Le cadre juridique entourant les données de santé connaît une transformation profonde à l’ère numérique. À mesure que les technologies permettent la collecte et l’analyse massive d’informations médicales, le droit se trouve confronté à un défi majeur : établir un équilibre entre la protection des personnes et le progrès scientifique. La législation française, enrichie par le droit européen, tente d’apporter des réponses à ces enjeux complexes. Entre le respect de la vie privée des patients et les promesses de la médecine personnalisée, les normes juridiques dessinent les contours d’une éthique des données de santé en constante évolution, où les principes fondamentaux du droit doivent s’adapter aux réalités technologiques.
Le cadre juridique français et européen des données de santé
Le traitement des données de santé en France s’inscrit dans un environnement juridique dense et stratifié. Au sommet de cette architecture normative se trouve le Règlement Général sur la Protection des Données (RGPD), entré en application en mai 2018, qui a profondément modifié l’approche européenne de la protection des données personnelles. Ce texte considère les données de santé comme des données sensibles méritant une protection renforcée, conformément à son article 9.
En droit français, la loi Informatique et Libertés du 6 janvier 1978, plusieurs fois modifiée, notamment pour s’adapter au RGPD, constitue le socle historique de la protection des données personnelles. Elle a été complétée par la loi relative à l’organisation et à la transformation du système de santé du 24 juillet 2019, qui a créé la Plateforme des Données de Santé (Health Data Hub), structure destinée à faciliter le partage des données de santé pour la recherche et l’innovation.
Le Code de la santé publique contient de nombreuses dispositions relatives au secret médical et à la confidentialité des informations de santé, principes fondamentaux qui s’articulent avec les règles de protection des données. L’article L.1110-4 de ce code garantit à toute personne prise en charge par un professionnel de santé le droit au respect de sa vie privée et du secret des informations la concernant.
Les autorités compétentes en matière de données de santé
Plusieurs autorités jouent un rôle déterminant dans la régulation des données de santé :
- La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité administrative indépendante, veille à la protection des données personnelles et dispose de pouvoirs d’investigation et de sanction
- Le Comité Éthique et Scientifique pour les Recherches, les Études et les Évaluations dans le domaine de la Santé (CESREES), qui évalue les demandes d’accès aux données de santé
- Le Health Data Hub, qui organise et encadre l’accès aux données de santé pour la recherche
La jurisprudence joue un rôle croissant dans l’interprétation de ces textes. Ainsi, le Conseil d’État a rendu plusieurs décisions majeures concernant le Health Data Hub, notamment en octobre 2020, où il a validé sous conditions l’hébergement de données par Microsoft, tout en soulignant les risques liés au Cloud Act américain.
Cette architecture juridique complexe tente de répondre à un défi fondamental : protéger les droits des personnes tout en permettant l’utilisation des données à des fins de recherche et d’amélioration du système de santé. Ce cadre, encore en construction, fait l’objet de débats constants entre les différentes parties prenantes, reflétant la tension inhérente entre protection et innovation.
Les principes fondamentaux de l’éthique des données de santé
L’éthique des données de santé repose sur des principes juridiques fondamentaux qui guident l’ensemble des pratiques dans ce domaine. Ces principes, issus tant du droit positif que de réflexions philosophiques et déontologiques, constituent le socle sur lequel s’appuient les législations nationales et internationales.
Le principe de consentement représente la pierre angulaire de cette éthique. Selon l’article 7 du RGPD, le consentement doit être libre, spécifique, éclairé et univoque. Dans le domaine de la santé, cette exigence prend une dimension particulière en raison de la sensibilité des informations concernées. Le Comité Consultatif National d’Éthique (CCNE) a souligné dans plusieurs avis l’importance d’un consentement véritablement éclairé, qui suppose une information complète et compréhensible sur les finalités du traitement des données.
Le principe de finalité impose que les données ne soient collectées que pour des objectifs déterminés, explicites et légitimes. Ce principe est particulièrement mis à l’épreuve par les technologies d’intelligence artificielle et de big data qui permettent des usages secondaires des données, non prévus initialement. La Cour de justice de l’Union européenne a précisé dans plusieurs arrêts les contours de ce principe, notamment dans l’affaire Volker und Markus Schecke (2010).
