Santé connectée : oui, mais…


Aujourd’hui, plus rien ni personne n’échappent à la tendance forte de ces dernières années : la connectivité. Montres, balances, bracelets ou encore machines-à-laver, téléviseurs et smartphones, les objets qui nous entourent sont de plus en plus connectés. Aujourd’hui, l’industrie des nouvelles technologies est à la santé mobile. Entre mesure de la fréquence cardiaque, du poids et de la qualité de sommeil, les objets connectés de santé sont de plus en plus populaires et représentent une véritable mine d’or en termes de données personnelles. Un trésor juteux pour de nombreux acteurs, mais dangereux pour la vie privée ?

De plus en plus d'applications mobiles sont à destination de la santé. Crédit photo : santedigitale.fr

De plus en plus d’applications mobiles sont à destination de la santé. Crédit photo : santedigitale.fr

L’usage des données personnelles a toujours été au cœur des préoccupations à l’ère du numérique. Les secteurs dans lesquels ces données deviennent davantage connectées évoluent fortement. En matière de santé par exemple, une pléthore d’objets connectés a fait son apparition. On y trouve des milliers d’applications mobiles – de 17 000 en 2010 à 97 000 en 2012 – dédiées : des montres, des bracelets, des matelas, des thermomètres, capables de répertorier des informations sur la santé et la qualité de vie des individus.

Dans le cadre d’un sondage de 1001 pharmacies, 99% des personnes interrogées par le site n°1 de la santé en ligne , se sont déclarées intéressées par les objets connectés. 65% d’entre elles les utiliseraient pour prévenir certaines maladies, 50% pour permettre le diagnostic ou le pronostic de certaines pathologies, 50% pour suivre leur qualité de sommeil et 35% pour le suivi de certains paramètres biologiques tels que le poids, la tension artérielle ou le rythme cardiaque. Ces chiffres sont révélateurs de l’intérêt que portent les Français à ces nouveaux objets du quotidien, relatifs à la santé : un smartphone qui compte les pas, mesure et enregistre le parcours, la vitesse, le rythme cardiaque et les calories brûlées par exemple.

Le marché de la santé mobile pourrait atteindre 26 milliards de dollars en 2017. Cela représenterait 3,4 milliards d’utilisateurs, soit un smartphone sur deux ayant installé une de ces applications. Seul 15% de ce marché concernerait les professionnels de santé.

Une mine d’or pour les assureurs

Dans le domaine de la santé, les objets connectés se développent massivement. Certains médecins y sont d’ailleurs favorables. Ce qui attise tant leur convoitise? Une technologie mûre et des consommateurs en demande.

D’après 91% des médecins interrogés par Odoxa dans leur enquête « Baromètre Santé 360 » pour Orange et la mutuelle MNH, l’offre d’auto-diagnostic que permettent les applications de santé mobiles sont bien vu par les médecins qui y trouvent là, une opportunité pour les patients, de devenir des acteurs de leur santé en intervenant directement dans leur traitement et le suivi de leur maladie. Elle contribuerait à améliorer la prévention » des maladies.Mais le risque de voir toute sa santé étalée sur la toile, accessible sur internet est-il négligeable?

Dans un monde ultra-connecté, les données personnelles de santé constituent pour des sociétés, une opportunité réelle d’en apprendre davantage sur ses clients et la manière dont ils vivent, les conditions dans lesquelles ils évoluent et consomment. Cela peut se répercuter sur le piratage criminel par exemple mais aussi et surtout sur des désagréments moins tangibles du quotidien comme les assurances, les mutuelles et les banques.

Une assurance qui a accès aux informations personnelles d’un assuré peut lui permettre de segmenter ses tarifs et de les fixer en fonction des risques que représente son client. Si les données collectées par les différents objets qui entourent un utilisateur lambda le pointaient comme étant “une personne à risques” de x ou y maladies à cause d’un rythme cardiaque trop élevé, d’un effort physique pas assez régulier ou d’un léger surpoids, il pourrait se voir refuser une assurance vie, si une compagnie d’assurance analysait ses données personnelles. C’est le cas par exemple de la Techniker Krankenkasse, la plus grande caisse d’assurance maladie publique allemande. [ndlr : voir article de Slate sur le sujet]. Une méthode remise en cause au nom du droit à l’assurance à un tarif raisonnable pour tous.

Le gouvernement français envisage de légiférer afin d’accorder un “droit à l’oubli” pour les personnes guéries d’un cancer afin qu’elles ne subissent pas de discrimination face aux banques ou aux assurances par exemple.

Que dit la loi?

L’émergence des objets connectés pose la question du cadre juridique quant à la définition même des données personnelles de santé et de la responsabilité dans le cadre d’un partage automatisé de ces informations. Si la collecte des données personnelles peut être une source de paramètres utile à l’auto-surveillance, son usage peut entrainer des dérives potentielles sur la vie privée et les libertés individuelles. Alors, que dit la loi?

