L’étude de l’Encadrement juridique de la gestion électronique des données de santé intervient dans le contexte où le Sénégal vise à informatiser le secteur de santé pour l’amélioration de la prestation de services de soins, de la circulation des informations par voie électronique, de la gestion efficiente du système de santé et de la protection des données de santé conformément au plan stratégique santé digitale 2018-2023.
L’encadrement juridique de la gestion électronique des données de santé doit nécessairement promouvoir une politique et des pratiques efficaces en matière de collète et traitement des données des citoyens, de l’administration publique et du secteur privé d’une part et d’autre part, tenir compte de l’impact de la télémédecine, le big data, les objets connectés… de tous les droits numériques tels que la vie privée et les données personnelles.
À cela s’ajoute une croissance exponentielle d’acteurs non régulés comme les GAFAM qui s’intéressent de plus les données de santé ou moins régulé comme les hébergeurs des données de santé et la divulgation, l’utilisation détournée, la manipulation par des personnes non habilitées, le risque de piratage informatique et l’utilisation des données à des fins commerciales, etc.
L’ensemble de ces facteurs incitent les autorités du secteur du numérique à s’interroger : Quel encadrement juridique faudrait-il adopter pour garantir davantage la protection des droits et libertés des individus dans la gestion électronique des données de santé devenues indispensables dans l’évolution actuelle de la société ?
La méthodologie qui a été adoptée pour cette étude comprend essentiellement la recherche documentaire, de données disponibles auprès des bibliothèques en ligne.
Ce travail scientifique est le résultat d’une étude sur « l’Encadrement juridique de la gestion électronique des données de santé au Sénégal » afin de mieux régulé les données de santé.
En outre, une étude sur l’Encadrement juridique de la gestion électronique des données de santé nécessite une note introductive des TIC dans le secteur de la santé et une bonne compréhension des concepts qui ne sont pas souvent familiers aux lecteurs (I). C’est dans cette suite logique que des éléments de réponse mériteraient d’être apportés à la problématique de l’encadrement juridique de la gestion électronique des données de santé.
L’Etat, acteur principal de la protection des données de santé intervient pour encadrer la collecte et le traitement des données de santé dans un cadre normatif (II) et institutionnel (III). Des risques potentiels peuvent résulter des programmes de collecte et de traitement des données de santé (IV). Pour une protection efficace de la gestion électronique des données de santé nous proposons de recommandations à l’endroit des parties prenantes concernées (administration, secteur privé) (V).
I. Note introductive des TIC dans le secteur de santé
Les Technologies de l’Information et de la Communication (TIC) se développent rapidement et sont de plus en plus intégrées dans le quotidien des sénégalais. En effet, le Gouvernement du Sénégal développe activement l’usage généralisé des TIC dans la vie quotidienne au Sénégal à travers ses différentes initiatives nationales telles que décrites dans sa stratégie « Sénégal Numérique 2025 », adossée au référentiel de développement du Plan Sénégal Emergent (PSE), adopté en 2012. Cela ajoute le plan stratégique santé de digitale 2018-2023. Ces initiatives entraînent une digitalisation du secteur de santé.
L’utilisation des TIC en faveur de la santé, dénommée « Santé Digitale », vise l’amélioration de la prestation de services de soins, de la circulation des informations par voie électronique et de la gestion efficiente du système de santé. Le développement de la santé digitale représente une opportunité extraordinaire pour le Sénégal.
La santé digitale est un instrument puissant pour permettre à tous un meilleur accès à la santé et ainsi contribuer à l’atteinte des objectifs de développement durable des Nations Unies. L’utilisation des TIC assurera une meilleure équité dans l’accès aux soins de santé (télémédecine pour un accès électronique aux soins, m-Santé pour notamment améliorer la prévention et la promotion de la santé). Les solutions de santé digitale réduiront les distances en permettant de connecter les patients et les structures de santé aux spécialistes. Enfin, la santé digitale contribue à remettre le citoyen et le patient au centre de l’acte médical. Le numérique doit faciliter la mise en œuvre de la stratégie de la carte sanitaire mais de manière plus large, renforcer l’accès à la santé à plusieurs niveaux : l’offre de soins, la traçabilité du patient, la formation continue du personnel de santé, la promotion de la santé, la prise en charge et la prévention des maladies, la gouvernance sanitaire à travers la collecte de données sanitaires en temps réel, la dématérialisation du parcours du patient, et la responsabilisation des patients par un accès accru à l’information de santé.
