La Cnil et la santé connectée : Interview

La Commission Nationale de l’Informatique et des libertés, alias la CNIL, a vu le jour en 1978 dans un contexte où il s’agissait de réguler de grands fichiers publics. Depuis une dizaine d’années l’environnement de la régulation a considérablement évolué et est aujourd’hui essentiellement constitué par l’univers numérique.

Nous avons eu la chance de pouvoir poser quelques questions à Olivier Desbiey qui travaille à la CNIL sur plusieurs sujets dont celui de la santé et du bien-être numérique.

logo_CNIL

Pouvez-vous nous décrire votre travail à la CNIL ?

Je travaille au sein du Département Etudes Innovations et Prospectives de la CNIL. Ce département né il y a deux ans et demi est en charge de plusieurs missions. Tout d’abord, nourrir la réflexion prospective de la CNIL sur les nouveaux usages liés au numérique. Mais aussi réfléchir à la nécessité ou non d’adapter ou d’anticiper la régulation de ces derniers. Pour se faire, nous pouvons être amenés à nous entourer de chercheurs, d’entreprises, d’ ingénieurs, , de think tank…pour nous accompagner dans nos travaux.

Quand la CNIL a t’elle pris conscience du besoin de « parler » du Quantified Self ?

Il faut savoir que la CNIL dispose d’un comité de la prospective. Celui -ci nous a alerté à ce sujet et l’été dernier, nous avons donc pris la décision d’engager un chantier exploratoire sur cette thématique du quantified self. Plusieurs sujets d’étude ont émergé reliés à la question du bien-être et de la santé dans le monde numérique. Pour le moment, nous avons publié sur le site de la CNIL des recommandations à destination du grand public concernant les pratiques relatives au quantified self. Mais le chantier est encore en cours et d’autres publications suivront dans les mois qui viennent.

Et justement au travers de cette future évolution, quel cadre voudriez-vous poser ?

C’est tout l’objet de ce chantier pour lequel nous avons aujourd’hui quelques pistes. Le point de départ est que nous avons d’un côté, un cadre de la régulation particulièrement exigeant en ce qui concerne les hébergeurs de données de santé (en particulier sur les conditions d’accès et de sécurisation), et de l’autre de nouveaux usages liés au développement du numérique où les nouvelles données qui sont générées se situent sur une frontière floue entre le bien-être et la santé. De l’autre côté, l’usage grand public impulsé par utilisateurs se développe ce qui génère la circulation de données qui sont encore floues et qui doivent donc être identifiées !

Et pour cette identification, pouvez-vous nous expliquer comment vous travaillez ?

Le Département Etudes Innovations et Prospectives  fait de la veille en ayant comme but de voir en quoi les nouveaux usages peuvent impacter les enjeux « Informatique et Libertés ». Pour se faire, nous rencontrons des experts du sujets comme E. Gadenne, des médecins, des fabricants d’objets connectés,… L’idée est d’avoir le panorama le plus complet possible et voir comment ces experts appréhendent ces données et plus largement celui du bien-être dans le monde numérique.

Dans le cadre de ce chantier, une autre de nos actions va consister à réaliser un travail d’expertise technique sur un certain nombre de capteurs ou d’applications dédiés à l’auto-mesure. Ils seront testés dans le cadre du laboratoire de la CNIL avec pour objectif de comprendre les données qui sont produites par un capteur ou une application mobile puis leur circulation entre les serveurs de l’entreprise et les utilisateurs.

D’un point du vue plus général, quel est le plus gros challenge de la CNIL sur le dossier de la santé connectée ?

Pour nous il y a une dissonance entre l’usage, tel qu’il est perçu du point de vue de l’utilisateur, et la réalité de la circulation des données. L’usage est le suivant : les individus sont à l’initiative de l’auto-mesure et utilisent des applications mobiles pour visualiser leur évolution et leurs données de mesure. Ils peuvent ainsi avoir l’impression de nouer un rapport direct avec les données qu’ils ont captées et générées. Hors ces données transitent d’abord par les serveurs de l’entreprise qui édite l’application ou commercialise un capteur connecté avant d’être visualisables par les utilisateurs et qu’ils puissent commencer à les analyser, à les croiser…

Est-ce que ses données sont bien sécurisées ? Où sont-elle stockées ? Sont-elles partagées, revendues à d’autres acteurs économiques ? … En tant que régulateur des données personnelles, la CNIL s’intéresse de près à la manière dont ces données circulent et au contrôle qui est conféré à l’utilisateur, c’est notre cheval de bataille. D’autant plus que les données de santé sont une catégorie particulière de données personnelles reconnues comme « sensibles » d’un point de vue légal, ce qui implique des exigences supplémentaires pour leur collecte et leur traitement. Par ailleurs, et en dehors des données de santé, même des données en apparence plus anodine comme celles liées au sommeil par exemple peuvent révéler beaucoup d’informations sur le mode de vie d’un individu. C’est aussi une des raisons pour lesquelles nous suivons le mouvement du quantified self qui produit de nouveaux types de données.

Question sans langue de bois pour terminer : la CNIL aime-t-elle le Quantified Self ?

Oui, nous portons un regard bienveillant dans le sens où c’est l’utilisateur qui génère des données et dont il peut lui-même tirer de la valeur ! En définitive, nous nous interrogeons juste sur les enjeux soulevés par la manière dont sont traitées ces données. La CNIL est dans une démarche de compréhension et d’action -si besoin- pour réguler le cadre légal afin de préserver la vie privée.

Enfin, il convient aussi ne pas tout mélanger : une donnée brute sur un nombre de pas et une tension artérielle n’ont pas la même importance ni le même impact une fois diffusés !

Un grand merci à la CNIL et plus particulièrement à Olivier Desbiey, d’avoir pris le temps de répondre à nos questions.

Rappelons également que la CNIL a publié des recommandations à destination des adeptes du quantified Self et de tous ceux qui seraient tentés de le devenir.

Voici les principaux conseils à retenir :

- utiliser, si possible, un pseudonyme pour partager les données
– ne pas automatiser le partage des données vers d’autres services (notamment vers les réseaux sociaux)
– ne publier les données qu’en direction de cercles de confiance
– effacer ou récupérer les données lorsqu’un service n’est plus utilisé

Pour en savoir plus : http://esante.gouv.fr/actus/ethique/quantified-self-les-recommandations-de-la-cnil

Share Button
Ce billet a été publié le 17 juillet 2013, dans Interviews et taggué , , , , , .

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>