Santé connectée : Comment protéger ses données personnelles ?

Très tendance ces dernières années, la « santé connectée » ou « e-santé » fait référence à un nombre croissant d’objets ou applications connectés, permettant de suivre de façon plus personnalisée et en temps réel la santé des individus. Ces solutions sont capables de capter, stocker, traiter et transmettre des données afin de pouvoir les analyser. Mais qu’en est-il de toutes ces données personnelles renseignées ? Quels sont les risques et comment se protéger d’une exploitation malveillante de ces données ? Nous vous apportons un éclairage sur le sujet.

Qu’entendons-nous précisément par « données personnelles de santé » ?

Selon la CNIL, le règlement européen sur la protection des données personnelles (RGPD), qui est entré en application le 25 mai 2018, procède à une définition large des données de santé. Les données à caractère personnel qui concernent la santé recensent les données relatives à la santé : physique ou mentale, passée, présente ou future, d’une personne physique. Ces données révèlent par conséquent, des informations personnelles sur l’état de santé de son utilisateur.

Elles comprennent :

Les informations relatives à une personne physique collectées lors de son inscription (un numéro de téléphone par exemple) ;
Les informations obtenues lors d’un examen d’une partie du corps ou via un questionnaire ;
Les informations concernant une maladie, un handicap, des antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée.

Ces données collectées se classent en trois grandes catégories :

Celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
Celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
Celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite sur le plan médical.

Quel est le risque encouru lorsque l’on utilise ces objets/ applications connectés ?

Il s’agit sans nul doute du vol de ces données par piratage informatique. Elles ont un grand intérêt pour les pirates informatiques, qui peuvent les récupérer et en faire l’objet de rançons ou les vendre sur le marché noir ou « dark web ». Plus ces données sont détaillées, plus leur valeur est élevée.

Ces piratages peuvent prendre plusieurs formes :

Une exploitation abusive de données médicales personnelles ;
Une atteinte à l’image ;
De l’espionnage ;
Un sabotage d’applications.

Ces attaques concernent la plupart du temps les particuliers. Leur but : obtenir leurs informations personnelles (données bancaires, identifiants de connexion, adresse, etc.) afin de les exploiter et de les revendre. Cela peut aller jusqu’à une usurpation d’identité pour en faire un usage criminel.

Selon les experts en cybersécurité, les objets de santé connectés les plus à risque de piratage sont ceux qui sont équipés de micros ou de caméras, ou encore ceux qui requièrent un accès internet. Le danger vient aussi de toutes les applications santé téléchargées sur les téléphones portables, des objets très utilisés et donc plus vulnérables en termes de sécurité.

Quelques exemples…

– En 2016, les pompes à insuline du laboratoire Johnson & Johnson alertait d’une faille informatique sur l’un de ses modèles.Leur appareil était équipé d’une télécommande à distance permettant d’administrer l’insuline automatiquement, sans que le patient n’ai à intervenir. Mais à cause d’une faille, le laboratoire avait alerté la population d’un potentiel risque d’intrusion dans leur système. Le hacker aurait pu intercepter les communications entre la télécommande et la pompe pour reprogrammer l’administration d’insuline.

– En 2017, 40 000 Français porteurs de pacemaker étaient également menacés par un risque accru de piratage de cet appareil permettant de stimuler l’activité cardiaque de façon artificielle. La Food and Drug Administration (agence fédérale américaine de surveillance des produits alimentaires et pharmaceutiques), avait décidé de procéder à un rappel de certains stimulateurs cardiaques. Une faille de sécurité a été découverte dans le logiciel de certains appareils conçus par la société St Jude Medical.

Comment les données de santé sont-elles protégées en France ?

Elles sont encadrées par le Règlement général sur la protection des données (RGPD), qui régule l’utilisation des données personnelles en France et en Europe depuis 2018. Pour recueillir et traiter une donnée de santé, il faut le consentement explicite de la personne concernée. Le RGPD interdit également le transfert des données hors de l’Union européenne.

Selon la CNIL, un régime juridique particulier justifié par la sensibilité des données s’applique. Il regroupe :

La loi Informatique et Libertés (art. 8 et chapitre IX) ;
Des dispositions sur le secret (art. L. 1110-4 du CSP) ;
Des dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de santé (art. L. 1110-4-1 du CSP) ;
Des dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;
Des dispositions sur la mise à disposition des données de santé (art. L. 1460-1 et s. du CSP) ;
Une interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L 4113-7 du CSP)…

En ce qui concerne la collecte de données, il faut donc rester vigilant quant à l’utilisation possible des informations dites « personnelles ». Chaque utilisateur doit s’assurer que l’objet ou l’application qu’il utilise est bien régi par la réglementation en vigueur régies par la loi RGPD et loi informatique et libertés.

Sources :