Les applications de e-santé et la question de la protection des données personnelles
Ces dernières années, le nombre d’applications en santé a augmenté de façon fulgurante, passant de 100 000 en 2016 à plus de 350 000 en 2020. Les données personnelles que les utilisateurs y inscrivent sont de réelles mines d’or et il est nécessaire qu’elles soient protégées.
Partout sur internet, nous laissons des informations sur notre personne qui peuvent être utilisées à des fins malveillantes ou subir un mauvais traitement. C’est dans ce soucis de protection que le RGPD a été mis en place. Il a pour but d’encadrer tout organisme traitant des données personnelles européennes et la CNIL s’assure à ce que ce règlement soit respecté.
Qu’est-ce que le RGPD ?
Le RGPD (Règlement Général sur la Protection des Données) est un texte de loi adopté par le Parlement Européen, en vigueur depuis le 28 mai 2018.
Il a pour objectif de renforcer la protection des données personnelles des citoyens de l’Union européenne, en améliorant notamment la transparence sur la collecte de ces données et leur utilisation.
À la différence de la directive européenne de 1995, que le RGPD annule et remplace, il part du principe que la protection des données personnelles constitue un droit fondamental pour tout citoyen de l’UE.
Il s’agit donc d’une loi contraignante, qui vise à responsabiliser l’ensemble des acteurs publics ou privés collectant ou traitant ce type de données.
En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés), qui fait figure d’autorité et veille à la bonne application de cette loi.
Quel sont les 3 objectifs principaux du RGPD ?
- Une protection des données à caractère personnel similaire entre les habitants des l’UE
- Un cadre légal sur le traitement de données personnelles simplifié et allégé
- Une responsabilité accrue de la part des entreprises
Concrètement, qu’est-ce qu’une donnée personnelle?
Les données personnelles sont les informations se rapportant à une personne physique vivante identifiée ou identifiable, dont le regroupement permet d’identifier cette personne en particulier, directement ou indirectement.
Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Il y a 7 catégories de données personnelles :
- Les données relatives à l’identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.)
- Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.)
- Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
- Les informations économiques (revenus, impôts, données bancaires, droits sociaux, situation financière, etc.)
- Les données de localisation (coordonnées GPS, géolocalisation véhicule ou téléphone, badges bâtiments, télépéages, etc.)
- Les données judiciaires (casier judiciaire)
- Les données sensibles
Qu’est-ce qu’une donnée sensible ?
La CNIL définit une donnée sensible comme une « information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes ».
On peut ajouter les données relatives aux condamnations pénales ou aux infractions, les données biométriques et génétiques, ou encore le numéro de sécurité sociale (NIR).
Qu’en est-il de la protection des données dans le domaine de la e-santé, et en particulier de la e-santé mentale?
Bien que les applications de santé mentale soient conçues pour aider les utilisateurs à faire face entre autres au stress, à la dépression, à l’anxiété, aux troubles du sommeil , elles ont aussi quelques effets secondaires numériques.
En effet, une étude récente de la Fondation Mozilla a identifié que de nombreuses applications ont des politiques de confidentialité vagues. Elles collectent des données sur les utilisateurs et peuvent les partager avec des tiers.
La plupart des applications de santé mentale sont une aubaine de collecte de données et suivent, partagent et capitalisent sur les pensées et les sentiments personnels les plus intimes des utilisateurs.
Les utilisateurs partagent des détails intimes et personnels dans ces applications, de sorte que les développeurs d’applications et les tiers intéressés disposent de données extrêmement sensibles.
Il est très contraire à l’éthique de leur part d’utiliser ces données à des fins de marketing ou à d’autres fins lucratives.
De plus, les applications d’e-santé font rarement l’objet d’une étude scientifique avant leur mise sur le marché.
Aux États-Unis :
Aux Etats-Unis, ces applications n’ont généralement pas besoin de se conformer aux réglementations HIPAA (Health Insurance Portability and Accountability Act). Cette loi oblige les professionnels et les services de santé à garder toutes les données privées . Étant donné que ces applications ne relèvent pas du domaine médical, HIPAA ne s’y applique pas et ils sont libres de faire ce qu’ils veulent avec les données des utilisateurs.
Parmi les trente-deux applications analysées par l’équipe, vingt-neuf se sont vu remettre une icône d’avertissement «Confidentialité non incluse». Selon le guide, ces étiquettes sont décernées «aux produits [considérés] comme peu recommandables en la matière», en suivant des critères spécifiques comme l’utilisation des données personnelles par les entreprises, le degré de contrôle qu’ont les utilisateurs sur ces dernières ou encore le taux de sécurité proposé par les applications.
«En ce qui concerne la protection de la vie privée et de la sécurité des personnes, les applications de santé mentale et de prière sont pires que toute autre catégorie de produits […] examinée au cours des six dernières années», alerte le communiqué.
D’après la Fondation Mozilla, les pires applications en matière de confidentialité sont
On en retrouve d’autres populaires dans cette liste d’apps à la «confidentialité non incluse», comme Bearable ou encore Calm.
