Par Shefali Malhotra, Rohin Garg et Shivangi Rai

Le portail CoWin a été critiqué en raison de l’absence de politique de confidentialité. En février 2021, le ministre d’État à la Santé a informé le Lok Sabha que CoWin suivait la politique de confidentialité de la National Digital Health Mission (NDHM), qui est la Politique de gestion des données de santé (la Politique). D’autres initiatives de santé numérique, telles que la télémédecine, les systèmes de gestion hospitalière et la gestion des réclamations d’assurance, sont également liées à cette politique. Il n’est pas exagéré de dire que la Politique constitue l’épine dorsale de la NDHM.

La politique vise à développer un système national d’information sur la santé, en facilitant la création d’une identification unique de la santé (UHID) pour les individus et les prestataires de soins de santé ; et la collecte, le stockage, le traitement et le partage de renseignements personnels sur la santé, sous forme de dossiers de santé électroniques (DSE). L’UHID de chaque individu est lié à son DSE. Si la numérisation permet un échange d’informations transparent et efficace, elle comporte également des risques importants pour la vie privée, la confidentialité et la sécurité des données personnelles de santé. La politique vise à atténuer ces risques, à travers deux principes directeurs : « la sécurité et la confidentialité dès la conception » et l’autonomie individuelle sur les données personnelles de santé. Cependant, des défauts de conception fondamentaux peuvent finir par augmenter les cas de violations de données de santé personnelles.

La Cour suprême, dans Puttaswamy, a estimé que le droit à la confidentialité des informations est un droit fondamental et que tout empiètement sur ce droit doit être soutenu par la loi, appelant également à l’adoption d’une législation complète sur la protection des données. Contrairement à cela, le processus de numérisation en cours de déploiement dans le cadre de la Politique n’est soutenu par aucune loi. Cela reste une préoccupation, car les divulgations et les violations non autorisées causeraient des dommages graves et irréparables aux personnes.

La politique elle-même établit le NDHM, qui fonctionnera comme un organisme de réglementation exerçant des fonctions législatives, exécutives et quasi-judiciaires. La mise en place d’une autorité de régulation implique une loi qui définit les limites dans lesquelles elle peut fonctionner, tout en garantissant l’indépendance de l’ingérence du gouvernement et la responsabilité devant le Parlement. Au lieu de cela, la politique laisse entièrement au NDHM, une autorité exécutive, le soin de définir sa propre structure de gouvernance.

Le cadre de la protection de la vie privée dès la conception peut être entravé par la faiblesse des mécanismes de responsabilité vis-à-vis de l’utilisation secondaire des données de santé numériques pour la recherche et la planification des politiques, en particulier par les entreprises privées. La Politique permet le partage de données de santé agrégées et anonymisées, en partant du principe que l’anonymat dissimule l’identité des individus. Cependant, plusieurs études ont montré que les ensembles de données anonymisés peuvent être facilement désanonymisés pour être reliés à des informations personnellement identifiables, risquant ainsi la vie privée.

La Politique ne limite pas non plus l’utilisation des données de santé agrégées à des fins de santé publique et interdit la monétisation des données. Sans limitation stricte des finalités, les entreprises privées peuvent utiliser les données sur la santé des personnes pour accroître leurs profits, au détriment des droits individuels et des intérêts sociétaux. Par exemple, les compagnies d’assurance peuvent utiliser librement des données de santé granulaires pour profiler et évaluer les individus, ce qui entraîne un refus de couverture pour les groupes à haut risque et une volatilité des montants des primes. Récemment, l’Autorité indienne de réglementation et de développement des assurances a mis en garde les assureurs contre l’utilisation des dossiers de santé personnels divulgués des patients COVID-19 pour refuser la couverture ou bloquer les réclamations.

Le problème de la faible responsabilité s’étend également aux données de santé personnelles. Par exemple, la Politique n’exige pas de signaler les violations de données personnelles aux personnes concernées. Cela entrave non seulement les droits à l’information et l’accès au règlement des griefs, mais augmente également la possibilité d’une surveillance étatique illégitime. Par exemple, une récente requête de RTI a révélé que le médecin-chef du district de Kulgam au Jammu-et-Cachemire partageait subrepticement les données des utilisateurs d’Aarogya Setu avec les autorités policières locales.

L’autre principe directeur de l’autonomie individuelle est invoqué à travers le « consentement éclairé » pour la collecte et le traitement des données personnelles de santé. Cependant, le cadre de consentement proposé est tellement restreint que les individus peuvent finalement se retrouver avec peu ou pas de contrôle sur leurs données. D’une part, la politique exige un consentement éclairé uniquement avant la collecte de données, en cas de modification de la politique de confidentialité ou en relation avec un objectif nouveau ou non identifié.

Cela suggère qu’un consentement unique pour un ou plusieurs objectifs généraux peut être suffisant, par opposition au consentement éclairé pour chaque cas de traitement de données personnelles.

La Politique manque également de clarté sur deux autres mesures. Premièrement, il ne stipule pas le « masquage des données » comme une mesure à la disposition des individus pour garantir la confidentialité de leurs données. En termes simples, le masquage des données est une technique permettant de masquer des informations de santé sensibles spécifiques dans les DSE, dont la divulgation pourrait entraîner une stigmatisation et une discrimination graves pour un individu. De telles informations ne seraient accessibles même aux prestataires de soins de santé qu’avec le consentement spécifique de l’individu.

Deuxièmement, la Politique n’exige pas expressément le consentement éclairé pour la création d’UHID. Il semble suggérer qu’un consentement éclairé sera recueilli pour la numérisation des dossiers médicaux et que les personnes consentantes recevront un UHID. Cependant, dans la pratique, les UHID sont délivrés sans consentement éclairé pour la numérisation ou pour l’UHID. D’innombrables cas ont été signalés où des UHID ont été attribués à des personnes qui ont été vaccinées contre le COVID-19 à l’aide d’Aadhaar, à leur insu ou sans leur consentement.

La Politique énonce à juste titre la confidentialité dès la conception et l’autonomie individuelle comme principes directeurs. Cependant, des dispositions vagues et une mise en œuvre sur le terrain ne respectent pas ces principes. Dans un document de travail récent, publié par l’Internet Freedom Foundation et le Center for Health Equity, Law and Policy, nous examinons diverses implications découlant de la politique. Dans un pays avec un environnement de cybersécurité incertain, une faible culture numérique et une faible capacité de l’État, les implications négatives peuvent être particulièrement graves et généralisées.

S’il est nécessaire de combler les lacunes de la Politique, ce n’est pas suffisant. Une loi complète sur la protection des données (avec des règles spécifiques au secteur de la santé) ainsi qu’un engagement significatif et soutenu des parties prenantes sont impératifs pour guider le développement d’un écosystème de santé numérique de manière efficace, efficiente et équitable.

Malhotra est consultant en recherche et Rai est coordinateur adjoint du Center for Health Equity, Law and Policy, ILS Law College, Pune. Garg est conseiller politique associé à l’Internet Freedom Foundation, New Delhi

