« Quantified self » : les objets connectés aux frontières du juridique


Share Button
IoT - Quantified Self - ORSYS - Newsletter digitale

Alors que les objets connectés se multiplient dans tous les domaines, les « quantified self » soulèvent de nouvelles interrogations. Quel statut juridique appliquer à des outils d’auto-mesure lorsque l’utilisateur partage lui-même ses données personnelles ?

Sur le papier, les « quantified self » (ou « la quantification de soi ») ont tout pour nous séduire. À mi-chemin entre les dispositifs de santé et le gadget, ces objets connectés équipés de capteurs permettent à tout un chacun d’améliorer son bien-être ou d’optimiser ses performances en recueillant et en analysant des informations sur son propre corps.

D’ailleurs, vous en utilisez peut-être vous-même. Que ce soit un bracelet connecté pour effectuer le suivi de votre activité physique, une montre GPS pour le running, le podomètre sur votre Smartphone ou, pourquoi pas, un thermos qui compte les calories que vous ingurgitez ! Aujourd’hui, il existe concrètement assez d’objets connectés pour mesurer chaque aspect de son corps, surveiller son évolution à l’aide de tableaux de statistiques et de diagrammes esthétiques, et de partager le tout en ligne.

Et c’est là que le bât blesse. Car ces informations sont des données personnelles d’un genre nouveau, qui ont légèrement tendance à flouter les frontières du domaine juridique.

Objets connectés, santé et « données personnelles »

Le problème n’est pas tant que l’on touche à la santé. Si l’IoT (Internet des objets) ne cesse de révolutionner le secteur médical, celui-ci a au moins l’avantage d’être juridiquement encadré. Les problématiques autour de l’utilisation des données personnelles des patients sont toujours d’actualité, mais les craintes portent surtout sur la sécurisation du stockage des données sensibles. Invisible ou non, l’ennemi est connu : le pirate informatique. 

Mais vaste est le monde des « quantified self », et l’on fera la distinction entre les dispositifs médicaux et les objets connectés à destination de l’amélioration du bien-être. Les premiers, par exemple, bénéficient du marquage CE qui implique une conformité aux exigences applicables en Europe, telles que définies dans la directive Européenne 93/42/CEE (et donc d’avoir passé des procédures d’évaluation).

Bien-être et objets connectés

Les objets connectés permettant d’améliorer son bien-être ne relèvent pas du domaine médical. On parle, après tout, d’outils d’auto-mesure : il n’y a plus de relation professionnel de la santé/patient, et ce dernier est le seul garant de son secret médical. Selon Catherine Chabert, avocate au barreau de Lyon spécialisée dans le droit des nouvelles technologies, les individus « collectent eux-mêmes leurs données personnelles dans une démarche de bien-être et les diffusent sur le réseau dans un but de contrôle et/ou de comparaison sans forcément connaître les modes de sécurisation dont ils bénéficient ou non ».

Or, si elles peuvent paraître anodines, les données relatives à la santé et/ou l’état physiologique d’une personne sont des données sensibles. « Examinées isolément », explique Thomas Roche, avocat associé du cabinet Delsol Avocats, « les indications portant, par exemple, sur le rythme cardiaque, les calories consommées ou les phases de sommeil, ne semblent pas présenter de valeur réelle ni de dangers immédiats. Mais des interconnexions et des rapprochements peuvent intervenir dans le traitement des données, de façon à fournir un renseignement précis sur la santé des usagers. »

Des frontières juridiques « poreuses »

De fait, la multiplication de ces instruments d’auto-mesure provoque certaines inquiétudes quant à la protection des données sensibles. Dans un cadre professionnel, la collecte et le traitement des données de santé sont strictement encadrés. Mais on parle ici de données rendues publiques par la personne concernée. Que peut la loi Informatique et libertés du 6 janvier 1978, dont le rôle est de protéger l’utilisateur de toute atteinte à sa vie privée, si celui-ci met de lui-même ses données sur le marché public ? Et, bien sûr, à disposition des éditeurs d’applications.

Blâmer les utilisateurs serait cependant contre-productif. C’est tout naturellement qu’un public peu sensibilisé aux questions d’atteintes à la vie privée et aux recours juridiques va utiliser les fonctions de partage sur les réseaux sociaux… Eux-mêmes mis en place par les éditeurs.

Et n’oublions pas le profil « hybride » de ces objets de « quantified self », qui brassent des données très personnelles (pour ne pas dire intimes) sous l’apparence de gadgets. Ce profil très particulier ne provoque pas seulement la confusion auprès des utilisateurs, mais leur permet également de se positionner sur une frontière juridique poreuse. Ce qui, bien sûr, laisse une certaine marge de manœuvre aux entreprises qui collectent ces données.

Que change le RGPD ?

À défaut de pouvoir compter sur la protection juridique du secret médical, il fallait venir en renfort de la Loi du 6 janvier 1978, qui commençait à souffrir d’obsolescence. Dans un contexte économique où des profits importants se dégagent de la collecte de ces données, il importait notamment de redonner à l’utilisateur un certain contrôle. Ainsi que de le sensibiliser à la valeur des données en question.

C’est pourquoi l’un des objectifs du RGPD, explique Catherine Chabert, est de renforcer « les droits des personnes dont les données sont collectées. » Droit à l’information, droit de rectification, droit de suppression, droit à l’oubli… Et de nouvelles contraintes pour les entreprises, qui viendraient au secours du « déséquilibre total par rapport aux droits des personnes concernées qui le plus souvent communiquent leurs données sans aucune contrepartie et sans aucune conscience de leur valeur (…) ».

Une question juridique mais pas seulement

Pour autant, le RGPD ne règle pas à 100% la problématique juridique autour des « quantified self ». Ne serait-ce que parce que la marge de manœuvre autour du traitement de données de santé demeure confortable. Toujours selon Catherine Chabert, le traitement est notamment possible lorsque :

  • « la personne concernée donne son consentement exprès,
  • le traitement a pour finalité des diagnostics médicaux, la prise en charge sanitaire ou sociale, la gestion des systèmes et des services de soins de santé ;
  • le traitement poursuit une finalité d’intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail. »

Accompagnées de nouvelles obligations, ces prérogatives permettent néanmoins un meilleur encadrement de l’utilisation des « quantified self », formant une charte à laquelle tout responsable du traitement peut se référer. C’est également un gage de sécurité pour les utilisateurs qui, mieux sensibilisés, feront plus facilement confiance à une entreprise ayant choisi de se conformer au RGPD…

Nos formations dans ce domaine :
Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *