[Digital Business Africa – Avis d’expert – Par Laurent-Fabrice ZENGUE*] – En soutien à l’anamnèse[1] réalisée par le médecin d’un patient testé à la maladie à coronavirus (COVID-19), l’apport des données de santé du dossier médical personnel(dossier médical informatisé)[2] antérieur peut être d’une importance vitale en raison de ce qu’il permet d’identifier les facteurs de risque[3], lesquels sont déterminants dans le protocole de prescription et de soins du patient considéré.
Mais, ledit dossier, ayant vocation au partage, est devenu le dossier médical partagé[4], à mettre à disposition des médecins successifs, y compris dans le cadre particulier de l’itinérance thérapeutique entre l’Union européenne (UE) et le Cameroun, par exemple, soulève la problématique de son contenu qui relève des catégories particulières de données[5], anciennement appelées données sensibles, dans le grand ensemble des données à caractère personnel et dont, par conséquent, le transfert et le traitement sont appelés, dans le cas d’espèce, à être opérés dans deux espaces juridiques dont les systèmes de protection de données de santé relèvent de législations asymétriques car, dont celui destinataire ne disposant d’aucune loi protectrice.
Dès lors, il se pose la question de l’accès aux données de santé du patient, personne concernée par le traitement[6], pour des soins efficients, tout en évitant les risques juridiques sur le fondement de l’atteinte à la vie privée, pour défaut de protection de données à caractère personnel.
L’exercice de la médecine repose désormais sur l’usage d’algorithmes pour conduire des opérations, suivre des patients à distance, personnaliser des traitements au moyen de la détection des maladies en avance. D’où le recours au traitement, parfois à grande échelle, de données indispensables au fonctionnement et au perfectionnement des outils médicaux modernes.
A cet effet, il est manifestement opportun et inévitable de saisir la problématique de la collecte, le stockage et la circulation des données sanitaires en considération du facteur d’extranéité dont la place est fortement justifiée par l’activité des itinérances thérapeutiques partant de l’étranger pour le Cameroun et vice-versa. Cet aspect révèle donc les préoccupations qui naissent non seulement en raison de la protection des données nationales et des patients, mais aussi celles des étrangers résidents ou de passage au Cameroun.
A TITRE DE REMARQUES LIMINAIRES CONCEPTUELLES
La « donnée à caractère personnel »[7]
Au sens du RGPD, une « données à caractère personnel » est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La jurisprudence a ajouté à cette liste l’adresse IP (protocole Internet), au motif qu’une adresse IP, bien qu’étant attachée à une machine, ladite machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire[8]. C’est un cas d’identification indirecte car, la personne concernée est identifiable même si elle n’est pas identifiée. Cette extension rend la définition de donnée à caractère personnel très large en englobant diverses informations telles que le numéro de plaque d’immatriculation de véhicule, le numéro de téléphone, etc. Cette position rejoint l’esprit du RGPD[9] qui y ajoute les témoins de connexion («cookies») et les étiquettes d’identification par radiofréquence, pour ne citer que ces cas-là.
La donnée de santé[10]
Les données de santé sont des « données concernant la santé »[11], et qui font partie du grand ensemble de données à caractère personnel et du sous-ensemble de catégories particulières de données à caractère personnel. Elles sont définies comme, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.
Le « traitement » au sens du RGPD[12]
Un « traitement » est toute opération ou tout ensemble d’opérations effectuées sur des données ou des ensembles de données à caractère personnel. Les procédés de traitement peuvent être automatisés ou non. Il y a autant de traitements que d’opérations réalisées sur les données : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, transfert, rapprochement, interconnexion, limitation, effacement ou destruction, valorisation, rapprochement, interprétation, destruction, etc.
La qualité de responsable du traitement[13]
Dans le secteur de la santé, les responsables de traitement peuvent être les professionnels et établissements de santé, les structures et services de soins, les fournisseurs de solutions techniques, susceptibles de délivrer de l’information. Le responsable du traitement est la personne morale ou physique, l’autorité publique, le service ou tout organisme q