Question de Mme IMBERT Corinne (Charente-Maritime - Les Républicains-R) publiée le 13/07/2017
Mme Corinne Imbert attire l'attention de Mme la ministre des solidarités et de la santé sur les conséquences du développement des applications recueillant des informations individuelles sur la santé et leur encadrement. Un récent rapport d'un cabinet d'analyse sur les applications mobiles faisait état de plus de 100 000 applications traitant de la santé et de la médecine disponibles à ce jour, représentant ainsi un marché de cinq milliards de dollars. Si ces applications s'intéressaient au début à recueillir uniquement des informations liées aux activités physiques, elles permettent désormais, via des objets connectés notamment, de collecter des données personnelles plus sensibles telles que l'activité cardiaque, le suivi de la pesée, de l'alimentation. Ces données pourraient faire l'objet de ventes et d'utilisations par des personnes peu scrupuleuses, avoir des impacts conséquents sur le déroulé de vie des utilisateurs, voire créer un incident en cas de mauvaise indication par exemple. On peut en effet penser que les clients de ces applications pourraient intéresser les banques ou les compagnies d'assurance qui ajusteraient leurs offres en fonction des résultats transmis. Si les données personnelles sont bien encadrées en France notamment par la Commission nationale de l'informatique et des libertés, des carences demeurent néanmoins en ce qui concerne l'utilisation d'applications développées à l'étranger et les responsabilités en cas d'incidents liés à leur l'utilisation. Aussi, elle lui demande ce que le Gouvernement entend entreprendre afin de conjuguer développement technologique et protection de la vie privée et des données personnelles.
- page 2272
Réponse du Ministère des solidarités et de la santé publiée le 24/01/2019
La Commission nationale de l'informatique et des libertés joue un rôle actif dans la protection des données personnelles en s'appuyant principalement sur loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dont la dernière modification date du 20 juin 2018. Pour ce qui concerne les applications développées dans l'union européenne (et cela concerne également les applications mobiles et les objets connectés), la protection des données personnelles est garantie de façon générale dans la réglementation communautaire par le règlement européen 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce règlement mis en oeuvre le 23 mai 2018, inclut des dispositions sur : le droit à l'oubli ; le consentement clair et explicite de la personne concernée quant à l'utilisation de ses données personnelles ; le droit de transférer ses données vers un autre fournisseur de services ; le droit d'être informé en cas de piratage des données ; la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible ; une mise en uvre plus stricte avec des amendes allant jusqu'à 4 % du chiffre d'affaires mondial total d'une entreprise, dans le but de décourager la violation des règles. Concernant les données de santé à caractères personnels, le règlement pose une définition beaucoup plus large que celle qui existait dans la loi française. Pour ce qui concerne les applications développées en dehors de la communauté européenne, aucune législation française ou européenne ne peut s'appliquer. Toutefois, le Gouvernement a pris des mesures relevant du droit souple permettant aux éditeurs des applications (applications mobiles et objets connectés) de respecter des bonnes pratiques voire de labelliser leurs produits. Le référentiel de bonne pratique ainsi que le règlement du label portent notamment sur la protection des données personnelles collectées. Ainsi, à la demande du ministère de la santé, la Haute autorité de santé (HAS) a élaboré et publié en octobre 2016 un « référentiel de bonnes pratiques sur les applications et les objets connectés en santé ». Ce référentiel de bonnes pratiques qui s'adresse aux industriels et aux évaluateurs (structures d'évaluation, associations de consommateurs ou sociétés savantes médicales) vise à guider, à promouvoir l'usage et à renforcer la confiance dans les applications et les objets connectés. La HAS complétera prochainement ce travail avec des documents à destination des utilisateurs : professionnels de santé et usagers. Ce référentiel de bonnes pratiques comporte 101 critères relatifs à l'information des utilisateurs, au contenu de santé, à la sécurité et à la fiabilité, et enfin aux modalités d'utilisation. Ensuite, dans le cadre du Comité Stratégique de Filière en santé, le ministère de la santé, avec les industriels, les professionnels de santé et les patients, porte le projet de la mise en place d'un label pour les objets connectés et les applications mobiles en santé. Ce label sera décerné par des organismes certificateurs accrédités aux produits des industriels qui en feront la demande. Apposé sur les produits labellisés, le label montrera aux utilisateurs potentiels, la conformité du produit au référentiel du label. Ce label devrait être créé en 2019. Son référentiel, s'inspire en partie du guide de la HAS, et porte sur trois axes : la fiabilité médicale (exactitude des données collectées, pertinence des recommandations données) ; le traitement et la protection des données personnelles (limitation des données collectées au strict nécessaire au traitement, pas de réutilisation non-annoncée des données personnelles collectées, y compris la revente) ; la sécurisation par l'adoption de mesures de cyber-sécurité appropriées (garanties contre les « hacks » ou la prise de contrôle par un tiers mal intentionné, information sur les failles, dispositifs de mises à jour correctives).
- page 426
Page mise à jour le