Le principe de minimisation des données, inscrit à l’article 5 du RGPD, exige que seules les données strictement nécessaires à la finalité poursuivie soient collectées. Ce principe entre parfois en tension avec les besoins de la recherche médicale qui peut nécessiter des ensembles de données larges pour identifier des corrélations significatives.
La balance entre intérêts individuels et collectifs
L’un des défis majeurs de l’éthique des données de santé réside dans l’équilibre à trouver entre la protection des droits individuels et la promotion de l’intérêt général. Le droit reconnaît cette tension et prévoit des mécanismes d’arbitrage.
- La notion d’intérêt public permet de justifier certains traitements de données sans consentement explicite, notamment dans le cadre de la recherche scientifique ou de la santé publique
- Le concept de pseudonymisation, défini à l’article 4 du RGPD, représente une voie médiane permettant d’utiliser les données tout en réduisant les risques pour les personnes
- Les études d’impact sur la protection des données, obligatoires pour les traitements à risque élevé, constituent un outil d’évaluation préventive des conséquences potentielles
Le principe de transparence traverse l’ensemble de ces mécanismes. Il implique une communication claire sur les traitements réalisés, les acteurs impliqués et les droits des personnes. La doctrine juridique contemporaine souligne l’importance de cette transparence comme condition de la confiance, elle-même nécessaire au développement de la médecine fondée sur les données.
Ces principes ne sont pas figés mais évoluent avec les avancées technologiques et les débats sociétaux. Le Parlement européen a ainsi adopté en 2020 une résolution sur l’éthique des données qui appelle à une approche centrée sur l’humain, où la technologie reste un moyen au service de finalités déterminées démocratiquement, et non une fin en soi.
Les défis spécifiques posés par l’intelligence artificielle en santé
L’émergence des technologies d’intelligence artificielle (IA) dans le domaine médical soulève des questions juridiques et éthiques inédites. Ces systèmes, capables d’analyser des volumes considérables de données pour établir des diagnostics ou prédire l’évolution de pathologies, bouleversent les paradigmes traditionnels du droit de la santé.
La question de la responsabilité médicale se pose avec une acuité particulière. Lorsqu’un algorithme participe à une décision médicale qui cause un préjudice à un patient, qui doit en assumer la responsabilité juridique ? Le médecin qui s’est appuyé sur l’outil ? Le développeur du système ? L’établissement de santé qui l’a déployé ? Le droit français n’apporte pas encore de réponse définitive à ces interrogations. Certains juristes proposent d’appliquer la théorie du contrôle humain significatif, selon laquelle la responsabilité incomberait à la personne ayant la possibilité effective de superviser et d’intervenir dans le processus décisionnel algorithmique.
La proposition de règlement européen sur l’IA présentée en avril 2021 tente d’apporter des réponses en classant les applications d’IA selon leurs niveaux de risque. Les systèmes d’IA utilisés en santé sont majoritairement considérés comme à « haut risque », ce qui implique des obligations renforcées en matière de transparence, de robustesse et de supervision humaine.
L’explicabilité des algorithmes médicaux
L’explicabilité des décisions algorithmiques constitue un enjeu central. Les systèmes d’apprentissage profond (deep learning) fonctionnent souvent comme des « boîtes noires » dont le processus décisionnel n’est pas directement intelligible pour les humains. Or, le droit à l’explication est reconnu par l’article 22 du RGPD pour les décisions automatisées produisant des effets juridiques.
Cette tension entre performance et explicabilité des algorithmes pose un défi majeur pour le législateur. La Haute Autorité de Santé (HAS) a publié en 2019 un guide méthodologique pour l’évaluation des dispositifs médicaux embarquant de l’IA, qui souligne l’importance de pouvoir tracer et comprendre le raisonnement suivi par ces systèmes.
