La conformité RGPD sous l’angle des avis de confidentialité des applications de santé mobile
Newsletter Article
La conformité RGPD sous l’angle des avis de confidentialité des applications de santé mobile
6 September 2022
La technologie numérique est désormais omniprésente dans notre vie quotidienne, améliorant le bien-être des citoyens et soutenant l’évolution des soins de santé. Les applications de santé mobile (mHealth) ont rapidement fait leur apparition dans le secteur de la santé, améliorant l’efficacité et la qualité des soins. Elles ont été utilisées pour dispenser des traitements, examiner des diagnostics et surveiller des maladies. Les utilisateurs individuels peuvent désormais suivre, contrôler et évaluer leur mode de vie via des applications.
Le développement de la mHealth a un grand potentiel pour améliorer l’efficacité et la qualité des soins de santé et la vie des gens. En raison du volume d’informations et de la qualité des déductions tirées de ces informations, le “Big Data” combiné à “l’Internet des objets” aura un impact élevé sur la mHealth et la recherche médicale. Il permettra de réduire les coûts et d’améliorer l’accès aux soins de santé. Les applications mHealth peuvent créer de nouveaux services innovants et aider à prévoir et à prévenir les maladies épidémiques (comme l’actuelle pandémie de Covid-19). Cela permettra de soulager les problèmes de santé à faible coût, améliorant ainsi l’efficacité et la qualité des soins de santé.
Si les applications mHealth offrent des avantages considérables, les risques potentiels en matière de protection de la vie privée et des données suscitent également des inquiétudes. Lorsqu’ils utilisent des applications mHealth, les “utilisateurs finaux” partagent des informations personnelles telles que leur nom, leur âge, leur sexe, leur date de naissance, leurs coordonnées, leur nom d’utilisateur, leur mot de passe et, en particulier, leurs informations de santé. Les données des utilisateurs peuvent être partagées avec des prestataires de soins professionnels, des membres de la famille et des développeurs d’applications. Cependant, ces données peuvent être partagées avec des parties inconnues telles que des agences de marketing/publicité, des institutions bancaires, des compagnies d’assurance, des chercheurs et des grandes entreprises technologiques. Le partage de ces données peut potentiellement être utilisé pour causer une perte de vie privée et un préjudice à l’utilisateur.
Les applications mHealth présentent des avantages considérables pour les individus et la société en améliorant la précision et la qualité des traitements de santé pour les patients. Les applications encouragent les utilisateurs finaux à gérer activement leur propre mode de vie sain. L’optimisation de l’utilisation des données de santé permettra d’accroître la productivité dans le secteur des soins de santé. La société bénéficiera grandement des nouvelles connaissances, des nouveaux services et des innovations que ces applications apporteront. Cependant, ces apps pourraient entraîner de grands risques et préoccupations en matière de protection de la vie privée et des données pour les utilisateurs et les développeurs de ces apps devraient donc veiller à respecter les exigences en matière de protection des données et de la vie privée.
Cela est devenu particulièrement important depuis l’entrée en vigueur du RGPD en mai 2018. Le RGPD est un règlement qui régit le traitement des données personnelles et assure donc le développement de nouvelles technologies dans le respect des droits fondamentaux. Dans le contexte des apps mHealth, le RGPD établit une série de principes de protection des données avec un certain nombre d’exigences pour régir des niveaux élevés de protection des données personnelles des utilisateurs.
Pour être conformes au RGPD, ces applications devront donc mettre en œuvre des mesures ou des actions à suivre. Tout d’abord, les principes de Privacy by Default et Privacy by Design sont des principes fondamentaux à respecter. Cela signifie que les principes du RGPD doivent être pris en compte dès la conception de ces applications et doivent être mis en œuvre par défaut.
Le RGPD prévoit également le principe d’imputabilité afin de s’assurer que les parties traitant des données comprennent la responsabilité du traitement et restent responsables devant l’utilisateur. Pour les applications de santé mobile, les propriétaires de ces applications doivent être en mesure de prouver qu’ils respectent pleinement le RGPD. Les développeurs d’applications doivent être responsables et capables d’assurer leur conformité avec le RGPD. Tout manquement à cette obligation est passible d’une sanction importante.
Le règlement exige également une base légale pour le traitement des données, en établissant plusieurs exigences qui doivent être satisfaites pour le traitement des données. L’obligation d’informer correctement les personnes concernées de la manière dont leurs données sont utilisées tout en respectant les droits de la personne concernée revêt une importance particulière.
La collecte, le traitement, le partage et la mauvaise manipulation non autorisés des informations des utilisateurs sont les risques les plus courants pour les données des utilisateurs provenant de l’utilisation des applications via des appareils mobiles. Les applications de santé mobile collectent et traitent une grande quantité de données relatives à la santé. Ces informations sont considérées comme sensibles au sens du RGPD et pourraient potentiellement présenter des risques élevés pour les droits fondamentaux des utilisateurs. D’autres situations peuvent poser des problèmes qu’il convient d’envisager, comme lorsque les données des utilisateurs sont déployées dans des décisions susceptibles de causer des dommages individuels et sociétaux. Un exemple récent est le cas de Cambridge Analytica, où la société a utilisé des données collectées à partir d’applications mobiles sans le consentement des utilisateurs pour le profilage des électeurs aux États-Unis.
