Dans une décision en date du 8 août 2014, le juge des référés du TGI de Paris a enjoint à une société de cesser son activité de commerce électronique de médicaments, notamment du fait de l’absence de recours à un hébergeur de données de santé.
Cette décision, intéressante en ce qu’elle vient « borner » l’e-pharmacie, l’est tout autant sur un autre aspect, à savoir la notion de « donnée à caractère personnel relative à la santé ».
La juridiction a en l’occurrence considéré comme telles des informations telles que les traitements en cours et les antécédents médicaux. Normal.
Mais elle a ajouté à cette liste la situation de grossesse et d’allaitement. C’est déjà un peu plus étonnant, dans la mesure où l’information, prise isolément, ne permet pas de déduire quoi que ce soit sur l’état de santé de la personne concernée. Mais le droit médical ayant finalement accepté l’application de l’article L1142-1 à un accouchement par voie basse (initialement, les juges du fond s’y opposaient car cela ne pouvait pas s’analyser comme un acte de soins, de diagnostic ou de prévention), il est logique de voir le droit des données personnelles lui emboiter le pas.
Mais le meilleur reste à venir. Les trois premières données personnelles visées dans la partie de la décision relative à l’hébergement de données de santé sont : l’âge, le poids et le sexe. Des données en apparence bien anodines, mais qui peuvent donc s’analyser comme des données à caractère personnel relatives à la santé. L’apport de cette décision est ici extrêmement intéressant, puisque de telles données sont désormais collectées de façon régulière par des applications de mHealth et de wellness. Ce faisant, le TGI semble avoir retenu une acception large de la notion, à l’instar de la Cour de Justice de l’Union Européenne dans sa décision Lindqvist, plutôt que de s’être rangée à la position défendue par le Conseil d’Etat dans ses décisions BNIE et Base 1er degré, au terme desquelles les informations anodines semblaient être exclues du périmètre de la « donnée de santé ».
Il faudra donc désormais se montrer particulièrement prudent dans le développement de programme de Quantified Self, de wellness et de mHealth lorsque des données, en apparence anodines, seront demandées aux utilisateurs pour mesurer des informations telles que leur IMC.