Toutes les données à caractère personnel sont protégées. Une loi informatique et liberté dessine le cadre légal de ces données personnelles (—> Art. 2 de la loi “informatique et libertés”). Mais cette base ne semble reposer que sur le seul consentement de l’utilisateur…

En Europe, les données personnelles sont protégées par la loi. En revanche, les données stockées sur des serveurs hors-Union Européenne ne sont pas concernées par cette réglementation. Des lois transfrontalières sont alors requises – en associant l’ONU et l’UE – pour définir un cadre général international et répondre à des spécificités locales le cas échéant. Mais leur protection tombe, dès lors que la personne a consenti à cet usage par l’achat du matériel ou l’utilisation d’une application. De fait, une utilisation des dites données personnelles est licite dès lors que le consentement de la personne concernée a été donné. A ce niveau là, on peut dire que la législation rame. Ce qu’il faut, c’est trouver un équilibre entre l’encadrement législatif strict du partage des données personnelles et la sensibilisation et la responsabilisation des utilisateurs.

Quel pouvoir, quelle sanction sur les géants qui utilisent nos données personnelles?

Les entreprises dont l’activité requière les données personnelles de leurs utilisateurs demandent en amont à la CNIL (ndlr : voir encadré), comment mettre en place une application qui respecterait la loi informatique et libertés. Elles doivent effectivement respecter un certain cadre éthique. S’il y a infraction, la CNIL contrôle (ndlr : la présidente demande une mise en demeure de l’entreprise en présentant ce qu’il faut respecter et en annonçant le délai). Elle pratique une surveillance stricte quant à la manière dont les données personnelles liées à la santé sont collectées, voire exploitées par la suite. Les sanctions financières peuvent aller jusqu’à 150 000€. Ce qui ne représente par forcément une lourde peine pour les grandes entreprise mais la sanction peut être rendue publique et ainsi leur porter atteinte. Un sentiment partagé au niveau européen est celui d’augmenter les sanctions, il serait question de sanction en % du CA des entreprises.

Des questions, quelques éléments de réponse

Quel statut ont ces données personnelles, sensibles, intimes et relevant la vie privée d’un individu? Comment sont centralisées et sécurisées nos données? Il est un peu inquiétant de ne pas savoir ce qu’il advient de nos données une fois qu’elles sont en lignes. Est-ce qu’elles peuvent être utilisées par quelqu’un ou même cédées et/ou appartenir à quelqu’un d’autre? Sommes-nous encore maître des informations nous concernant ou tombent-elles dans le domaine public?

Par définition, les données personnelles sont personnelles. C’est à dire qu’elles nous appartiennent et qu’à ce titre, tout à chacun a des droits. En tant qu’utilisateur d’une application mobile de course à pied par exemple, on a l’impression d’avoir toujours ses données à porter de main. C’est entre son smartphone et soi. Mais bien souvent, on oublie l’entreprise commerciale qu’il y a derrière l’application qui les génèrent et les gèrent. Dès lors qu’un acteur traite les données personnelles d’un tiers, ce dernier a un droit d’accès, de modification, de rectification et même de suppression de celles-ci. Il suffit juste de savoir où les données filent sur la toile.

Lorsque l’on sait que Google est capable de géolocaliser nos dernières vacances avec une précision déroutante ou qu’il retient ce que l’on recherche le plus dans son moteur de recherche ou encore qu’il connait les numéros de téléphone de toute notre liste de contact, on finit par se demander s’il n’a pas accès a absolument tout de nous. Ainsi, nos données personnelles et intimes retenues dans nos applications mobiles de sport peuvent être à sa portée aussi.

Pour une certaine protection de ses données personnelles, il est vivement recommandé d’utiliser un pseudonyme lors du partage de ses informations, de ne pas systématique autoriser le partage des données, ne publier les données qu’en direction d’un cercle de confiance et d’effacer ou récupérer les informations lorsqu’un service n’est plus utilisé. La suppression d’une application devrait effacer les données qui y sont associées. L’important est donc la vérification de la sécurité des données personnelles. Le circuit est sensiblement le même quelque soit l’objet : on stocke les données sur le téléphone qui va ensuite les envoyer à l’éditeur. C’est donc à partir de son téléphone qu’il faut sécuriser sa vie numérique.

Utilisation à double tranchant 

Un smartphone qui compte les pas, mesure et enregistre le parcours, la vitesse, le rythme cardiaque, les calories brûlées, etc… permet d’obtenir un suivi extrêmement précis de son activité physique, de ses comportements. Il décortique et mesure nos activités corporelles pour un meilleur suivi de l’effort physique. La frontière entre le simple suivi de son bien-être et le médical peut parfois être floue. Une information qui peut paraitre anodine pour un internaute au moment où il la partage peut se révéler bien plus considérable pour un spécialiste qui y a accès par la suite.

