Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
Il existe 3 catégories de données de santé bien distinctes:
- Les données qui sont considérées comme des données de santé de par leur nature: A savoir, les résultats d’un examen ou d’un test, les traitements prescrits, les prestations de soin effectuées, etc.
- Les données qui, lorsqu’elles sont croisées à d’autres, deviennent des données de santé: Certaines données telles que le poids, la taille, ne sont pas considérées comme données de santé car elles ne permettent pas directement de tirer des conclusions sur l’état de santé d’un patient. En revanche, lorsqu’elles sont croisées à d’autre données, elles peuvent donner des indications sur la santé et ainsi devenir des données de santé (croisement d’une donnée de poids avec la mesure du cholestérol, croisement d’une mesure de tension avec le rythme cardiaque, etc.)
- Les données qui deviennent des données de santé de par leur finalité: Les données utilisées sur le plan médical deviennent ainsi des données de santé.
Les données ne permettant pas d’obtenir des informations sur l’état de santé d’une personne ne sont alors pas considérées, aux yeux de la CNIL comme des données de santé. Ainsi, les données obtenues par une montre connectée ou une application mobile en dehors d’un contexte médical, peuvent ne pas être des données de santé. Tout dépendra de leur nature, ou du croisement de ces dernières avec d’autres données.
