C. LA SÉCURTIÉ DES DONNÉES EN QUESTION
1. Des risques réels
a) L'interopérabilité des applications de bien-être avec les systèmes de DME
L'article 31 de la proposition de règlement prévoit que les applications de bien-être peuvent être conformes aux systèmes de DME en matière d'interopérabilité et de sécurité.
Le recours aux objets connectés et équipés de telles applications pour mesurer par exemple le nombre de pas effectués dans une journée ou le rythme cardiaque est de plus en plus fréquent.
Les données issues de ces objets connectés pourront être intégrées dans le dossier médical électronique par les patients bien que, selon la CNIL, il ne s'agisse pas de données de santé. Certes, elles ne permettent pas directement de déterminer l'état de santé de la personne mais, croisées avec d'autres données, elles peuvent devenir particulièrement probantes. Dès lors, il est difficile de demander aux patients et aux professionnels de santé de ne pas les utiliser.
Néanmoins, l'interopérabilité des systèmes de DME avec les applications de bien-être présente un risque pour les utilisateurs. En France, la société d'assurance Generali propose dès à présent un contrat dénommé Vitality qui permet aux assurés qui prennent soin de leur santé, selon l'analyse faite par des objets connectés offerts par Generali, de bénéficier de réductions auprès de marques partenaires. Si aujourd'hui il n'est pas possible en France d'offrir directement une réduction de la cotisation, ce type d'offre existe déjà en Allemagne. On imagine aisément les dérives d'un tel système s'il était mis en place sans le consentement des personnes concernées.
Pour rappel, les rapporteurs préconisent d'exclure les données issues des applications de bien-être du traitement secondaire des données de santé.
b) Le vol de données
Les cybercriminels ont un intérêt particulier pour les données de santé qu'ils savent pouvoir revendre sur le Dark Web à des prix intéressants.
Ceux-ci peuvent également exiger des rançons pour éviter la diffusion des données. Les hôpitaux de Corbeil-Essonnes et de Versailles ont ainsi été la cible de cyberattaques respectivement en août et décembre 2022.
En France, l'Autorité nationale en matière de sécurité et de défense des systèmes d'information (Anssi) évalue la fréquence d'un incident grave dans les établissements de santé français à plus d'un par semaine15(*). Toutefois, il s'agit là d'un phénomène mondial.
c) Les finalités de traitement détournées
Les données de santé peuvent être utilisées à d'autres fins que celles prévues lors de leur collecte, avec le risque que cela nuise aux personnes concernées.
Ainsi, en France, la société IQVIA a été autorisée par la CNIL à collecter au sein des pharmacies des données de santé à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé. Ce traitement devait reposer sur le consentement des personnes, les pharmaciens étant chargés contractuellement de recueillir ce consentement. En contrepartie, IQVIA s'engageait à leur fournir certains services. Une enquête du magazine Cash Investigation en 2021 a révélé que, dans la plupart des cas, les clients des pharmacies n'étaient pas informés et que les données collectées ont été utilisées pour améliorer la promotion de produits de santé, ce qui n'était pas l'objectif affiché par IQVIA.
2. La nécessaire certification des systèmes de DME par un organisme tiers
La proposition de règlement vise à établir un marché unique des systèmes de DME.
Les fabricants, importateurs et distributeurs de systèmes de DME devront veiller à ce que ceux-ci soient conformes aux spécifications que la Commission devra déterminer par un acte d'exécution, conformément à l'article 23 et à l'annexe II de la proposition de règlement. Ces systèmes devront garantir l'interopérabilité et la sécurité des données. Un système de DME ne respectant pas les spécifications prévues ne pourra pas être mis sur le marché. Les fabricants, importateurs et distributeurs seront en charge de la certification des systèmes de DME qui indiquera qu'ils respectent les spécifications prévues. Les États membres désigneront une autorité nationale chargée de la surveillance du marché des systèmes de DME.
La proposition de règlement prévoit également la création d'une base de données européenne où seront enregistrés les systèmes de DME certifiés.