Mais il arrive que nos données personnelles ne soient plus si personnelles que ça. Lorsque la collecte et l’usage des données de santé sont faits par des professionnels (médecins, laboratoires, sécurité sociale, hébergeurs de données), ils sont soumis à un cadre strict. Mais lorsqu’il s’agit du “moi quantifié” (ndlr : “self quantifed”), il n’en est plus de même.

On se demande alors quels risques, quels mauvais usages peuvent-être fait de ces nouveaux usages? Le risque, c’est d’avoir justement des données précises et personnelles, sensibles car liées à la santé, qui sont accessibles sur internet. Tout est stocké et ça créé un profil extrêmement précis de nous. Ce qui peut être bien pour un usage interne mais dangereux des lors que cela sort de la sphère privée. Et le problème se pose davantage lorsque l’on sait que les données les plus personnelles, celles que génèrent nos propres corps sont enregistrés, stockés chez les géants du web. Les modes de captures de ces données sont de plus en plus automatisés et génèrent la circulation d’une masse gigantesque de données personnelles. Alors qu’il s’agit de données sensibles, intimes, elles sont très souvent partagées sur la toile, sans scrupule.

Runtastic par exemple, est une application mobile de course à pied qui calcule :

  • la durée
  • la distance
  • les calories brulées
  • le temps au km
  • la vitesse maximale
  • le nombre de pas
  • le nombre de pas max par minute
  • les dénivelés de terrain
  • les battements du cœur
  • l’espacement des pas
  • la météo
  • le % d’humidité
  • l’humeur
  • les photos
  • le souffle du vent

Avec un utilisateur de ce genre d’application, on a à faire à un individu quantifié qui laisse l’empreinte de son corps sur la toile. Comment ça marche? Les données personnelles collectées par les objets connectés sont transférées aux entreprises qui les fabriquent dans le but de répondre à un service de personnalisation et de prédiction. L’obtention de ces données leur permet de mieux connaitre leurs clients et ainsi mieux guider, orienter leurs intentions d’achat. Il y a un véritable business qui opère avec l’utilisation des données personnelles. Les multiples moyens de capter les actions corporelles des individus comme les bracelets, les applications, les podomètres, etc., participent en grande partie à ce marché naissant. La santé connectée est en train de devenir un véritable marché.

Pour l’instant, le domaine de la santé connectée est encore très jeune et difficile à appréhender. A l’aube d’une petite révolution pourtant, on commence à étudier de près les pratiques liées à l’auto-mesure, à la diversité des outils utilisés à cet effet et aux applications mises à disposition sur le marché. Un réel casse-tête pour les créateurs des objets connectés qu’une grande partie des consommateurs peine encore à percevoir les difficultés de ces évolutions technologiques.

Selon un sondage publié par Havas Media France en janvier 2014, 60% des internautes voient la généralisation des objets connectés d’ici à 5 ans, parce qu’ils sont sources de progrès (75%) et facilitent la vie (71%).

Ces pratiques peuvent enchanter certains professionnels de santé qui voient leur travail se simplifier grâce à la récolte d’informations sur la santé d’un patient. Mais pas tous. Des acteurs privés comme les assureurs peuvent aussi tirer leur épingle du jeu. Alors est-ce que les objets connectés liés à la santé mobile sont vraiment utiles ou de simples gadgets? A vous de juger.

La police du web : la Commission Nationale de l’Informatique et des Libertés (CNIL)

En France, la protection juridique relative à l’utilisation des objets connectés est assurée par la CNIL . Elle a pour slogan :

“Protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles”.

Créée par la loi n° 78-17 du 6 janvier 1978 modifiée dite « informatique et libertés”, elle a pour mission principale la protection des données personnelles et veille à ce que “l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques” (source CNIL).

Cette autorité administrative indépendante exerce ses missions conformément à la loi “informatique et libertés”; elle ne reçoit d’instructions d’aucune autre autorité. Ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, personne ne peut s’opposer à son action. Cependant, toutes les décisions de la CNIL peuvent faire l’objet de recours devant la juridiction administrative.

Ce qui garantit l’indépendance de la CNIL, c’est principalement sa composition et son organisation. Tous ses membres sont pour la plupart, élus par les assemblées ou les juridictions auxquelles ils appartiennent. Elle est composée de 17 membres dont 12 sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent. Elle élit un Président (ndlr : Isabelle FALQUE-PIERROTIN est Présidente de la CNIL depuis le 21 septembre 2011) parmi ses membres. Son président, sa présidente en l’occurrence, recrute librement ses collaborateurs. Les agents de la CNIL sont des agents contractuels de l’État et son budget relève de celui de l’État. Ils se réunissent en séances plénières et en formation restreinte chaque semaine, en suivant l’ordre du jour établi par sa présidente. La majeure partie de ces réunions est consacrée à l’examen des projets de loi et des décrets soumis à la CNIL pour avis, par le Gouvernement