Les applis de santé respectent-elles la loi sur la vie privée?

04/03/16 à 10:00 - Mise à jour à 01/03/16 à 16:23

Source: Datanews

Les smartphones et autres wearables permettent plus de jamais de surveiller de près sa santé. Mais comment savoir si ces applis de santé respectent la législation sur la vie privée?

La législation relative à la collecte de données (de santé) n'a pas changé. Mais alors qu'autrefois, la pression sanguine ou le pouls ne pouvaient être mesurés que dans le cabinet du médecin, il est désormais possible de recourir à des applis de sport ou de santé qui impliquent facilement de 3 à 4 acteurs, éventuellement avec des intérêts commerciaux. Du coup, nous devons plus que jamais nous inquiéter du respect de la vie privée dans l'exploitation de ces données.

Certes, les développeurs d'applis sont favorables au respect de la législation. Mais ils ne sont guère enclins à suivre cette règlementation avant qu'elle ne soit effective. Et encore moins que tous les Etats membres de l'Union européenne l'ait mise en oeuvre. "Les législations sont assez similaires, mais chaque pays a ses propres sensibilités. C'est ainsi qu'en Belgique, le traitement de données de santé doit se faire par le biais d'un praticien, comme un médecin. Mais tel n'est pas le cas dans tous les pays", explique Hans Graux, avocat chez time.lex spécialisé comme son collègue Edwin Jacobs dans les aspects de vie privée dans le monde numérique.

Partager

Le problème est que la législation est relativement complexe, souvent écrite par et pour des juristes.

Rendre Lisible

"Le problème est que la législation est relativement complexe, souvent écrite par et pour des juristes, ce qui est également le cas pour la législation sur la vie privée. Par ailleurs, cette législation s'applique aussi à des secteurs de niche, comme le cloud computing. Dès lors, il est nécessaire de prévoir un code de conduite qui, notamment pour les applis de santé, expliquerait les éléments à prendre en considération lors de la sélection d'un prestataire de services. Ces dispositions figurent aujourd'hui déjà dans la loi, mais un tel code de conduite serait plus explicite."

Et Jacobs d'enchaîner : "Dans le cas des applis de santé, on part de rien. Alors que la législation sur la vie privée stipule par exemple que 'il faut prévoir un niveau de sécurité adapté', sans préciser ce que signifie 'adapté'. En tant que développeur, il faut savoir comment intégrer ces aspects."

Désormais, une version provisoire de ce code de conduite pour applis mobiles est disponible qui devrait être finalisée d'ici l'été. Selon time.lex, il s'agit d'une interprétation de l'application de la législation. Mais le contenu de ce code de conduite est également examiné par les différentes Commissions européennes sur la vie privée afin d'en améliorer la fiabilité. "Aujourd'hui, l'on constate que les développeurs d'applis respectent déjà souvent les règles, ajoute Graux. Mais chaque société ne compte pas forcément un juriste dans ses rangs ou dispose de budgets limités, alors qu'il faut que ce soit réaliste pour les PME de respecter ces dispositions."

"A terme, les entreprises seront davantage contrôlées. Ainsi, il faudra désigner un data protection officer en cas de collecte de données sensibles à grande échelle, pas forcément comme une fonction à part entière mais comme une mission. La Commission vie privée sera également plus stricte face aux infractions. Dès lors, les PME ont intérêt à ce que ce code de conduite soit lisible", confie encore Edwin Jacobs.

.

. © Lectrr

Et Graux d'ajouter : "Ne sous-estimez pas non plus la manière dont peut évoluer une PME. Ainsi, Twitter n'était encore qu'une petite société lorsqu'elle a commencé avec 10 millions d'utilisateurs."

Et Jacobs de surenchérir : "Nous sommes confrontés à de nombreux défis : les applis, l'IoT, les wearables, le tout associé aux big data. Il ne faut pas voir seulement l'appli, mais l'ensemble de l'écosystème qui doit également respecter la vie privée."

Questions étiques

Graux : "Quand bien même les données sont acheminées de manière aisée et sécurisée vers le cloud, d'autres questions peuvent surgir. C'est notamment le cas pour les urgences où un patient est relié à un moniteur qui envoie des données de santé critiques dans le cloud. En l'occurrence, le système calcule par exemple que le patient n'a que 2 % de chances de survie, indépendamment de l'intervention du médecin. Est-il éthique de communiquer ces informations au médecin, juste au moment où il termine sa journée de travail ?"

Jacobs s'inquiète également de la transparence des applis. "Dans le cas d'applis gratuites, l'on sait que vos données vont être exploitées. Mais si l'appli reçoit par la suite une mise à niveau ou une nouvelle disposition sur la vie privée, la plupart des gens vont l'accepter sans réfléchir, alors que leurs données vont peut-être précisément être utilisées."

Partager

Une appli doit préciser quelles données sont collectées et dans quel but. Ces informations ne doivent pas être enfouies dans des conditions générales.

"Beaucoup d'utilisateurs ne savent pas ce pour quoi ils ont précisément donné leur autorisation, épingle encore Graux. C'est ce que veulent empêcher désormais dans les régulateurs sur la vie privée que les législateurs. Une appli doit préciser quelles données sont collectées et dans quel but. Ces informations ne doivent pas être enfouies dans des conditions générales."

Vouloir et pouvoir

Tant le secteur que la Commission vie privée ont pour ambition de clarifier la loi et de la rendre plus applicable. Mais établir un code de conduite ne signifie pas qu'il sera effectivement respecté. "Le contrôle demeure le point faible, tout comme la possibilité de retirer ses données d'une appli", note encore Graux. Mais le secteur est aussi relativement jeune et n'est donc pas encore parfaitement régulé. "Ce sont des lacunes que l'on retrouve dans les start-ups et PME. Alors que dans les hôpitaux par exemple, l'encadrement existe depuis longtemps déjà. En revanche, les jeunes sociétés actives dans les nouvelles technologies, tel n'est pas encore le cas."

Le projet "Draft Code of Conduct on privacy for mobile health applications" peut être téléchargé sur :

http://ec.europa.eu/newsroom/dae/document.cfm?action=display&doc--id=12378

Nos partenaires