Le CCNE et le CNPEN ont mis en ligne un avis commun relatif aux plateformes de partage des données de santé. Il martèle l’incessibilité des données de santé et les deux instances auto-saisies en concluent que la condition préalable à la cession de données de santé serait leur anonymisation.
En pratique, force est de constater que ces cessions restent monnaie courante – et ce dans un cadre tout à fait légal – et que les arguments avancés ne résistent pas à l’analyse.
L’avis se satisfait de ce que le RGPD ait réglé la question. L’argument est d’autant plus péremptoire qu’il tend notamment à assurer la libre circulation des données. Certes, la directive Contenu et Service – postérieure – écarte la qualification de marchandise, de façon générale. Mais tout en admettant que les données puissent servir de monnaie d’échange. Les textes ne règlent donc rien.
Vient ensuite la classique analogie entre le corps humain et la donnée de santé. L’interdiction de vendre un rein, par exemple, entrainerait ipso facto celle de céder des données de santé. Sauf que… La non patrimonialité – et non l’incessibilité – du corps humain et de ses produits n’est pas générale et absolue : cheveux et lait maternel, par exemple, peuvent être vendus. Et surtout, la règle ne vaut qu’à l’aune de la personne elle-même. Les centres de ressources biologiques, par exemple, peuvent commercialiser des tissus humains. L’analogie ne fonctionne donc pas.
Enfin, l’avis rappelle l’article L1111-8, VII du Code de la Santé Publique, qui interdit toute cession onéreuse des données de santé. Perdu au milieu d’un texte très particulier – cadrant l’HDS – cet alinéa ne vise que les cessions onéreuses. A contrario, une cession sans contrepartie serait possible. S’il établit un obstacle pratique à la commercialité, il ne pose donc pas un principe d’incessibilité. Et surtout, rien ne permet de conférer une portée générale à ce texte. Il semble régler une situation particulière, celle des hébergeurs. Même la CNIL semble l’avoir admis dans une délibération de 2017 acceptant la fourniture de données de santé par des pharmacies, en contrepartie de la fourniture d’informations relatives aux volumes de vente de groupements de pharmacie (Délibération n° 2017-285 du 26 octobre 2017). Idem pour l’alimentation d’un EDC « commercial » par les données des logiciels de gestion de cabinet proposés par le responsable de traitement (Délibération n° 2018-369 du 20 décembre 2018).
L’analyse du CEPD, rappelant que les échantillons biologiques constituent des données personnelles non « anonymisables » (CEPD, 15 December 2020 – Ref: OUT2020-135), conforte cette idée d’une parfaite cessibilité des données de santé. Dès lors qu’elle répond au cadre juridique posé par le RGPD et le Code, notamment. A défaut, la cession de tissus, cellules et de leurs dérivés devraient être interdite. A fortiori lorsqu’elle s’accompagne de la cession des données personnelles associées (Arrêté du 21 décembre 2018).
Salué par la critique juridique, dans la mesure où il embrasserait le sujet dans son entièreté, il semble toutefois que cet avis du CCNE et du CNPEN ne permette pas de progresser sur le sujet de l’exploitation commerciale des données de santé.