Dans son Cahier IP de mai 2014, la CNIL s’est intéressée au corps humain comme nouvel objet connecté, notamment au respect électronique de l’individu à travers ses données et plus particulièrement au respect de son corps par les objets connectés. Alors que la Magna Carta prévoit l’Habeas Corpus, la CNIL soumet l’idée d’un Habeas Data pour protéger les données de santé.
Avec la multiplication des objets connectés liés au quantified self, on voit se décupler la quantité de données de santé des particuliers. A la différence des données personnelles classiques, les données de santé revêtent un caractère sensible. En effet, ces données touchent non seulement l’individu mais aussi sa famille à cause des liens génétiques. Aussi, ces données peuvent être la source de discrimination en fonction de l’état de santé de l’individu.
La CNIL met en avant le fait que, bien que les données de santé soient très encadrées en France et en Europe, elles ne font pas l’objet d’une définition précise. Alors que certains préféreraient une définition large laissant une marge d’interprétation au juge, d’autres souhaitent favoriser une définition claire pour plus de sécurité juridique. Le projet de règlement européen sur les données personnelles, qui est actuellement en discussion, prévoit la définition suivante : « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de service de santé à cette personne ». Une gradation du caractère sensible des données est aussi une option proposée, afin de traiter les données de manière moins binaire que « sensible » ou non.
On voit apparaître un paradoxe entre la valeur commerciale des données liées au Big Data et le principe d’extrapatrimonialité du corps humain. Des restrictions d’usage semblent devoir être imposées notamment pour interdire la commercialisation des données de santé. Il faut établir des principes éthiques et fondamentaux pour limiter les atteintes.
Enfin, la CNIL propose de distinguer les applications à visée médicale (offrant un diagnostic, un traitement ou un moyen de prévention) des applications non-médicales. Cela permettrait d’offrir plus de sécurité à l’individu aussi bien d’un point de vue physique que virtuel. Cela met en lumière la complexité de la gestion des données de santé qui touchent non seulement les données personnelles mais aussi la vie privée et le droit à la dignité de l’individu.
Du fait de leur caractère particulier, la Commission européenne a recommandé, le 12 mai 2009, le recours à des Privacy Impact Assessments pour les applications de quantified self. Cela pourrait prévoir un degré d’exigence plus élevé en matière de sécurité des données et d’information des personnes.
Dreyfus vous accompagne en auditant vos collectes de données et vous aide à mettre en place des politiques de confidentialité conformes aux règlementations française et européenne.