• Aurelie de myDiabby

Suivi médical connecté et RGPD, que dit la loi ?

Mis à jour : 16 sept. 2019



L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) à caractère personnel en Mai 2018 a permis de faire évoluer le cadre légal du développement de solutions collectant ou traitant des données de santé. Succédant aux déclarations à la CNIL, le RGPD se veut plus transparent pour les utilisateurs et homogénéise le système de protection des données au niveau européen.


En tant que patient utilisateur d’applications mobiles de santé, puis-je disposer de mes données ? En tant que professionnel, ai-je le droit d’utiliser une plateforme web en libre accès pour traiter les données de mes patients ?


Voici un décryptage des grandes lignes du RGPD qui peuvent vous intéresser.



Données personnelles: Définition


« Les données à caractère personnel sont l’ensemble des informations se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un numéro d’identification, un identifiant en ligne ou un ou plusieurs éléments spécifiques propres à son identité. »

Cela signifie que les informations relatives à l’état de santé (suivi médical, données biologiques, antécédents, maladie, handicap…) d'une personne qui se crée un compte avec un identifiant et un mot de passe et ses nom et prénom permettant de l’identifier sont à caractère personnel.

Le traitement des données personnelles, comme par exemple leur enregistrement, leur transfert, leur conservation, leur utilisation par un tiers, confère des droits à la personne dont elles émanent.


Droits d’information


La personne à qui les données se rapportent a le droit d’être informée sur:


> Les finalités du traitement des données (pour quoi faire ?)

Tout dispositif collectant des données de santé doit indiquer à quoi elles vont être utilisées.

Au-delà de l’objectif évident de pouvoir utiliser le service proposé en lui-même (par exemple créer le compte utilisateur d’une application, permettre le recueil des mesures de paramètres biologiques par un appareil), il est nécessaire que soient précisés les autres usages qui seront faits des données, notamment par un tiers, afin que la personne concernée puisse y consentir ou non: utilisation statistique, utilisation à des fins de recherche et développement, envoi de lettres d’information, transfert à une équipe médicale pour le cas de la télémédecine …


> Le responsable du traitement des données (qui ?) Le responsable du traitement des données est la structure ou l’entreprise qui réalise le traitement des données personnelles collectées, tels que les fournisseurs de services ou de logiciels.

Chaque fournisseur de services doit désigner un responsable des données (DPO pour Data Protection Officer) qui doit pouvoir être contacté facilement par ses utilisateurs.


> Les caractéristiques du traitement (comment ?)

Comment les données sont-elles collectées ? Où sont-elles hébergées ? Qui y a accès ? Etc…

Le traitement des données de santé d’une personne physique n’est reconnu licite que s’il est explicitement consenti par un choix éclairé. L’ensemble de ces informations doivent donc être disponibles.



Droits d’accès


La personne physique dont les données sont collectées doit pouvoir:

> Accéder à ses données

> Exporter facilement ses données pour lui-même

> Exporter facilement ses données pour un tiers, dans un format couramment utilisé, lisible et permettant une exploitation des données (portabilité), ou obtenir que ses données soient directement transférées à un tiers.

Dans un cas concret, cela signifie qu’un professionnel de santé peut accéder aux données de son patient si celui-ci désire les partager avec lui, sur quelque support que ce soit, numérique ou non.



Droits de modification


Il est également obligatoire de pouvoir demander:

> La modification de ses données, notamment la rectification d’informations inexactes.

> L’effacement de ses données, notamment lorsque leur traitement n’est plus nécessaire ou lorsque l’utilisateur a retiré son consentement.

Par exemple, si un patient sort d’un protocole d’étude clinique ou se désinscrit d’une application mobile de santé.



Droit d’exploitation des données


L’individu à qui les données se rapportent est le seul à pouvoir en contrôler l’exploitation. Aucun fournisseur ou prestataire ne peut réclamer la propriété des données collectées auprès de l’utilisateur de ses produits ou services.

Ainsi, un patient utilisant un dispositif recueillant ses données biologiques ou des informations de santé sur lui peut choisir de les utiliser et de les partager comme il le souhaite, en utilisant les supports de son choix (application, plateforme…).



L’engagement myDiabby


La plateforme myDiabby Healthcare permettant le suivi de personnes diabétiques par leur équipe médicale respecte bien sûr les principes du RGPD.


> Droit d’information: mise à disposition des utilisateurs de la politique de traitement des données, demande de consentement à l’inscription sur la plateforme, pour le partage des données de santé avec l’équipe médicale, et demande de consentement supplémentaire pour intégrer le programme ETAPES en respect du cahier des charges établi par le Ministère de la Santé.


> Droit d’accès et portabilité: données accessibles aux utilisateurs, bouton d’export des données au format PDF ou CSV, échange de données entre patient et équipe soignante via une messagerie sécurisée (plateforme de télésurveillance).


> Droit de modification: modification et suppression des données possible par l’utilisateur ou via l’équipe support myDiabby.


> Droit d’exploitation: l’ensemble des données collectées (glycémie, insulinothérapie, habitudes alimentaires, suivi médical…) n’appartiennent pas à myDiabby ni à aucun autre fournisseur (fabricant de lecteurs de glycémie ou de pompes à insuline). Le patient est libre d’utiliser ses données comme il le souhaite.

En savoir plus

Note du cabinet d’avocats Herald

A propos du RGPD