- Le concept d’IA de confiance (trustworthy AI) promu par la Commission européenne met l’accent sur la nécessité de systèmes robustes, transparents et soumis à un contrôle humain
- La notion de garantie humaine, introduite dans le droit français par la loi de bioéthique de 2021, impose qu’un professionnel de santé puisse superviser le fonctionnement d’un dispositif médical intégrant de l’IA
- Le principe de loyauté des algorithmes, développé par la doctrine juridique, exige que ces systèmes servent les intérêts de leurs utilisateurs sans manipulation ni biais
Les biais algorithmiques représentent un autre défi majeur. Les systèmes d’IA apprennent à partir de données historiques qui peuvent refléter et perpétuer des inégalités existantes dans l’accès aux soins. Une décision du Défenseur des droits de 2020 a alerté sur ces risques de discrimination algorithmique dans le secteur de la santé.
Face à ces défis, le droit évolue vers une approche plus proactive, avec l’émergence de concepts comme l’éthique dès la conception (ethics by design) qui vise à intégrer les considérations éthiques et juridiques dès les premières phases de développement des systèmes d’IA médicale. Cette évolution traduit la nécessité d’un cadre juridique qui ne se contente pas de réagir aux innovations technologiques mais les accompagne et les oriente.
La circulation internationale des données de santé
La dimension internationale de la recherche médicale et du développement de solutions de santé numérique pose des défis considérables en matière de protection des données. Le cadre juridique des transferts transfrontaliers de données de santé se caractérise par une complexité croissante, à mesure que les flux d’informations s’intensifient à l’échelle mondiale.
Le RGPD a établi un régime strict pour les transferts de données vers des pays tiers. Le principe fondamental est celui de l’adéquation : les données personnelles ne peuvent être transférées que vers des pays offrant un niveau de protection équivalent à celui garanti dans l’Union européenne. La Commission européenne a adopté des décisions d’adéquation pour certains pays comme le Japon ou le Royaume-Uni, facilitant ainsi les échanges avec ces territoires.
L’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne dans l’arrêt Schrems II du 16 juillet 2020 a profondément bouleversé les relations transatlantiques en matière de données. Cette décision a remis en question le transfert de données vers les États-Unis, considérant que la législation américaine, notamment le FISA (Foreign Intelligence Surveillance Act) et le Cloud Act, ne garantissait pas une protection suffisante contre l’accès des autorités publiques aux données personnelles.
Les mécanismes de protection pour les transferts internationaux
En l’absence de décision d’adéquation, plusieurs mécanismes juridiques permettent néanmoins d’encadrer les transferts internationaux de données de santé :
- Les clauses contractuelles types (CCT) adoptées par la Commission européenne, qui imposent des obligations contractuelles aux exportateurs et importateurs de données
- Les règles d’entreprise contraignantes (Binding Corporate Rules), qui permettent aux multinationales d’adopter des politiques internes contraignantes pour les transferts au sein du groupe
- Les codes de conduite et mécanismes de certification approuvés, qui constituent des garanties appropriées selon l’article 46 du RGPD
Ces mécanismes doivent toutefois être complétés par des mesures supplémentaires lorsque le pays destinataire ne présente pas les garanties suffisantes. Le Comité européen de la protection des données (CEPD) a publié des recommandations détaillant ces mesures, qui peuvent être techniques (comme le chiffrement), contractuelles ou organisationnelles.
La coopération internationale en matière de recherche médicale soulève des questions particulières. L’article 89 du RGPD prévoit un régime spécifique pour les traitements à des fins de recherche scientifique, permettant certains assouplissements. Toutefois, comme l’a souligné le G7 des autorités de protection des données dans sa déclaration de septembre 2021, ces facilités ne doivent pas compromettre les droits fondamentaux des personnes.
Les initiatives de standardisation internationale des normes de protection des données de santé se multiplient. L’Organisation Mondiale de la Santé (OMS) a lancé en 2021 une stratégie globale sur la santé numérique qui inclut des recommandations sur la gouvernance des données. De même, l’OCDE a adopté en 2019 une recommandation sur la gouvernance des données de santé qui promeut une approche fondée sur les risques et orientée vers la maximisation des bénéfices sociétaux.