Parmi les autres risques, citons le manque de transparence ainsi que la non-conformité aux principes de protection des données, tels que spécifiés dans le RGPD. Plusieurs apps mHealth n’ont pas fourni d’informations essentielles aux utilisateurs dans leurs avis de confidentialité. Sans autorisation, les données des utilisateurs peuvent être largement transmises à un nombre quelconque de tiers à des fins non définies. Les données collectées peuvent ne pas être pertinentes pour la fonctionnalité de l’application mais plutôt pour l’intérêt des développeurs de l’application et/ou de leurs partenaires. Cela peut également entraîner des risques importants pour l’utilisateur.
Après avoir mené des recherches dans le cadre desquelles les avis de confidentialité d’applications de santé et de bien-être couramment utilisées ont été analysés, les résultats ont révélé un manque alarmant d’équité et de transparence dans leurs avis de confidentialité. En outre, les principes de protection des données et les obligations légales n’étaient pas pleinement respectés, les informations requises n’étant que partiellement divulguées, voire pas du tout. Le langage utilisé restait vague et général, et les informations fournies n’étaient pas suffisamment claires ni complètes. Les utilisateurs peuvent ne pas comprendre pleinement l’étendue des opérations de traitement effectuées par les développeurs d’applications. Des efforts doivent être faits pour sensibiliser davantage et accroître la demande de plus de transparence afin de favoriser la confiance des utilisateurs.
Lorsque le consentement constitue la base juridique du traitement des données à caractère personnel, il ne doit pas être fondé sur le principe de la “taille unique”. Le consentement doit être libre, spécifique, sans ambiguïté et éclairé. Sauf exception, le consentement explicite doit être obtenu et/ou d’autres bases légales doivent être fournies pour le traitement des données de santé. Lorsque l’intérêt légitime des développeurs d’applications constitue la base juridique du traitement, un test d’équilibre doit être effectué en tenant compte des droits et des intérêts des développeurs et des utilisateurs.
Pour s’assurer que les utilisateurs comprennent bien le traitement de leurs données, les avis de confidentialité des applications doivent être rédigés dans un langage clair et facile à lire, tout en étant faciles d’accès, les informations nécessaires doivent être fournies et être aussi précises que possible. En outre, le transfert transfrontalier de données ne peut être effectué que dans le plein respect du RGPD et d’un ” outil de transfert ” juridiquement valable, tel que les clauses contractuelles types (CCS) modernisées de l’UE, et des garanties suffisantes doivent être mises en œuvre pour assurer des niveaux de protection dans les pays tiers qui sont ” essentiellement équivalents ” à la protection dans l’UE.
Un autre principe important à respecter concernant ces applications mHealth est le principe de minimisation. De nombreuses applications requièrent la collecte d’une quantité importante de données à caractère personnel, mais certaines de ces données peuvent ne pas être nécessaires pour que l’application remplisse son objectif. Or, il est nécessaire de ne collecter que les données qui sont nécessaires, adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées. En outre, les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Les développeurs d’applications devront donc s’assurer que les données sont supprimées ou rendues anonymes si nécessaire.
Le respect des principes de protection des données existants du RGPD renforcera la sécurité juridique et la confiance dans les applications mHealth. Les développeurs d’applications doivent adopter des politiques internes et mettre en œuvre des mesures pour démontrer la conformité au RGPD, notamment en minimisant le traitement des données personnelles, en pseudonymisant les données personnelles, en augmentant la transparence concernant le traitement des données personnelles et en permettant les droits de la personne concernée. Des mesures de sécurité doivent également être mises en place, spécifiquement en ce qui concerne la nature sensible de certaines données personnelles. La réalisation d’une analyse d’impact sur la protection des données (AIPD) peut être nécessaire en vertu du RGPD et, dans tous les cas, elle est fortement recommandée pour évaluer les activités de traitement des données des utilisateurs, atténuer les risques et améliorer la protection des données. Les développeurs d’apps devraient également revoir et mettre à jour régulièrement leurs avis de confidentialité, en informant toujours l’utilisateur de tout nouveau traitement de ses données et en s’assurant que ce traitement est légal.
La mise en conformité avec le RGPD peut créer un “effet double tranchant”. Une lourde charge et une amende potentiellement élevée pour non-conformité peuvent être imposées aux développeurs d’applications, incitant les entreprises (PME) et les développeurs d’applications hors UE à reconsidérer l’offre de leurs services dans l’UE. Cela pourrait entraîner une réduction de l’innovation et ralentir la croissance rapide de la technologie dans le développement des soins de santé, ce qui aurait l’effet inverse de celui recherché par la création du RGPD.
Par conséquent, une solution unique d’un seul point de vue ne peut pas résoudre l’ensemble des problèmes de confidentialité et de protection des données. La coopération entre les parties prenantes concernées, notamment les législateurs, les décideurs politiques, les développeurs d’applications, les médecins et les patients pour les applications de soins de santé et les utilisateurs, est essentielle pour déterminer diverses alternatives flexibles et développer l’efficacité pratique des lignes directrices du RGPD. Un code de conduite standard approuvé par la Commission européenne et la création d’une autorité spécialisée chargée de contrôler la conformité des données seraient utiles pour renforcer la sécurité juridique. Cela améliorera l’efficacité et la conformité du RGPD pour régir la modernisation rapide des applications mobiles de santé, développer de nouvelles connaissances, de nouveaux services et des innovations avancées et, surtout, favoriser une société plus saine.
Si vous êtes une entreprise dans le domaine des sciences de la vie et que vous fournissez des services d’applications mobiles supplémentaires, compte tenu de nos connaissances et de nos expériences à long terme, MyData-TRUST peut vous aider à devenir conforme au RGPD.
