Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
NOUVELLES TECHNOLOGIES
Dossier
Auteur(s) : Hélène Rose
Fonctions : 72, rue du 11-novembre-1918
94700 Maisons-Alfort
Le développement de la santé connectée va s’accompagner d’une accumulation de données à caractère personnel, que la profession vétérinaire se doit de protéger pour maintenir un lien de confiance avec les propriétaires des animaux confiés.
La protection des données à caractère personnel est au cœur de nombreux débats liés à l’évolution de nos sociétés, de nos modes de consommation et de nos pratiques sur Internet. Autant nous pouvons nous montrer réticents à donner nos nom et adresse à une personne croisée dans la rue, autant nous fournissons ces données de manière quasiment automatique aux nombreux sites internet qui nous les demandent ou pour toutes sortes de cartes de fidélité.
Kim Boyer, doctorante en droit de la protection sociale à l’université Paris 2 Panthéon-Assas, s’interroge : « Qui est, aujourd’hui, le propriétaire des données de ma santé ? Ni tout à fait moi-même, ni tout à fait l’organisme ou l’entreprise qui les collecte. Le législateur s’efforce de maintenir, dans la durée, un subtil équilibre entre les deux. »
Si les géants américains du Web que sont Google, Apple, Facebook, Amazon et Microsoft (les Gafam) sont des collecteurs de données quasiment incontournables, s’appuyant sur un droit américain très libéral sur la protection des données (chacun étant considéré comme le principal acteur de sa protection), les vétérinaires, à une autre échelle, sont également des collecteurs de données, fournies par les propriétaires des animaux qu’ils soignent. À ce titre, ils sont donc concernés par le règlement du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard des données à caractère personnel et à la libre circulation des données (connu sous l’acronyme RGPD), entré en vigueur en France le 25 mai 2018.
Si la protection des données à caractère personnel figurait déjà à l’article 8 de la Charte des droits fondamentaux de l’Union européenne (UE) - « Toute personne a droit à la protection des données à caractère personnel la concernant » -, l’adoption du règlement général sur la protection des données (RGPD) harmonise les réglementations des pays membres vis-à-vis de cette protection. Il rappelle la définition de ces données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable ». Il répond aussi à une volonté de créer un marché unique numérique en Europe : l’économie européenne fondée sur les données pourrait représenter 3,7 % du PIB global de l’UE d’ici 2020 (soit 643 milliards d’euros), selon la Commission européenne.
Le RGPD concerne tous les acteurs économiques et sociaux proposant des biens et des services sur le marché de l’Union européenne dès lors que leur activité traite des données personnelles sur les résidents de l’Union européenne. Il donne davantage de contrôle et de visibilité aux individus sur leurs données privées : la nature des données collectées, la finalité, la durée de conservation, le droit à leur portabilité.
La responsabilité des entreprises est renforcée (encadré). Chacune doit pouvoir, à un instant t, savoir où sont les données et comment les transmettre, sur simple demande, à la personne concernée.
Le RGPD introduit aussi le principe de protection de la vie privée dès la conception de la technologie, avec une standardisation des procédures pour intégrer cette dimension dès le départ pour les développeurs d’applications et d’objets connectés.
S’ils sont protégés en tant que citoyens par les dispositions du RGPD, qui vient renforcer des réglementations déjà existantes (en France, la loi informatique et libertés, déjà retravaillée plusieurs fois depuis son adoption en 1978, pour se conformer à l’évolution de la société et à plusieurs directives), les vétérinaires sont également concernés en tant que dirigeants d’entreprises collectant et stockant des données à caractère personnel dans leurs fichiers clients. Certaines de ces données concernent directement les propriétaires des animaux (nom, adresse e-mail, etc.), d’autres les animaux eux-mêmes (résultats d’analyse sanguine, transmis directement sous forme dématérialisée au serveur de la structure vétérinaire par les nouveaux analyseurs, examens d’imagerie numérique, etc.) (photo 1).
Le site de l’Ordre national des vétérinaires résume les obligations des praticiens. Comme pour toutes les petites et moyennes entreprises (PME), elles sont moins nombreuses que pour les grandes entreprises. Il est nécessaire :
- de recenser les données personnelles collectées et leurs traitements, principalement dans les différents fichiers clients ;
- de mettre en œuvre des mesures techniques, en partenariat avec le prestataire informatique, et des procédures internes pour assurer la protection des données ;
- d’informer les personnes du traitement de leurs données : le consentement éclairé des individus est en effet renforcé par le RGPD, et le site conseille de le matérialiser par la signature d’un formulaire de consentement, dont il donne un modèle.