Toutes ces informations montrent que le Sénégal est bien dans la dynamique d’utiliser les technologies au service de la santé. Et cette dernière est considérée comme le domaine qui regorge de données personnelles qui sont en fait des données sensibles. En effet, qui parle de technologie, dit traitement automatisé des données personnelles. L’utilisation des technologies dans le domaine de la santé traite avec une quantité considérable des données personnelles des patients, classées sensible. C’est dans ce cadre que Maître Frédéric Forster, Avocat à la Cour d’appel de Paris, affirme que : « C’est cette collecte massive de données à caractère personnel qui est souvent présentée comme étant la contrepartie de la gratuité des services sur internet, le « produit » étant la personne qui communique ses données aux différents acteurs de l’internet ».
En effet, l’informatisation dans le secteur de santé implique pour tous les utilisateurs la fourniture d’informations sensibles, condition sine qua none pour accéder aux technologies, telles qu’Internet, la téléphonie mobile et autres objets connectés. C’est à juste raison que le professeur Abdoulaye SAKHO soutient « qu’il n’y a pas de secteur du numérique, c’est la forme d’expression de l’économie contemporaine. Tout devient numérique dans la société actuelle, il est dans le transport, l’énergie, les banques ».
Ainsi, compte tenu de l’importance des données de santé, comme l’élément principal exploité à l’ère du numérique, la collecte et le traitement constituent des enjeux majeurs pour l’Etat du Sénégal en raison de la multitude d’intervenants dans la circulation et l’utilisation des informations personnelles sur les réseaux : GAFAM, les grandes entreprises internationales, les professionnels de santé et les hôpitaux. Protéger ces données à revient à protéger l’intimité, la dignité et les autres droits fondamentaux des patients comme le droit à la vie privée, le droit à l’image, le droit à l’honneur, etc.
La gestion électronique de documents, connue, généralement sous l’acronyme GED ou EMD pour « electronic document management » en anglais, désigne un procédé informatisé visant à organiser et gérer des informations et des documents électroniques au sein d’une organisation ou encore des logiciels permettant la gestion de ces contenus documentaires.
Mais, pris dans ce sens, cette expression ne prend pas totalement en compte toutes les actions que recouvre la gestion électronique telle que nous voulons l’employer dans le cadre de cette étude.
Le substantif « gestion », synonyme du « maniement » selon le dictionnaire Robert, renvoie dans le langage informatique au contrôle du fonctionnement d’une entité notamment des informations ou des périphériques. Le maniement d’informations consiste dans leur collecte, leur manipulation, leur conservation et leur échange. L’adjectif « électronique » associé ramène à une gestion par support informatique. En effet, en l’absence de définition du terme « électronique » dans la législation sénégalaise, celle donnée par la loi uniforme canadienne peut nous éclairer. « Électronique », qualifie ce qui est « créé, transmis ou mis en mémoire sous forme numérique ou sous une autre forme intangible par des moyens électroniques, magnétiques ou optiques ou par d’autres moyens capables de créer, d’enregistrer, de transmettre ou de mettre en mémoire de façon similaire à ceux-ci [8] ». Ainsi présentée, l’expression « gestion électronique » se rapproche de ce que la législation sénégalaise dénomme « traitement automatisé ». Et c’est dans ce sens que cette expression doit être comprise dans le contexte de cette analyse.
Aux termes de l’article de 2c de la convention du Conseil de l’Europe du 28 janvier 1981 dite convention 108, un « « traitement automatisé » s’entend des opérations suivantes effectuées en totalité ou en partie à l’aide de procédés automatisés : enregistrement de données, application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, installation ou diffusion ».