Seulement trois de ces entreprises ont répondu aux sollicitations des chercheurs de Mozilla.
Aussi, les applications de santé mentale ont pu se présenter comme une alternative pour certains utilisateurs. Cette nouvelle étude semble malheureusement démontrer que le secret médical reste l’apanage des professionnels.
Dans l’Union européenne :
Dans les pays de l’Union européenne, les applications de santé mentale rentrent en grande partie dans le champs du RGPD, qui impose des règles strictes en matière de collecte et traitement des données, du respect du consentement des utilisateurs et de confidentialité.
Un cadre que de nombreuses applications ne respectent pas.
Nombre d’entre elles ont des fonctionnalités de sécurité faibles. Par exemple, certaines permettent aux utilisateurs d’utiliser des mots de passe faibles ou ne protègent pas correctement les données sensibles de leurs utilisateurs. Ces derniers sont donc exposés à des risques de violation et de fuite de données.
Les applications, en particulier gratuites de santé mentale, utilisent parfois des publicités ciblées basées sur les données collectées. Certains services vendent des données à des tiers, de sorte que ces publicités peuvent refaire surface dans d’autres applications.
Les adolescents et les jeunes adultes constituent une part importante des utilisateurs. Ces groupes sont particulièrement vulnérables car plus sensibles et moins expérimentés pour faire face aux menaces et aux abus psychologiques en ligne.
La mauvaise protection des données est souvent liée à la fois à la négligence des développeurs et aux attaques de plus en plus sophistiquées des cybercriminels.
En Finlande, un hacker a eu accès aux dossiers médicaux d’une dizaine de milliers de patients d’un institut psychiatrique. Il a par la suite tenté d’extorquer de l’argent auprès des patients et du personnel médical, en les menaçant de la publication de ces informations.
Les psychiatres et psychologues sont donc nombreux à être réticents face à ces nouvelles technologies.
Ce qu’en dit la HAS (Haute Autorité de Santé) :
L’expansion rapide des applications et objets connectés en rapport avec la santé rend difficile le choix d’une application de qualité pour les utilisateurs, patients comme professionnels de santé.
C’est pourquoi, la HAS élabore des référentiels afin d’aider les entreprises à développer des produits fiables et de qualité.
Parmi ces dispositifs, le référentiel de bonnes pratiques sur les applications et les objets connectés en santé, élaboré en 2016, vise à améliorer la fiabilité et la sécurité de ces applications et objets connectés afin que les utilisateurs, particuliers comme professionnels, puissent les utiliser en toute confiance.
Pour aller plus loin, la HAS a dressé en 2021 un état des lieux des dispositifs d’évaluation dans le domaine de la santé mobile et a élaboré un référentiel de critères pour évaluer la qualité du contenu médical des applications mobiles. Ce travail s’applique à tout type d’application m-santé, dispositif médical ou non.
Comment définit-elle un contenu médical de qualité ?
Selon les fonctionnalités de l’application, son contenu médical revêt différentes formes : soit des informations générales ou d’éducation à la santé ; soit des contenus produits par l’utilisateur via des objets connectés, des questionnaires ou des capteurs disponibles dans le téléphone.
La HAS a défini 17 critères de qualité du contenu médical que peuvent contenir les applications concernées, couvrant 4 catégories de contenu de santé :
- Contenu informationnel : la qualité de la production d’informations scientifiques
- Exemple – Le processus de veille et de mise à jour des sources clés et des références relatives à des publications est documenté.
- Contenu généré par l’utilisateur : la fiabilité de la collecte de données
- Exemple – Un support est mis à disposition et permet de solliciter une demande d’assistance auprès des utilisateurs pour les demandes relatives à l’utilisation du produit (compréhension des contenus et utilisation des fonctionnalités). Les questions fréquemment posées sont documentées et actualisées.
- Contenu interprété : la qualité de l’interprétation des données par un professionnel ou un algorithme intégrant ou non de l’intelligence artificielle
- Exemple – En cas d’interprétation humaine (non automatisée) de contenus à visée de santé (données de santé, contenu scientifique, etc.), celle-ci est assurée par des professionnels de santé adaptés à la thématique étudiée ou de personnes compétentes spécifiquement formées.
- Contenu affiché : l’accessibilité et la compréhension de l’information par les utilisateurs
- Exemple – Les principaux utilisateurs sont impliqués dans les différentes phases de développement de l’application.
Consulter l’ensemble des critères de qualité élaborés par la HAS.
Alors comment protéger ses données personnelles?
Il est nécessaire d’être tous responsables en faisant preuve de vigilance vis-à-vis de nos données personnelles.
Nos ordinateurs et téléphones portables sont la cible de nombreux hackeurs car ils détiennent une énorme quantité d’informations sur notre vie privée.
L’un des moyens utilisés pour pirater nos données est de passer par des logiciels que nous avons pu télécharger ayant pour réel but de voler nos informations personnelles.
