Toutes les actualités
12 sep 2016

Data de santé : Tous tracés

Les applications de santé et de bien-être répondent aux mêmes lois que toutes applications mobiles : très renseignées en matière de données personnelles sensibles, elles sont aussi très vulnérables, pouvant générer des discriminations à l’embauche, à l’assurance... Car ces data de santé représentent des milliards au plan commercial. En tant qu’utilisateurs, comment parer à une récupération de ses données personnelles de santé ? Et, à partir de quel cadre juridique ?

Docteure en droit, Nathalie Devillier est enseignante-chercheuse à Grenoble Ecole de Management depuis 2009. Elle est spécialiste du droit de l'e-santé et de la télémédecine, du droit à la protection de la vie privée et des données à caractère personnel.

Depuis les révélations d’Edgar Snowden, en 2013, sur les moyens de surveillance massifs déployés en Europe par les agences américaines de renseignements – avec la complicité des géants du Net –, l’Union européenne et les Etats-Unis ont réengagé des négociations pour définir des critères communs, afin de protéger les données personnelles de leurs citoyens. Loin d’être imparable, cet accord transatlantique s’est vu renforcé par la Cour de justice européenne.

De fait, en octobre 2015, cette dernière a émis une jurisprudence permettant d’accroître la protection des données à caractère personnel. Un accord a été conclu cet été – le Privacy Shield –, (Le bouclier « Vie privée »), par lequel les sociétés peuvent adhérer à des principes sur lesquels s’engager pour protéger les données recueillies auprès des usagers du Net.

Un cadre juridique européen plus contraignant

Ainsi, le Parlement européen a adopté, le 14 avril 2016, le règlement général relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce cadre juridique permet, à chacun, d’exercer un plus grand contrôle sur ses données à caractère personnel, et notamment :

  • La personne doit consentir clairement qu’elle accepte le traitement de ses données à caractère personnel.
  • Le prestataire doit faciliter l’accès de la personne à ses données personnelles.

Ce cadre juridique renforce :

  • Le droit à la rectification, à l’effacement des données et à l’oubli.
  • Le droit de s’opposer notamment à l’utilisation de ses données à caractère personnel à des fins de profilage.
  • Le droit à la portabilité des données d’un prestataire à un autre.

Incohérence juridique sur les applications de santé

Toutefois, ce cadre juridique renforcé, en Europe, ne peut se substituer au « consentement éclairé » de l’utilisateur. « Mais, ceci est d’autant plus difficile que lorsque l’on télécharge une application da santé, on accepte, par définition, un contrat d’adhésion non négociable, intégrant… la récupération de ses données personnelles de santé ! relève Nathalie Devillier. Le cadre juridique est donc par essence obsolète !

Ces données sensibles, très renseignées, peuvent, une fois dispersées et revendues à un tiers, générer des discriminations à l’embauche, à l’assurance… ». D’où l’impératif d’une vigilance renforcée, à l’échelle individuelle et collective. « Plus que jamais, d’un état de droit, il va falloir passer au stade de l’apprentissage individuel éclairé, au risque d’accroître le rapport de force inégalitaire entre l’usager et les développeurs et prestataire de services Internet. »

Des recours efficaces : CNIL, la DGCRF et la Commission des clauses abusives 

Néanmoins, l’utilisateur abusé, dont les données ont été transmises à des tiers (employeurs, sociétés d’assurances…), sans son consentement explicite, peut avoir recours aux leviers efficaces de la CNIL, de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCRF) et de la Commissions des clauses abusives. En cas de violation de la loi, des sanctions peuvent être prises jusqu’à 150 000 euros.

3 points de vigilance lorsque l’on télécharge une application santé ou de bien-être

  • Lire attentivement les conditions d’utilisation avant de télécharger une application de santé ou de bien-être. Ceci, afin de pouvoir s’opposer à l’utilisation abusive et déloyale des données à caractère personnel.
  • Vigilance lors du téléchargement d’une version en mode « freemium ». La gratuité d’une application, ou d’un téléchargement, suppose par définition que les paramètres de confidentialité échapperont à l’utilisateur.
  • Créer un profil sur tous réseaux sociaux induit immanquablement la dispersion et la traçabilité profonde (grâce aux deep-links) des données à caractère personnel sur le Net, dont les données de santé, potentiellement récupérables.

Pour en savoir plus sur le sujet avec Nathalie Devillier 

Sur le même thème