Fuite de données de Doctolib, plainte contre Doctissimo pour infraction au RGPD, recours contre le Health Data Hub… Durant tout l’été, le Covid n’a pas été le seul sujet d’actualité. La question de l’utilisation et de la protection des données personnelles de santé des citoyens et consommateurs est régulièrement revenue sur le devant de la scène. De quoi interroger sur nos propres pratiques, qu’elles soient collectives ou individuelles, quant à ces données aussi intimes que sensibles. Le sujet est important. Selon une étude Odoxa de 2017, 72 % des Français estiment que leurs données de santé peuvent faire avancer la recherche. En revanche, hors de question de le faire aveuglément : 52 % accepteraient de les partager à condition de savoir à quelles fins elles seraient utilisées, 51 % à qui elles seraient transmises. 50 % de faire valoir son droit d’opposition à tout moment. Et pour 14 %, la réponse est claire : ils ne transmettraient leurs données de santé personnelle « en aucun cas », au-delà de leurs propres professionnels de santé.

73 % des propriétaires d’objets connectés s’en méfient

Et pourtant, nous sommes toujours plus nombreux à utiliser des objets connectés, notamment liés à la santé. Dans le monde, le marché de l’IOT a dépassé les 1 000 milliards de dollars. Des objets Tech que nous achetons et utilisons souvent sans trop nous poser de questions : une balance pour suivre son poids et sa masse graisseuse, un bracelet pour compter ses pas et sa fréquence cardiaque, un bandeau pour analyser son sommeil, une application pour suivre son cycle menstruel ou sa grossesse, un tensiomètre connecté, un pilulier électronique… La liste est inépuisable. Problème : toute l’affaire est un géant paradoxe. Deux sondages réalisés par l’ONG Internet Society l’illustrent parfaitement : d’un côté, 73 % des propriétaires d’objets connectés s’en méfient. De l’autre, sept Français sur dix ne lisent pas, ou rarement, les conditions générales d’utilisation.

Lire aussi : LegalTech : quels freins à son développement ?

En achetant de tels objets, qui peuvent sembler anodins, se rend-on compte d’où vont ces données de santé, pourtant très personnelles ? « Les objets connectés permettent de savoir en temps réel votre rythme cardiaque, vos problèmes de diabète, vos pas quotidiens… Ces applications, très intrusives, construisent votre profil fondé sur toutes vos habitudes de vie. Les assurances ont investi massivement dans ces objets connectés, car elles ont compris la manne financière qu’ils peuvent représenter. Cela leur permet de trier les assurés présentant le moins de risques selon leur profil et de fausser l’équité du contrat entre assuré et assurance, en diminuant la part de hasard », souligne Joël Colloc, médecin et professeur d’informatique à l’université du Havre, spécialiste de ces questions. Une personne sédentaire, non sportive, avec des antécédents de diabète et dormant insuffisamment la nuit devra-t-elle payer des primes d’assurance beaucoup plus élevées que son voisin jeune sans antécédent ? « Cet hygiénisme est une source de discrimination. Les objets connectés pourraient jouer un rôle de prévention utile si ces informations vous étaient réservées. Mais elles sont en fait partagées avec des fournisseurs que vous ne connaissez pas, qui les commercialisent », pointe-t-il. Il appelle donc les consommateurs à davantage de vigilance face à ces services, aussi bien gratuits que payants, et face à l’utilisation réellement faite des données individuelles de santé. Et à une éducation des patients aux risques, déviances et mésusages de leurs données, en commençant par ce qu’ils divulguent sur les réseaux sociaux.

Une question de transparence

Car certaines données sont bel et bien vendues. « Selon le nombre de pas, on peut voir si la personne est sportive. Si c’est le cas, ses données peuvent alors être vendues à des magasins de sport, qui vont lui envoyer de la publicité ciblée. C’est un exemple simple, parmi tant d’autres : le marché mondial des big data a été évalué à plus de 180 milliards de dollars en 2019. Après, certaines personnes peuvent le savoir et décider qu’elles acceptent cet usage de leurs données, en échange d’un service. Chacun met le curseur où il l’entend. Le plus important est la transparence et l’explicabilité ! Alors pour en savoir plus, renseignez-vous sur l’entreprise, ses valeurs, est-ce qu’elle parle du RGPD, où les données sont hébergées… », détaille Jérôme Béranger, auparavant chercheur sur l’éthique du numérique et auteur d’ouvrages sur le sujet. En 2017, il a fondé la société Adel, un label dédié à apporter du sens, de la sécurité, de la transparence et de la confiance dans le traitement algorithmique des données. Comme pour un label bio, l’entreprise qui le désire doit respecter un cahier des charges, suivre un processus de certification, et recevoir des recommandations sur l’exploitation éthique des données. « L’idée est de rassurer le consommateur, et que cette question puisse devenir un critère lors d’un achat ».

Le RGPD, protecteur des données

Et encore, la France n’est pas le pire élève de la classe. « En France, et dans l’Union européenne de façon plus générale, les données sont protégées par une règlementation stricte, dont le fameux RGPD. Elles jouissent donc d’une protection renforcée, en particulier les données de santé, qui sont sensibles. Le cadre juridique français est très protecteur : par exemple, tout hébergeur de données de santé doit obéir à des règles strictes et s’assurer que celles-ci soient stockées dans les règles, notamment dans le but d’éviter les fuites. En outre, il ne faut pas croire qu’un acteur privé, ou public, peut faire tout ce qu’il veut de nos données. Par exemple, ma mutuelle ne peut pas vendre les éléments qu’elle a collectés à mon sujet à des fins marketing », explique Nina Gosse, avocate au cabinet De Gaulle Fleurance et Associés, intervenant notamment en matière de protection de la vie privée et des données personnelles.

Lire aussi : Pollution numérique : regarde-t-on trop de vidéos et envoie-t-on trop de mails ?

Sur le papier, l’usage des données de santé est donc plutôt encadré. Reste un autre risque : celui de la fuite de données, du hacking. « Des cybercriminels peuvent mettre la main sur des banques de données et demander des rançons en échange de leur restitution. Ce qui s’est passé avec Doctolib est un bon exemple : la fuite de données est ici un usage malveillant. Cela montre aussi que l’on prend des risques en mettant en ligne nos dossiers médicaux, nos rendez-vous, nos radios, nos ordonnances… », relève Pierre Le Coz, professeur de philosophie à l’université d’Aix-Marseille, qui travaille sur l’éthique et le droit de la santé. Pour rappel, Doctolib a subi une fuite de données sur plus de 6 000 rendez-vous, avec les noms, coordonnées, sexe, dates de rendez-vous et noms du médecin.

L’information, l’unique clef

Face à tout cela, l’urgence est d’informer les consommateurs, de leur donner les clefs pour comprendre le sujet. Et faire attention à qui ils confient leurs données de santé. « Il est impératif qu’ils disposent d’une véritable information, transparente. Notre système fonctionne dans le cadre d’une démocratie, avec une liberté des individus. Imaginons un changement de régime, on entre alors dans une société de surveillance totale. Sans tomber dans la paranoïa, ce qui n’est pas l’objectif, il faut rester vigilant. Pour être réellement dans une démocratie de santé, les citoyens doivent être partie prenante et davantage documentés», met en garde Danielle Dufour-Coppolani, enseignante et chercheuse, titulaire d’un doctorat en santé publique et pathologie clinique sur les données de santé. Elle conclut : « Je reste convaincue que les données de santé peuvent permettre de réelles avancées pour la médecine. À condition de résister à l’appât du gain ».

Laura Makary
Laura Makary
Plume Journaliste