Trouver un équilibre entre santé et protection des données personnelles : considérations opérationnelles et politiques
Les institutions de santé publique ont de plus en plus besoin de trouver un équilibre entre les droits fondamentaux et les principes associés à la protection des données. Afin d’aborder cette question, l’OMS/Europe a publié des étapes faciles à mettre en œuvre pour permettre à tout organisme de santé publique de mieux respecter les règles en matière de protection des données.
Ce document, intitulé The protection of personal data in health information systems – principles and processes for public health (« La protection des données personnelles dans les systèmes d’information sanitaire - Principes et procédures en santé publique », en anglais uniquement), s’inscrit dans les travaux de l’OMS/Europe visant à soutenir les États membres dans le renforcement de leurs systèmes d’information sanitaire.
Le respect des exigences en termes de protection des données est particulièrement difficile pour les institutions impliquées dans la gestion de ces systèmes. Non seulement la pression réglementaire relative au traitement des données personnelles n’a cessé de croître au cours des dernières décennies, mais les avancées technologiques en matière de surveillance, de « big data » et de stockage des données dans le cloud posent aussi des difficultés nouvelles.
Responsabiliser les citoyens par le respect de la protection des données
Pour que la législation et la réglementation en vigueur en matière de protection des données soient pleinement respectées, les autorités de santé publique doivent veiller à utiliser les données personnelles, soit toute information relative à une personne identifiée ou identifiable, d’une manière équitable, légale et transparente, et uniquement dans la mesure du nécessaire et au service d’un intérêt public lié à la santé.
Les auteurs mettent en garde sur le fait que les chercheurs exploitent souvent le consentement éclairé des personnes concernées pour légitimer le traitement de leurs données personnelles. Toutefois, le consentement éclairé n’est pas la seule base juridique permettant de protéger des données. Il est aussi nécessaire que les personnes disposent d’un vrai choix, d’un contrôle et qu’elles expriment clairement leur volonté.
En tant que principe fondateur des lois modernes régissant la protection des données, la transparence signifie être honnête avec les personnes concernées, par exemple en publiant la politique de protection des données sur les sites internet et en utilisant un langage accessible. Dans un monde où les entreprises de haute technologie traitent de grandes quantités de données personnelles, seuls les citoyens éduqués et responsabilisés seront capables d’exercer leurs droits, notamment le droit à l’accès aux données qui les concernent, le droit à l’oubli et le droit d’opposition.
Protéger les données dans le domaine de la santé publique
Considérée comme un intérêt vital, la santé publique dispose d’une base juridique privilégiée concernant le traitement des données, qui peut inclure l’utilisation secondaire des données personnelles aux fins de la gestion des systèmes d’information sanitaire. Néanmoins, une cause louable, comme la protection de la santé publique, ne justifie en rien l’abaissement des normes de sécurité des technologies de l’information.
Dans l’objectif de garantir cette sécurité et de limiter le risque de violation des données, les auteurs recommandent de vérifier continuellement la conformité, en veillant à ce que les données soient toujours chiffrées, en procédant à des tests d’intrusion par un tiers et en mettant au point des plans de reprise d’activitéen cas de sinistre informatique.
Les données sanitaires, notamment les données portant sur les différents déterminants de la santé, constituent une ressource importante pour l’élaboration de politiques, la gestion des systèmes de santé et la recherche. Lors de l’élaboration de politiques en matière de santé publique, l’utilisation secondaire des données revêt une importance capitale. Si possible, les données personnelles doivent être agrégées et rendues anonymes à la source ; or, pour que ces données soient véritablement anonymes, les auteurs soulignent qu’un tel processus doit être irréversible.
En ce qui concerne le statut privilégié de la recherche, qui est un droit fondamental inscrit dans la Constitution de nombreux pays, les activités de recherche doivent être clairement dissociées des activités de traitement des données à des fins d’élaboration de politiques.
Mettre au point un système de gestion de la protection des données dans le domaine de la santé publique
Les auteurs concluent que la protection des données n’est pas si complexe, mais qu’elle exige un savoir-faire juridique et technique, un soutien au plus haut niveau de gestion, l’affectation des ressources adéquates et la formation de tous les professionnels impliqués dans le traitement de données personnelles.
En outre, la protection des données n’est pas une activité comme les autres : elle doit être intégrée dans tous les aspects de la gestion des systèmes d’information sanitaire. C’est pourquoi les autorités de santé publique doivent éduquer leurs agents sur les méthodes permettant de trouver un équilibre entre les droits fondamentaux en jeu en vue de responsabiliser les citoyens en les sensibilisant à l’importance du traitement des données dans les activités de santé publique et d’établir des critères éthiques et juridiques pour les situations exceptionnelles comme la pandémie de COVID-19.
D’un point à l’autre de l’Europe, les autorités de santé publique doivent avoir à l’esprit que les risques associés aux infractions aux règles de protection des données sont nombreux et qu’ils ont pour conséquence première des atteintes à la réputation et des amendes. Si la prise en compte de toutes les considérations opérationnelles et politiques semble irréaliste, le plus important est de progresser pas à pas.
Pour davantage d'informations sur les activités de l'OMS/Europe dans ce domaine, veuillez contacter l'unité Données, paramètres et analyses
(euhiudata@who.int).