Données de santé : définition et cadre juridique

Que sont les données de santé, comment sont-elles classifiées et quel est le cadre juridique qui leur est applicable ? Aumans Avocats, cabinet spécialisé notamment dans le droit de la protection des données répond à ces questions d’actualité.

1/ Définition et caractéristiques des données de santé

Le champ de la notion de données de santé1 est particulièrement large et recouvre l’état physique ou mental, passé, présent ou futur de toute personne physique. L’article 4(15) du RGPD2 définit les données de santé comme toute les « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Cette définition comprend notamment les aspects suivants :

  • Le numéro, identifiant ou symbole attribué à un individu aux fins de l’identifier à des fins de traitement
  • Les maladies, symptômes, handicaps, risques de maladie, antécédents médicaux
  • Les résultats d’examens médicaux (analyse biologique, imagerie, etc.)
  • Les comptes rendus médicaux et hospitaliers
  • Les prescriptions et ordonnances (médicamenteuses, scanner, IRM, etc.)
  • Les informations génétiques
  • Les données biométriques utilisées pour l’identification (empreintes digitales, rétine)
  • Les données sur les habitudes de vie (alimentation, activité physique, consommation d’alcool, de tabac, etc.).
  • Les informations relatives à un traitement clinique ou un état psychologique
  • Les réponses à un questionnaire (allergie, grossesse)
  • Les données générées par les dispositifs médicaux (taux de glycémie, apnée du sommeil, etc.)
  • Les informations issues de prélèvements (tissues, sang, fluides, etc.)

2/ Origine et classification des données de santé

Les données de santé sont classées comme telles, indépendamment de leur origine : elles peuvent provenir d’un hôpital, d’un médecin, d’un objet connecté ou d’un laboratoire. Ce qui importe ici est leur lien direct ou indirect avec la santé d’une personne.

Ces données, catégorisées comme « données sensibles » peuvent révéler des informations intimes sur une personne. Une utilisation illicite de telles données pourrait entraîner des répercussions graves sur les droits et libertés des personnes concernées. C’est pourquoi leur classification comme « catégorie particulière de données »3 au sens du RGPD vise à les distinguer des données personnelles en raison de leur nature, de leur sensibilité et des risques particuliers liés à leur traitement. Cette distinction permet de leur appliquer un régime juridique renforcé d’une part avec des bases légales spécifiques comme le consentement explicite ou l’intérêt public, mais aussi de s’assurer d’autre part qu’elles bénéficient d’un niveau de protection plus élevé.

A ce titre, il est intéressant de noter que la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt en date du 4 octobre 2024 (C21-23)4 dans lequel elle a interprété la notion de données de santé dans le cadre de la vente de médicaments – avec ou sans prescription médicale – par des pharmacies en ligne. La Cour a ainsi estimé que les informations collectées lors de la commande de médicaments – même lorsque leur vente n’exige pas de prescription médicale – doivent être considérées comme des données de santé. Cela inclut des données personnelles comme le nom ou l’adresse, dès lors qu’elles sont utilisées dans un contexte révélant des éléments sur l’état de santé d’une personne.

En l’espèce, lors d’une commande en ligne, ces informations permettaient de lier un individu à un médicament spécifique, à ses indications thérapeutiques ou à son usage. Ainsi, bien que ces données ne paraissaient pas directement liées à la santé au premier abord, leur association avec des informations sur les médicaments suffisait à les qualifier de données de santé. Par conséquent, elles doivent être traitées en respectant le régime et les exigences applicables aux données de santé.


3/ Cadre juridique applicable aux données de santé en France


Malgré une interdiction de traitement de principe, l’article 9 du RGPD prévoit plusieurs bases légales pour le traitement des données de santé, notamment :

  • Le consentement explicite de la personne concernée : la personne concernée doit donner son consentement libre, spécifique, éclairé et univoque. Selon les lignes directrices de l’EDPB5 (CEPD) sur le consentement, une personne dont les données de santé ont vocation à faire l’objet d’un traitement doit pouvoir choisir librement de l’accepter ou de le refuser, sans subir de pression ou de conséquences négatives. Ce consentement doit être donné pour un ou plusieurs traitements bien précis. La personne concernée doit recevoir suffisamment d’informations pour comprendre exactement ce à quoi elle consent. Cette transparence est essentielle pour lui permettre de prendre une décision éclairée. Enfin, le consentement doit être exprimé de manière active.
  • Sauvegarde des intérêts vitaux de la personne concernée.
  • Intérêt public dans le domaine de la santé publique.
  • Recherche scientifique : Selon les lignes directrices du CEPD portant sur le consentement, la recherche scientifique « correspond à un projet de recherche établi conformément aux normes méthodologiques et éthiques du secteur en question conformément aux bonnes pratiques »6
  • Médecine préventive ou du travail

Cette question de la base juridique doit être appréhendée selon qu’il s’agit d’une « utilisation primaire » (par exemple l’utilisation directe des données de santé dans le cadre de soins) ou d’une utilisation « secondaire » (qui consiste à traiter ultérieurement des données initialement collectées pour d’autres finalités). Ce type de traitement est particulièrement courant dans le contexte des entrepôts de données de santé (EDS)7, qui permettent de centraliser des données pour les mettre à disposition de projets comme la recherche scientifique. Ces entrepôts jouent donc un rôle clé dans l’exploitation des données pour des usages diversifiés tout en respectant les exigences du RGPD.


4/ Le rôle clé de la CNIL en matière de données de santé

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) joue un rôle capital pour garantir le respect des obligations du RGPD et de la loi Informatique et Libertés.

Ses missions incluent plus particulièrement dans le domaine de la santé :

  • La publication de référentiels spécifiques (pour les entrepôts de données de santé par exemple.)
  • L’accompagnement des acteurs
  • L’adoption de sanctions par sa formation restreinte pour des manquements au RGPD et à la loi Informatique et Libertés, etc., qu’ils soient le fait d’organismes publics ou privés.
  • La publication de méthodologies de références, fiches pratiques, actualités, etc.


Plus généralement, la CNIL joue un rôle clé auprès des acteurs concernés, afin de diffuser plus activement ses outils et de les sensibiliser au respect de la législation et de la règlementation applicable. Le cadre actuel issu du RGPD et de la LIL pourrait aussi évoluer de manière importante dans les prochaines années, au vu notamment des suites réservées à sa consultation publique lancée en 2024 au sujet des méthodologies de référence.


  1. https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante ↩︎
  2. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 ↩︎
  3. https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9 ↩︎
  4. https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=4250678 ↩︎
  5. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr ↩︎
  6. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr ↩︎
  7. https://www.cnil.fr/fr/traitements-de-donnees-de-sante-comment-faire-la-distinction-entre-un-entrepot-et-une-recherche-et ↩︎

Spécialiste du droit de la protection des données personnelles, Aumans Avocats accompagne de nombreux acteurs de la santé, notamment pour de l’accompagnement juridique e-santé.

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36