Au regard du droit français, les données de santé des personnes constituent des données dites sensibles ; elles méritent une protection accrue, eu égard à leur nature, car elles touchent au plus intime de l’individu. Les personnes n’en sont cependant pas propriétaires, mais en ont l’usufruit : les données de santé, produits du corps humain, ne peuvent pas être commercialisées. Elles doivent être anonymisées pour être traitées et analysées. Le statut des données de santé des animaux détenus par leurs propriétaires serait à réfléchir. D’autant que le développement des objets connectés et des applications de santé pour les animaux est susceptible d’apporter plus ou moins directement des informations sur leurs propriétaires. Cette classification ne concerne pas, a priori, les données de santé des animaux, ce qui pourrait entraîner des dérives commerciales (photo 2).
Une défaillance d’un objet connecté pourrait entraîner un problème de santé. La recherche de responsabilité impliquerait alors de s’intéresser à des acteurs plus nombreux : le professionnel de santé prescripteur, les éditeurs du logiciel ou de l’application, le fabriquant du matériel, ou l’utilisateur, en l’occurrence le propriétaire ou le détenteur de l’animal. Ainsi, le manque de formation et d’application des bonnes pratiques dans l’utilisation des logiciels a déjà été pointé du doigt à la suite du décès d’une patiente en 2011. Et nous parlons ici de dysfonctionnement non intentionnel, et non de piratage.
Des ressources humaines sont à consacrer à la maintenance, à l’assistance technique et à la coordination entre les professionnels : l’automatisation des données offre des possibilités nouvelles de prise en charge, mais doit s’accompagner d’un support technique adapté. De très nombreux points sont à préciser. La création de labels étatiques ou intraprofessionnels, issus de l’Ordre, et une réflexion poussée sur les bonnes pratiques aideraient à accompagner les changements rapides qui se mettent en place, tout en maintenant la qualité des prestations délivrées.
La place du secret professionnel dans un système où l’échange d’information et l’accès généralisé aux données domineraient en médecine vétérinaire est une question qui mérite une réflexion collective de la profession.
La question de l’utilisation potentielle des données collectées par les objets connectés et les applications santé par les compagnies d’assurance privées (et même par l’Assurance maladie) se pose en médecine humaine. À terme, elles pourraient amener à contrôler la conduite des personnes malades, en ne les remboursant que si elles adoptent un comportement jugé responsable. Les mêmes dérives pourraient potentiellement être transposées aux assurances santé pour les animaux, même si leur souscription reste actuellement limitée en France.
Si les mesures auxquelles les vétérinaires sont soumis depuis la mise en application du RGPD sont plus simples que pour les grandes entreprises, le développement de la santé connectée entraînera une augmentation du flux des données personnelles, que la profession se devra de protéger et de contrôler, pour que ces dernières permettent une amélioration de la santé des animaux qui nous sont confiés, tout en respectant la vie privée de leurs propriétaires.
Aucun.
Pour préparer la mise en application du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (Cnil) avait mis à disposition sur son site internet des informations pour que les entreprises puissent s’y préparer. Depuis la mise en application du RGPD en France, elles ont pris un caractère obligatoire :
- désigner un délégué à la protection des données. Chef d’orchestre de cette protection, il est aussi le principal correspondant des organismes de contrôle ;
- cartographier les traitements des données personnelles, en recensant les types d’informations collectées dans un registre des traitements ;
- prioriser les actions à mener au regard des obligations actuelles et à venir, selon les risques que font peser les actions de l’entreprise sur les droits et les libertés des personnes concernées ;
- gérer les risques, en effectuant une analyse d’impact relative à la protection des données ;
- organiser des procédures internes pour garantir la prise en compte de la protection des données à tout moment ;
- documenter la conformité en réunissant tous les documents nécessaires et en les actualisant régulièrement.
- Ologeanu-Taddei R, Morquin D. La télémédecine pour tous, c’est pour demain… ou après-demain ! The Conversation France. 2017:5p.
- Boyer K. Qui est le propriétaire des données de ma santé ? The Conversation France. 2018:5p.
- Gondolo J. Le RGPD vu des deux côtés de l’Atlantique : des divergences philosophiques inconciliables ? The Conversation France. 2018:5p.
- Petit Y. RGPD : l’Union européenne entre de plain-pied dans l’ère du numérique. The Conversation France. 2018:6p.
- Lécu A. Débat : les données de notre santé doivent rester confidentielles. The Conversation France. 2018:4p.
- Hussar C. La responsabilité civile du vétérinaire. Éditions Med’Com, Paris. 2015:64p.
- https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
- https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-questions-sur-larrivee-du-rgpd