Adoptez les bonnes pratiques informatiques :

Par les possibilités extraordinaires qu’elle laisse entrevoir, l’e-santé nourrit une vaste réflexion qui s’étend à toute la chaîne de valeur. Oui, mais tout développement est contraint par un environnement particulièrement réglementé et surveillé. Comment en tirer avantage ?

La direction « innovation et prospective » de la Cnil vient de publier une nouvelle étude intitulée « Le Corps, nouvel objet connecté ? » (1) visant à faire une cartographie du marché du quantified self (2), des pratiques et des acteurs, ainsi qu’un état des lieux du cadre légal à l’international des régulations applicables aux applications mobiles de santé et des capteurs connectés. Des données traditionnellement confiées au médecin de famille dans le cadre d’un cercle de confiance maîtrisé se retrouvent aujourd’hui sur les réseaux sociaux. Ces données sur le mode de vie collectées au travers d’applications mobiles de santé ou de dispositifs comme des balances connectées soulèvent de nombreuses questions juridiques : confidentialité et sécurisation de ces données ; qualification juridique de ces données « bien-être » ; recueil du consentement des personnes au moment où leurs données de santé sont collectées, ou encore de la monétisation de données issues du corps humain.

La réglementation des données émises par les objets connectés

Le quantified self n’est qu’une manifestation du développement exponentiel des objets connectés, et ce dans des domaines très variés comme le sport (objectif de recherche de la performance via l’utilisation de bracelets, montres, ballons ou encore raquette de tennis « connectés »), la santé ou encore l’assurance automobile (par exemple : système de Pay as you drive commercialisé depuis quelques années). L’utilisation de ces objets connectés – couplée généralement à des applications disponibles sur les smartphones ou tablettes – génère la collecte d’une masse d’informations concernant leurs utilisateurs. Il s’agit, au-delà des informations communiquées par les utilisateurs eux-mêmes – généralement leur identité, leurs adresses électroniques et postales, etc. –, des données générées par l’utilisation du produit « connecté » : nombre de coups joués par le joueur de tennis, nombre de kilomètres parcourus pour le conducteur de la voiture, etc.

Tout ou partie des informations collectées et accessibles par les fournisseurs de solutions et utilisateurs est donc susceptible de constituer des données personnelles au sens de la directive européenne relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données du 24 octobre 1995 (3) et de la loi du 6 janvier 1978 dite Informatique et Libertés (n° 78-17). Il appartient donc à ces professionnels de respecter les obligations prévues par la réglementation applicable en matière de protection des données personnelles, qui a pour objet d’offrir un cadre légal à l’utilisation des données relatives aux individus et de leur reconnaître des droits spécifiques : droit à être informé, droit d’accéder à leurs données, etc.