Aujourd’hui, il devient de plus en plus difficile d’imaginer un quotidien sans les wearables. Ces appareils connectés que sont les montres connectées, les bracelets connectés ou encore récemment les bagues connectées collectent une multitude de données personnelles et notamment des données de santé.
Qu’est-ce qu’une donnée de santé ?
Les données collectées par les wearables regroupent ainsi les données personnelles classiques telles que le nom, l’âge, le sexe de la personne, les données de santé comme le rythme cardiaque, le suivi du sommeil, le poids, la taille et des métadonnées comme la géolocalisation ou les habitudes de vie. Mais qu’est-ce qu’une donnée de santé ?
Le règlement général sur la protection des données (RGPD) donne une définition assez large des données de santé. En effet « les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne. »
Cette définition englobe ainsi les informations relatives à une maladie, un handicap, des antécédents médicaux, un traitement médical, … Soit toutes sortes de données de mesure avec lesquelles il est possible de déduire une information sur l’état de santé de la personne concernée.
Les objets connectés ou wearables sont donc des dispositifs capable de se connecter à un réseau (Wi-Fi, Bluetooth, …) pour recevoir, stocker, traiter et transmettre des données. Dans le cas des wearables, les informations collectées sont souvent des données de santé qui permettent une surveillance étroite des comportements et de la santé de ses utilisateurs.
Les wearables, possédant des capteurs intégrés, collectent ainsi des données telles que les signes vitaux comme la fréquence cardiaque, la tension artérielle, mais aussi des données de bien-être et de stress ou encore des données métaboliques et nutritionnelles comme le taux de glucose, des maladies et même des données d’activités physiques.
Mais, il faut noter que n’entre pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut être tirée au regard de l’état de santé de la personne. Au regard du RGPD, ces données d’activités physiques doivent donc être croisées avec d’autres données pour être considérées comme des données de santé. Selon l’article 9 du RGPD, toutes ces données de santé sont des catégories particulières qui nécessité une protection renforcée.
Un régime spécifique applicable aux données de santé
Avec la qualification des données de santé, un régime juridique particulier et justifié par la sensibilité des données s’applique. Le RGPD, prévoient que chacun des traitements des données personnelles, y compris les données de santé, doit être réalisé en intégrant une finalité déterminée, explicite et légitime, la minimisation de la collecte des données, une durée de conservation des données limitée, une obligation de sécurité, l’information des personnes concernées et enfin le respect des droits des personnes concernées (droit d’accès, droit à la portabilité, droit à la limitation, à l’effacement, droit d’opposition et de rectification).
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) veille au respect de ces obligations et a par ailleurs publié des recommandations spécifiques sur les objets connectés de santé. Aussi des normes techniques, comme la norme ISO/IEC 81001-5-1 viennent compléter ce cadre pour définir des exigences de cybersécurité spécifiques aux dispositifs de santé.
Au-delà de ces obligations, tout traitement de données de santé par un objet connecté présente aussi des risques et notamment le traitement de données à l’insu de la personne concernée.
Sécurité des objets connectés et des données de santé
La sécurité des wearables est essentielle. Le secteur de la santé est d’ailleurs particulièrement exposé et les objets connectés traitant des données de santé doivent faire l’objet d’une attention particulière du fait de potentielles attaques, de fuites ou piratages de données. Aussi, les organismes de santé sont des cibles privilégiées pour les hackers car les données de santé peuvent être revendues assez facilement sur le darknet.
Parmi les risques identifiés, deux grands types de menaces se distinguent : l’utilisation commerciale des données personnelles et les atteintes à la vie privée et le piratage. Certaines entreprises, qui fabriquent ces objets connectés, ne disposent pas toujours d’une véritable culture de la sécurité informatique, se traduisant ainsi par des solutions techniques mal sécurisées telles que des mots de passe non chiffrés, un service présentant des failles de sécurité, …
Afin de limiter les risques liés à l’usage de ces objets connectés, il est important de se renseigner avant l’achat, de réaliser régulièrement les mises à jour mais aussi de limiter l’accès des objets connectés à d’autres appareils électroniques.
Les applications mobiles en santé sont d’ailleurs soumises à la réglementation sur la protection des données personnelles uniquement si elles proposent des fonctionnalisés permettant d’assurer un service à distance pour l’utilisateur ou qu’elle comporte une connexion extérieure comme une sauvegarde de données cloud. En revanche, une application mobile en santé qui enregistre et conserve des données personnelles seulement localement, sur un appareil personnel et sans transmission externe échappe à l’obligation posée par le RGPD.
C’est le cas par exemple des applications de running, utilisant le plus souvent la géolocalisation et permettant un suivi par l’utilisateur de ses performances physiques, qui pourra alors les partager sur les réseaux sociaux. Dans ce cas, il sera alors obligatoire que les mentions d’informations soient claires, que les paramètres de l’application ne soient pas imposés par défaut et que l’utilisateur puisse retirer son consentement à tout moment.
À l’heure où les objets connectés connaissent mieux notre santé que nos médecins, le défi n’est plus seulement technologique, il est également juridique : concilier innovation et protection des données de santé à travers des mesures de protection telles que le chiffrement des données, une collecte minimale seulement des données nécessaires, ou le consentement clair et surtout une véritable transparence sur la finalité du traitement des données de santé.
Sources :
- https://www.economie.gouv.fr/dgccrf/les-fiches-pratiques-et-les-faq/objets-connectes-les-risques-connaitre
- https://aumans-avocats.com/objets-connectes-de-sante-enjeux-juridiques/.
- https://www.cnil.fr/fr/objets-connectes-noubliez-pas-de-les-securiser
- https://www.cnil.fr/fr/applications-mobiles-en-sante-et-protection-des-donnees-personnelles-les-questions-se-poser
- https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
