« Les parties prenantes ne connaissent pas ou pas suffisamment les prescriptions ou ne s’en soucient pas. »

Barbara Widmer : Les données relatives à la santé sont particulièrement susceptibles de porter atteinte à la personnalité d’une personne. Je pense, par exemple, à la révélation non souhaitée d’un diagnostic médical défavorable. Beaucoup de personnes pensent n’avoir rien à cacher, mais cette position n’est valable ni de manière générale ni dans le domaine de la santé en particulier. Nous avons tous quelque chose à cacher, et on peut le comprendre. Les données sanitaires permettent en effet de déduire de nombreuses informations qui revêtent un grand intérêt pour différents acteurs du marché, comme les assureurs (assurance-maladie, perte de gains, invalidité, assurances-vie), les autorités, les employeurs ou encore l’industrie pharmaceutique.

Dès lors qu’elle s’effectue à l’insu des utilisateurs, autrement dit, sans qu’ils n’aient donné leur consentement. Le traitement de données personnelles requiert soit l’accord des personnes concernées, soit une base légale. De manière générale, une personne ne consent valablement au traitement de ses données personnelles que si elle exprime sa volonté de manière libre et explicite, après avoir été dûment informée, et qu’elle a connaissance de la ou des finalités du traitement.

On dénombre en particulier trois types de risques : Tout d’abord, le risque de détournement des informations. Selon la législation sur la protection des données, elles ne peuvent être traitées que dans le but qui est indiqué lors de leur collecte. Or, l’utilisation d’applications mHealth implique régulièrement la mesure, la collecte et l’analyse de valeurs. Il existe malheureusement un risque que le fabricant ou le prestataire procède en arrière-plan à un traitement des données à d’autres fins, par exemple publicitaires, sans que les personnes concernées n’y aient consenti.
Un deuxième facteur de risque est le manque de transparence concernant le traitement des données. Souvent, les personnes utilisant des applications mHealth ignorent en effet où ces dernières enregistrent les informations, qui peut y accéder et dans quelle mesure elles sont transmises à des tiers.
Enfin, une lacune dans la sécurité informatique peut constituer un troisième type de risque. Selon la législation sur la protection des données, les applications mHealth doivent bénéficier d’une sécurité informatique correspondant à l’état actuel de la technique. Or, pour des raisons de coûts, les fabricants réalisent des économies à ce niveau, en particulier, dans les versions gratuites, ce qui compromet l’exactitude des données (qui peuvent être faussées ou attribuées par erreur à d’autres personnes à la suite d’accès non justifiés). De plus, un manque de sécurité informatique accroît le risque de vol des données.

De manière générale, les versions payantes (et cela vaut aussi en dehors de la santé mobile) offrent plus de possibilités de gérer l’utilisation des données personnelles. Beaucoup de gens n’ont pas conscience que la gratuité des offres numériques n’est qu’apparente, car le prestataire se rétribue en évaluant les données collectées et en les vendant à des tiers selon les cas, souvent à l’insu des personnes intéressées. Une personne utilisant des applications mHealth devrait donc choisir des offres payantes et toujours s’informer des fins auxquelles les données sont collectées, qui peut y accéder, où elles sont stockées et dans quelle mesure elles sont transmises à des tiers.

Il est tout à fait possible de se protéger. Les offres apparemment gratuites (voir réponse à la question 4) doivent toujours être considérées avec prudence. En outre, il faudrait toujours vérifier si une variante payante d’une application mHealth est disponible et, dans tous les cas, il devrait être possible d’obtenir des réponses aux questions suivantes : à quelle fin l’application mHealth collectet- elle des données, qui y a accès, où sont-elles enregistrées et sont-elles transmises à des tiers. Si une application ne permet pas de répondre à ces questions, il faut renoncer à l’utiliser, même si elle est payante.

Cela dépend du pays dans lequel elles se trouvent. Si elles sont stockées dans l’Union européenne, on a bonnes chances d’imposer la loi. L’UE a en effet entièrement remanié sa législation sur la protection des données et a introduit différentes dispositions, plus strictes. Ainsi, en cas d’infraction, les autorités de surveillance européennes ont désormais la possibilité d’infliger des amendes élevées.
Si les données ne sont pas stockées dans l’UE, la prudence s’impose. Bien que les États-Unis disposent d’une législation sur la protection des données, elle diffère considérablement des conceptions européenne et suisse. Dans des pays comme la Chine, l’Inde et la Russie, ce cadre légal est inexistant ou insuffisant. Il est donc recommandé aux personnes utilisant des applications mHealth de se limiter à celles qui enregistrent leurs données en Suisse ou dans l’UE.

Il n’est possible de répondre à cette question que de manière générale. Le fabricant ou le prestataire d’une application mHealth peuvent être mis en cause. S’il s’agit de la même personne, une action peut être engagée à son encontre en cas de dommage. S’il s’agit de deux personnes différentes, les choses sont plus difficiles, surtout si elles sont situées dans des pays différents. Dans ces cas-là, les questions entrant en ligne de compte sont les suivantes : avec qui a été conclue la relation contractuelle, quel for ou quel droit paraissent les plus adéquats ? Si une plainte est considérée, il est toujours recommandé de faire appel à un spécialiste en droit.

En collectant des données pendant une période représentative, puis en les évaluant, une entreprise est en mesure d’établir des profils de personnalité, lesquels peuvent être utilisés à des fins diverses, par exemple, pour effectuer des analyses de risque liées à la souscription d’assurance-maladie ou d’assurance- vie, pour proposer des offres publicitaires personnalisées (médicaments, produits lifestyle, dispositifs médicaux, etc.), pour optimiser des offres de marchandises et de prestations ou encore pour permettre à un employeur de mieux estimer les risques d’absentéisme pour cause de maladie chez un employé. Il n’est pas rare que des entreprises achètent des analyses de données réalisées par des tiers ou vendent leurs propres analyses. En exploitant ces fichiers, l’entreprise est mieux à même de planifier et de gérer ses opportunités et, surtout, les risques auxquels elle est confrontée, ce qui est un besoin vieux comme le monde dans le domaine commercial. C’est pour toutes ces raisons que les données sont si précieuses pour les entreprises.

Si l’on prend l’exemple de l’UE, on constate qu’une législation plus stricte en matière de protection des données ne constitue pas un frein à la force d’innovation des entreprises. Pour encourager les activités de recherche et de développement dans son marché intérieur, l’UE a remanié différents actes juridiques, parmi lesquels la réglementation sur la protection des données, qui a été significativement durcie. À mon avis, la force d’innovation d’une entreprise dépend beaucoup plus du droit sur les biens immatériels, du droit de la concurrence ainsi que de la politique nationale en matière d’emploi et de migration que de la législation sur la protection des données.

Pour ma part, je n’estime pas nécessaire d’adapter la législation sur la protection des données. Le problème réside davantage dans le fait que les parties prenantes ne connaissent pas ou pas suffisamment les prescriptions existantes ou ne s’en soucient pas (ce qui est malheureusement le cas de nombreuses personnes). Il faut donc accroître les efforts pour mettre en oeuvre la législation existante. En ce qui concerne les fabricants et les prestataires d’applications mHealth, l’UE et eHealth Suisse ont élaboré des guides assortis de check-list. De plus, la Suisse étudie la question d’un contrôle minimal centralisé des applications mHealth par un service étatique ou quasi étatique et entend renforcer les mesures de sensibilisation des utilisateurs.