Ces évolutions témoignent d’une prise de conscience croissante de la dimension géopolitique des données de santé, devenues un enjeu de souveraineté numérique. Le projet européen GAIA-X, qui vise à développer une infrastructure de données européenne, illustre cette volonté de créer des alternatives aux grandes plateformes extra-européennes pour l’hébergement et le traitement des données sensibles, dont celles relatives à la santé.
Vers une gouvernance éthique des données de santé : perspectives d’avenir
L’évolution rapide des technologies et des usages des données de santé appelle à repenser les modèles de gouvernance juridique et éthique. Les approches traditionnelles, fondées sur une réglementation rigide et centralisée, montrent leurs limites face à l’innovation continue et la diversité des contextes d’utilisation des données.
Le concept de gouvernance adaptative gagne du terrain dans la doctrine juridique contemporaine. Cette approche, inspirée des théories de la régulation, propose des mécanismes flexibles qui peuvent évoluer en fonction des retours d’expérience et des avancées technologiques. Le règlement européen sur l’espace européen des données de santé, proposé en mai 2022, s’inscrit dans cette perspective en prévoyant des mécanismes d’évaluation continue et d’ajustement des normes.
La co-régulation, qui associe pouvoirs publics et acteurs privés dans l’élaboration des règles, apparaît comme une voie prometteuse. Le Conseil du numérique en santé, créé en France en 2019, illustre cette démarche collaborative en réunissant représentants de l’État, professionnels de santé, industriels et usagers pour définir les orientations stratégiques de la e-santé.
L’éthique par conception comme nouveau paradigme
Le principe d’éthique par conception (ethics by design) propose d’intégrer les considérations éthiques dès les premières phases de développement des technologies de santé. Cette approche préventive répond aux limites d’une régulation purement réactive, incapable de suivre le rythme de l’innovation.
La loi de bioéthique du 2 août 2021 a introduit en droit français l’obligation pour les concepteurs de dispositifs médicaux intégrant de l’intelligence artificielle de garantir l’explicabilité de leur fonctionnement. Cette exigence témoigne d’une évolution vers une responsabilisation accrue des créateurs de technologies.
- Les comités d’éthique du numérique se multiplient au sein des organisations de santé et des entreprises technologiques
- Des labels éthiques émergent pour distinguer les solutions respectueuses des droits des patients et des valeurs fondamentales
- Les formations universitaires en droit et éthique du numérique en santé se développent pour former les professionnels aux enjeux complexes de ce domaine
La question de la participation citoyenne à la gouvernance des données de santé prend une importance croissante. Le modèle des communs numériques, inspiré des travaux d’Elinor Ostrom, propose une gestion collective des ressources informationnelles qui dépasse la dichotomie public-privé. Des initiatives comme Data4Good ou Epidemium expérimentent ces approches participatives dans le domaine de la santé.
Le concept de confiance numérique s’affirme comme un élément central des futurs systèmes de santé fondés sur les données. Cette confiance repose sur des garanties juridiques solides, mais va au-delà en intégrant des dimensions psychologiques et sociales. Une étude de l’Institut Montaigne publiée en 2022 montre que la confiance des citoyens dans les systèmes de santé numérique dépend moins des dispositifs techniques que de la transparence des processus et de la perception de l’équité dans l’utilisation des données.
Le développement de technologies de préservation de la vie privée (Privacy Enhancing Technologies) ouvre des perspectives nouvelles pour concilier protection des personnes et utilisation des données. Des techniques comme l’apprentissage fédéré, qui permet d’entraîner des algorithmes sans centraliser les données, ou l’homomorphic encryption, qui autorise des calculs sur des données chiffrées, pourraient transformer l’équilibre entre confidentialité et utilité des données.
La dimension internationale de cette gouvernance reste un défi majeur. Le Forum sur la Gouvernance de l’Internet (IGF) a créé en 2021 un groupe de travail spécifique sur les données de santé, reconnaissant la nécessité d’une coordination mondiale sur ces questions. L’harmonisation des normes éthiques et juridiques à l’échelle internationale apparaît comme un horizon nécessaire, bien que difficile à atteindre dans un contexte de tensions géopolitiques accrues autour des technologies numériques.