Le progrès des technologies de l’information requiert et permet aujourd’hui la collecte et le traitement massif de données personnelles et de données de santé.

Les données sont ainsi devenues une valeur cardinale de l’économie numérique entrainant nécessairement l’identification des droits sur les données et de leur titulaire.

En matière médicale, la loi dite Kouchner du 4 mars 2002 a largement accru les droits des patients en leur accordant notamment un accès direct au dossier médical et plus récemment, le Règlement sur la protection des données personnelles (RGPD) a consacré certains droits sur les données personnelles, tels que le droit d’accès et le droit d’opposition.

Faut-il en déduire un droit de propriété des patients sur les données qui y figurent ?

Il apparait avant tout important de rappeler que selon l’article 4 du RGPD, on entend par :

- "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable

- « données concernant la santé », les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne

Les patients peuvent exercer des droits sur leurs données de santé à savoir :

- droits d’accès aux données, de rectification des données, de limitation des traitements, d’opposition aux traitements, d’effacement des données et droit à la portabilité des données (art. 15 à 21 RGPD)

- droit de donner des directives sur le sort des données après le décès

Reste la question de savoir s’il existe un droit de propriété des données car si juridiquement, la donnée est sans hésitation une chose, les données de santé ont un lien étroit avec l’individu, ce qui est donc à l’origine d’une controverse non encore réglée.

-         Absence de droit de propriété des données.

Au regard du droit français, les données de santé constituent des données personnelles dites « sensibles », c’est-à-dire qu’elles méritent une protection accrue. Elles sont ainsi régies par le droit commun des données personnelles, assorti d’un surplus de protections spécifique.

En l’état des textes actuels, il n’existe pas de droit de propriété des données personnelles. Ce principe a été juridiquement exclu, et ce à plusieurs reprises.

Leur indisponibilité de principe a été consacrée par la loi informatique et liberté de 1978.

Par ailleurs, le droit de propriété est défini à l'article 544 du code civil comme :

« le droit de jouir et disposer des choses de la manière la plus absolu ».

Cette prérogative comprend trois éléments qui ne peuvent se retrouver dans la donnée personnelle : l'usus (le droit de disposer, d’user librement de l’objet du droit de propriété), le fructus (le droit d'user, de récolter les fruits par l’objet du droit de propriété) et l'abusus (le droit de jouissance, soit le droit de le vendre).

Les données de santé ne peuvent donc en aucun cas être vendues, que ce soit par le patient lui-même, ou par un tiers avec ou sans l’accord du patient :

« Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal » (art. L 1111-8.VII du CSP)

Il convient cependant d’apporter une nuance à ce principe puisque le procédé d’anonymisation permet l’utilisation, sans freins, des données dans le cadre notamment de recherches scientifiques ou d’outils d’intelligence artificielle.

De plus, si les professionnels de santé ne peuvent pas vendre les données à caractère personnel des patients, ils peuvent, dans certains cas, échanger ou partager ces données. (art. L 1110-4 du CSP)

-         Vers une évolution jurisprudentielle ?

Cette problématique du droit de propriété des données reste entière et suscite des avis divergents puisque certains, pour justifier l’existence d’un droit de propriété, se fondent sur la jurisprudence de la Cour de Cassation qui a admis le « vol de données ». ( Cass, Crim 20 mai 2015, Cass, crim 28 juin 2017, publié au bulletin n° de pourvoi 16- 81-113)

Or, qui dit vol de données, dit propriété préalable de ces données !...

Il apparait ainsi que la question de la propriété des données reste controversée, le patient devant cependant être à ce jour, plutôt être considéré comme dépositaire que comme propriétaire de ses données.

Notons que le patient dispose en tout état de cause de droits élargis concernant la protection de ses données personnelles et que le collecteur se voit reconnaitre le droit au traitement des données sous certaines conditions : l’anonymisation, la sécurité du système informatique et la vérification de l’hébergeur restant des éléments déterminants.