Objets connectés et e-santé: vers des pratiques vertueuses ?

Les objets connectés, dont les applications santé, sont des interfaces de navigation qui stockent, traitent et diffusent des informations sur nos habitudes de consommation et nos modes de vie. Tous posent le problème de la confidentialité des données personnelles.
Docteure en droit, Nathalie Devillier est enseignante-chercheuse à GEM depuis 2009. Elle est spécialiste du droit de l'e-santé et de la télémédecine, du droit à la protection de la vie privée et des données à caractère personnel.


A lire

Droit de la télésanté et de la télémédecine, Heures de France, 2011
Protection de la santé et sécurité alimentaire en droit international, Larcier, 2009

L’Internet des objets (IoT) fait référence à une infrastructure dans laquelle des milliards de capteurs intégrés dans des appareils de tous les jours sont conçus pour enregistrer, compiler, stocker et communiquer des données. Ces systèmes d’exploitation ont des vulnérabilités, des failles qui permettent aux informations d’ordre personnel de circuler (et potentiellement d’être piratées), via le Cloud par exemple, sans même que l’utilisateur en ait conscience.

Autre point d’achoppement : la question du consentement

En cliquant sur « J’accepte », l’on consent aux conditions générales d’utilisation de nos données personnelles, au risque d’une transmission à des tiers non autorisés. Et ce risque, pour l’heure, n’est pas négociable, relève Nathalie Devillier. C’est ainsi que le prestataire peut s’arroger le droit de les transférer à des partenaires commerciaux. Une pratique qui reste illégale, mais contre laquelle il est aujourd’hui difficile d’agir. 

Quelle finalité réelle d’exploitation ?

Le premier enjeu, lié à l’IoT, est donc d’être en capacité de s’assurer à quelles fins ces données sont collectées. Plus spécifiquement, les applications d’e-santé (voire de télémédecine), soulèvent la question de la responsabilité des opérateurs dans l’utilisation des paramètres de santé. L’engouement du public pour le « quantified self », la collecte de paramètres de santé dits « sensibles », doit faire l’objet d’une protection juridique renforcée, en raison du risque de recoupement et de communication à des tiers non autorisés (employeur, assureur…). Ainsi, des évaluations de l’impact sur la vie privée devraient bientôt précéder le lancement de toute nouvelle application.

L’utilisateur : pivot du cadre réglementaire européen

2016 laisse augurer un cadre juridique européen plus fort grâce au règlement général sur la protection des données personnelles qui vient d’être adopté, dans lequel toute donnée de santé devrait être une donnée protégée. Ce cadre préconise notamment l’obligation de notifier les failles de sécurité propre au système de recueil des données et instaure une responsabilité solidaire entre le client final et le sous-traitant, qui héberge et gère le traitement des données. Ce nouveau cadre réglementaire laisse enfin apparaître des notions-clés, telles « l’autonomisation de l’utilisateur » et le principe de « l’autodétermination des données », proches de l’Habeas data en vigueur à l’étranger », note Nathalie Devillier.

En conséquence, les entreprises qui laissent les utilisateurs maîtres du partage de leurs données, et qui recueillent leur consentement éclairé, peuvent faire de ces pratiques vertueuses un avantage concurrentiel exceptionnellement puissant. »