Il est donc très important d’être certain que ce que nous téléchargeons sur internet provient d’une source sûre.
Avant de télécharger une application
- Renseignez-vous sur l’application. Lancez une recherche rapide sur Google pour voir si l’application a des drapeaux rouges. Lisez les critiques de l’application sur les apps stores et les forums pour vous assurer que l’application est sécurisée et fiable.
- Télécharger depuis les stores officiels. Procurez-vous toujours vos applications dans des apps Stores de confiance comme l’App Store et Google Play. Bien que des Apps Stores non officiels soient disponibles, ils ne disposent pas toujours de systèmes pour vérifier qu’une application est sûre avant qu’elle ne soit publiée et disponible au téléchargement. Obtenir une application à partir d’une source non officielle comporte le risque qu’elle soit modifiée par des criminels.
- Lisez la politique de confidentialité de l’application. Avant de télécharger une application, vérifiez les petits caractères. Quelles informations l’application suivra-t-elle ? Que partagera-t-il avec des tiers ? Assurez-vous que vous êtes satisfait du niveau de confidentialité offert par l’application. Et si ce n’est pas le cas, cherchez une alternative.
- Apprenez à connaître vos autorisations de données. Lorsque vous téléchargez une application, il vous sera demandé de donner diverses autorisations pour accéder à vos données. Assurez-vous qu’ils ont du sens pour vous. Si, par exemple, une application de santé mentale demande l’accès à vos contacts ou à vos photos, quelque chose ne va pas.
N’oubliez pas : les applications gratuites ne sont pas vraiment gratuites. Chaque application « gratuite » que vous téléchargez a un prix. Si vous ne payez pas pour cela, il est probable que vous soyez le produit. Demandez-vous si l’application vaut ce que à quoi vous renoncez.
Sur les applications que vous avez déjà téléchargées
- Limitez les autorisations de localisation. De nombreuses applications demandent l’accès aux services de localisation de votre téléphone, alors assurez-vous de savoir à quelles applications vous avez accordé l’accès. Allez dans Paramètres > Localisation de votre téléphone. Il est préférable d’autoriser les applications à suivre votre position uniquement lors de l’utilisation de l’application, plutôt que tout le temps.
- Vérifiez toutes les autorisations. Désactivez les autorisations dont vous ne voulez pas ou dont vous n’avez pas besoin et envisagez de supprimer les applications qui demandent de nombreuses autorisations (surtout si elles ne sont pas nécessaires pour la fonctionnalité de l’application). Vous devez porter une attention particulière aux autorisations telles que la caméra, le microphone, le stockage, l’emplacement et la liste de contacts.
- Gardez les applications à jour. Assurez-vous de mettre à jour les applications lorsque des mises à jour sont disponibles. Les applications obsolètes sont plus susceptibles d’être piratées, ce qui met vos données personnelles en danger.
- Ne vous connectez pas automatiquement avec des comptes de réseaux sociaux. Si vous vous connectez à une application avec votre compte de réseau social, l’application peut collecter des informations à partir du compte et vice versa. Pour plus de confidentialité, utilisez votre adresse e-mail et un mot de passe fort.
- Supprimez les applications que vous n’utilisez pas car il y a de fortes chances qu’elles collectent toujours des données sur vous, même si vous ne les utilisez plus.
Quels sont vos droits en cas de piratage de vos données ?
Les utilisateurs ont bien évidemment le droit de refuser la divulgation de leurs données personnelles à quiconque le leur demande. Dans le cas où des données auraient déjà été communiquées, ils disposent d’un droit d’accès, et peuvent demander leur modification. Le RGPD prévoit également ce que l’on appelle le droit à l’oubli, c’est-à-dire la possibilité d’exiger la suppression pure et simple de données personnelles, et leur déréférencement sur les différents moteurs de recherche.
Enfin, le RGPD instaure les droits suivants :
- le droit à la portabilité de ses données personnelles : il est possible de demander à récupérer des données fournies quelque part pour les transférer vers une autre plateforme.
- le droit à notification en cas de piratage des données : il est de la responsabilité des organismes qui détiennent des données personnelles de notifier immédiatement les principaux intéressés lorsqu’une fuite a été constatée.
- le droit à recourir à une action groupée : en cas de violation d’un des principes du RGPD, chacun a le droit de mandater un organisme ou une association pour effectuer une réclamation.
- le droit à réparation : tout individu ayant été victime d’une violation du RGPD à l’égard de ses données personnelles peut demander réparation de son préjudice. En France, on rappelle aux utilisateurs de sites web leur droit d’introduire une plainte auprès de la CNIL.
Sources :
Psycom : La santé mentale et le numérique
HAS – santé : Santé mobile : des applications de qualité
L’usine digitale : Les applications d’e-santé font rarement l’objet d’une étude scientifique avant leur mise sur le marché
Journal du net : Comment les applications de santé mentale menacent notre vie privée
Slate.fr : Les applications de santé mentale en ont après vos données personnelles