Les rapporteurs estiment que ce système d'auto certification des systèmes de DME n'est pas suffisant pour garantir la sécurité des données. Ils préconisent la mise en place d'un système de certification par un tiers, à savoir un organisme notifié et enregistré au niveau de l'Union européenne.
3. L'hébergement souverain des données de santé
Dans sa résolution européenne n° 140 (2022-2023) sur la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données, le Sénat préconise l'hébergement souverain sur le territoire de l'Union des données de santé afin de les protéger contre l'application extraterritoriale de législations non-européennes. Il souligne en outre que le caractère souverain exige que le service soit fourni par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes ne sont pas majoritaires.
Les rapporteurs souscrivent à ces préconisations.
En parallèle, l'entrée en vigueur de la directive SRI 216(*) récemment adoptée devrait permettre d'élever le niveau commun de sécurité en renforçant les outils de surveillance, les capacités des États membres et la coopération en la matière.
4. Le transfert de données à caractère personnel vers des États tiers
L'article 45 du RGPD prévoit que la Commission, après avoir évalué le caractère adéquat du niveau de protection des données dans un État tiers, peut autoriser le transfert de données à caractère personnel vers celui-ci par le biais d'un acte d'exécution. Celui-ci est pris dans le cadre d'une procédure d'examen où un comité composé de représentants des États membres a un rôle décisionnel.
La Commission européenne a déjà adopté à deux reprises un acte d'exécution autorisant un tel transfert vers les États-Unis, le Safe Harbor en 2015 et le Privacy Shield en 2020, tous deux successivement invalidés par la Cour de justice de l'Union européenne (CJUE) qui a jugé que le niveau de protection des données aux États-Unis n'était pas suffisant pour équivaloir à celui garanti par le RGPD en Europe.
Un nouveau projet d'acte d'exécution est actuellement en discussion. Cette proposition de règlement d'exécution prévoit que les données de santé à caractère personnel transférées vers les États-Unis sont considérées comme sensibles et ne peuvent être utilisées pour un motif autre que celui pour lequel elles ont été collectées sans l'accord exprès et explicite de la personne physique concernée. Cette disposition ne s'applique pas dans le cas où il s'agit de protéger les intérêts vitaux de la personne. Le texte précise également que la législation des États-Unis offre des garanties suffisantes pour éviter que des entreprises puissent prendre des décisions préjudiciables aux personnes physiques sur la base de données de santé traitées de manière illicite. Ce n'est pas l'avis du Comité européen pour la protection des données qui relève de nombreuses inadéquations entre le droit des États-Unis et le droit européen. Selon l'avocat Max Schrems qui a déjà porté devant la CJUE les deux précédents actes d'exécution et qu'a récemment entendu la commission des affaires européennes du Sénat17(*), ce nouveau projet d'acte d'exécution a encore une fois peu de chances de satisfaire les exigences de la CJUE.
En tout état de cause, une sécurité à l'égard du transfert de données de santé vers les États tiers est apportée par l'article 9, paragraphe 4, du RGPD qui prévoit que les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.
5. Le transfert de données à caractère non personnel
L'article 5, paragraphe 13, du règlement (UE) n° 2022/868 prévoit que la Commission est habilitée à adopter des actes délégués fixant des conditions particulières applicables au transfert vers des États tiers des données de santé à caractère non personnel.
En parallèle, la proposition de règlement précise que les données de santé sont considérées comme hautement sensibles lorsque leur transfert vers des pays tiers, dans le cadre d'un traitement à des fins d'utilisation secondaire, peut présenter un risque de réidentification des personnes physiques concernées.
Pour les rapporteurs, le transfert de données de santé à caractère non personnel vers un État tiers doit faire l'objet du consentement de la personne concernée qui peut être recueilli lorsque la personne consent au traitement de ces données de santé à des fins d'utilisation secondaire, et dans les mêmes conditions.
* 15 https://www.lepoint.fr/high-tech-internet/pourquoi-les-hopitaux-sont-les-cibles-des-hackers-08-12-2022-2500948_47.php
* 16 Directive (UE) n° 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148.
* 17 https://www.senat.fr/compte-rendu-commissions/20230123/euro.html#toc2