Publicité en cours de chargement...
La génétique ou le cauchemar du DPO
Il y a quelque temps, dans une discussion sur la question de savoir si les données génétiques obéissaient aux règles générales, certains des interlocuteurs présents à la réunion n’avaient même pas conscience des spécificités de ce type de données, d’où cet article. Précision utile : les experts me pardonneront les approximations médicales, l’objectif de ces lignes est de montrer quelques particularités du domaine et leurs impacts sur la réglementation en cours. Autre précision : certains cas d’usage problématiques ont une réponse Cnil/RGPD. Le lecteur intéressé pourra consulter l’excellent ouvrage de la Cnil Les Données génétiques, paru en 2017 aux éditions La Documentation française.
Lorsqu’un praticien séquence le génome d’un patient, qu’il s’agisse d’établir ou de confirmer un diagnostic ou encore de rechercher des altérations éventuelles de l’ADN, à l’issue du séquençage, le praticien détient non seulement des informations médicales sur le patient lui-même, mais également sur sa parentèle (ascendants, fratrie, descendants). On se trouve donc dans le cadre d’une collecte de données médicales concernant potentiellement des personnes qui n’auront jamais rencontré le praticien ou même ignoreront ledit séquençage pratiqué sur l’ADN d’un membre de leur famille. Nous sommes donc à la frontière du consentement.
De plus, anonymiser une donnée génétique est virtuellement impossible : le génome EST la personne, la personne EST son génome. La simple détention de l’ADN d’une personne, ADN trouvé au hasard et sans aucun lien avec son « possesseur », ne garantit absolument pas l’anonymat (impossibilité de mettre la main sur le possesseur en question par des moyens « raisonnables » selon la définition du RGPD). Dans l’affaire Élodie Kulik[2] (2002), les coupables (dont on avait prélevé l’ADN sur la scène du crime sans qu’ils soient fichés nulle part) ont été retrouvés par recherche en parentèle : un parent éloigné d’un des suspects s’est fait attraper lors d’un braquage à l’autre bout de la France et, des années plus tard, le prélèvement de son ADN a fait matcher le fichier des empreintes génétiques non identifiées, permettant de remonter aux suspects.
Sur le plan médical, l’irruption de la génétique pose également des soucis au regard du concept de finalité. La connaissance du génome d’une personne permet de détecter des pathologies que l’on ne cherchait pas forcément (vous venez pour un dépistage de la maladie X, et on vous trouve la maladie Y), voire des probabilités de développer d’autres maladies (type Alzheimer). Je passe sur le fait que l’analyse du génome d’un patient exclut la possibilité qu’il soit en bonne santé : on trouvera toujours quelque chose, soit de façon sûre, soit de façon probable – bon courage aux Directions des relations usagers à l’avenir…
Sur le plan de la confidentialité, c’est un enfer. Non seulement le séquençage du génome permet de reconstituer une bonne partie d’un arbre généalogique, mais, en plus, pour peu que l’on analyse le génome d’une famille entière (procédure habituelle lorsque l’on recherche l’origine d’un dysfonctionnement génétique chez un mineur), l’arbre généalogique réel pourra être établi : si le papa du gamin porteur du dysfonctionnement génétique n’est pas le fils biologique du grand-père et que mamie l’a caché pendant 40 ans, je vous laisse imaginer la gestion en Com… Autre exemple : le séquençage de mon génome révèle une maladie incurable qui, à mon âge, ne me laisse plus que quelques années à vivre. Elle est hautement transmissible à mes descendants qui, eux, pourraient bénéficier de traitements palliatifs… sauf que pour ce faire il faudrait les contacter, ce qui les informerait de facto de mon état de santé[3]. Le séquençage du génome d’une personne X implique de détenir potentiellement des informations médicales sur sa parentèle, sans l’accord de cette dernière ni qu’elle puisse s’y opposer et faire jouer un quelconque droit à l’oubli.
Inutile de dire que, dans ce contexte, il y a deux sujets absolument majeurs à instruire avant d’informatiser[4] ce type d’activité dans un établissement de santé : la question du stockage des données de génétique (dans le DPI ou dans un progiciel métier dédié) et la question de la politique d’habilitation à l’accès à ces données. En l’état de mes réflexions, j’ai tendance à penser qu’il faut absolument un progiciel dédié, que les informations génétiques ne peuvent figurer dans un DPI généraliste et que c’est le seul cas (avec le traitement de la médecine du travail) qui justifie des habilitations intuitu personæ.
Article connexe → Habilitations d’accès aux données médicales à l’ère des GHT - Vision juridique
Et, pour couronner le tout, dans un CH/CHU, le séquençage d’ADN est pratiqué non seulement en génétique, mais le sera potentiellement à terme dans tous les services MCO « traditionnels » : un cardiologue ou un urologue auront de plus en plus recours au séquençage pour confirmer ou approfondir un diagnostic. On n’en est donc qu’au début.
[2] https://fr.wikipedia.org/wiki/Affaire_%C3%89lodie_Kulik
[3] Ces deux cas d’usage ont une réponse spécifique au regard du RGPD, ce qui montre bien que le sujet est complexe.
[4] On va dire que l’ère du papier rend cette activité moins dangereuse, mais ce n’est bien entendu pas vrai.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...