La loi de 2008 ne définit pas le traitement automatisé des données mais le traitement des données en y incluant les procédés automatisés. On entend par traitement de données à caractère personnel : « toute opération ou ensemble d’opérations prévues à l’article 2 de la présente loi effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel » . Cette définition proposée par la loi de 2008, couvre un large choix de procédés utilisés pour le traitement ou la gestion des données. Le support du traitement peut donc être papier, électronique, optique ou autre. Dans le cadre de cette étude, la gestion est électronique ; le procédé utilisé entre donc dans le champ d’application de cette définition.
La gestion électronique des données crée un lien juridique entre le responsable de traitement, le destinataire et la personne concernée. Subsidiairement, le lien peut être quadripartite avec l’intervention d’un hébergeur. « Le responsable de traitement », « le destinataire » et « la personne concernée » sont définis par la législation Sénégalaise.
Quant à l’expression « données de santé » est définie par l’article 1 de la convention de Malabo comme « toute information concernant l’état physique et mental d’une personne concernée, y compris les données génétiques précitées ». Quant à l’expression des « données génétiques » elle se réfère « toute donnée concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés ».
Cette définition comprend donc :
Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services :
Un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).
Les données de santé sont considérées comme des « données à caractère personnel » caractérisées par une certaine sensibilité qui justifie les mesures particulières prises pour assurer leur sécurité.
Aux termes de l’article 4 de la loi de 2008, constitue « une donnée à caractère personnel toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».
Une donnée de santé est donc une donnée relative à sa santé pouvant permettre d’identifier un individu. Elle fait partie de celles qui sont régies par la section de la loi de 2008 relative aux dispositions propres à certaines catégories de données. Ce sont des données que la loi a qualifié de « données sensibles ». Elles bénéficient d’une protection renforcée par le droit positif. Ces données sont dites sensibles car leurs traitements comportent des risques beaucoup plus considérables que ceux des autres données à caractère personnel dans la mesure où cela engage d’autres droits fondamentaux notamment la liberté d’opinion, la liberté de conscience, ou peut occasionner d’éventuelles discriminations. Ainsi, les données de santé sont-elles préservées pour protéger l’individu contre toute discrimination due à son état de santé. Tous les textes précités s’accordent sur le fait que ces données, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique ; c’est pourquoi elles ne devraient pas faire l’objet d’un traitement, à moins que la personne concernée n’y consente expressément ou que la loi ne le permette pour des questions d’intérêt général.
En réalité, la société actuelle multiplie les traitements automatisés de données de santé pour des raisons économiques. Or, en l’état actuel de la législation sénégalaise (et plus encore au niveau international), il existe plusieurs questions non encore élucidées pour garantir la protection des données sensibles.
La donnée est désormais au cœur de l’ensemble des activités, d’où la nécessité de bien gérer ces données, et d’en garantir l’exactitude et l’intégrité. Son encadrement juridique est assuré, à la fois, par le droit commun notamment la constitution, le Code de la Santé, le Code de la déontologie, la loi relative à l’exercice de la médecine et les dispositions du Code pénal relatives au secret médical et des textes spécifiques relative au traitement automatisé de toutes les données des données de santé. Ces données, même si elle constitue une source d’économie, engendre des problèmes de protection de la vie privée auxquels le gouvernement sénégalais tente de faire face en créant l’un des meilleurs cadres juridiques au monde, en la matière. Mais, de grands chantiers comme celui du dossier médical personnel attendent toujours d’être réalisés et le droit de la santé se voit devancer et entraîner par les progrès technologiques. Le développement de la télésanté bouleverse les relations au sein du colloque singulier entre le soignant et le soigné. L’extension des droits des patients, le partage de responsabilité, l’augmentation du nombre d’intervenants, le secret médical partagé et l’augmentation des risques constituent de nouveaux enjeux avec lesquels il faut, désormais compter. Une autre question cruciale est celle posée par le manque d’harmonisation des législations augmentant les risques en cas de partage transfrontalier de données de santé.
Pour plus de détails, lire l’intégralité du rapport.
Ce document est compose de cinq parties : une note introductive des TIC dans le secteur de santé ; le cadre normatif ; le cadre institutionnel ; les risques potentiels liés à la collecte et traitement des données de santé ; des recommandations.
Baba Fall Badiane
Juriste en Numérique/DPO- SCP LEGALIX
(Source : Social Net Link, 18 mars 2024)