Comment définir une donnée de santé (qui devra bénéficier d’une protection particulière) ? Le RGPD les définit comme l’ensemble des données se rapportant à l’état de santé d’une personne qui révèlent des informations sur son état de santé physique ou mentale, passé, présent ou futur. A quoi cela se rapporte-t-il exactement ? Décryptage.
La notion de données de santé est large et peut se rapporter à trois catégories :
Les données de santé par nature
Il s’agit de toutes les données purement médicales et généralement les éléments du dossier médical d’une personne.
Les données de santé par nature comprennent ainsi les informations relatives à une personne physique, collectées lors de son inscription en vue de bénéficier des services de soins de santé, les informations obtenues lors du test ou lors de l’examen d’une partie du corps ou d’une substance corporelle, ou encore les informations concernant une maladie ou un handicap.
Exemple : les traitements administrés, les résultats d’examens, l’état physiologique ou biomédical
Les données qualifiées de santé au regard de la finalité de leur traitement
Certaines données, en raison de la raison pour laquelle elles sont traitées sur le plan médical, deviennent des données de santé.
Ainsi, le Comité Européen de la Protection des Données indique que le fait, pour un hôpital, d’installer une caméra afin de surveiller l’état de santé d’un patient serait considéré comme un traitement de données de santé car les images du patient permettraient de déduire son état de santé.
Les données traitées qui peuvent être rattachées aux données de santé
Il s’agit des données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé car elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne.
Exemple : croisement d’une mesure de poids avec d’autres données telles que la taille pour déterminer l’IMC d’une personne, un taux d’invalidité qui permet de révéler qu’une personne est atteinte d’un handicap
S’il n’est pas possible de tirer une conséquence sur l’état de santé de la personne, les données ne sont pas des données de santé (exemple : la simple collecte du nombre de pas).
Les deux dernières catégories peuvent regrouper un grand nombre de données.
A noter :
– la qualification de données de santé est indépendante de la source de la donnée ;
– la CNIL considère que le numéro de sécurité sociale n’est pas une donnée de santé.