1-9. DOI : https://doi.org/10.3406/juro.2000.2549 

www.persee.fr/doc/juro_0990-1027_2000_hos_13_1_2549

[64] Article 12, Déclaration Universelle des Droits de l’Homme.

[65] Article 16, paragraphe 1, Traité sur le fonctionnement de l’Union Européenne.

Article 8, Charte des droits fondamentaux de l’Union Européenne.

[66] Articles 12 à 23, RGPD.

[67] Conseil national de l’ordre des médecins – Commission nationale de l’informatique et des libertés, Guide pratique sur la protection des données personnelles, Paris, juin 2018.