Applications mobiles en santé et protection des données personnelles : Les questions à se poser

04 mai 2018

Développer une application mobile « santé » ou « bien-être » impose de garantir la protection des données personnelles collectées. De multiples questions se posent en pratique.

Les applications mobiles en santé sont-elles soumises à la loi Informatique et Libertés ?

Avant le développement et la mise en ligne d’une application mobile, il convient d’examiner si celle-ci entre dans le champ d’application de la loi Informatique et Libertés.

Si l’application mobile en santé enregistre et conserve des données à caractère personnel exclusivement localement dans un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles, la loi ne s’applique pas.

A noter : le fournisseur de l’application doit tout de même être en mesure de garantir à l’utilisateur le respect de règles minimum de sécurité, compte tenu des risques d’atteinte à la vie privée. Sur ce point, voir le référentiel de bonnes pratiques sur les applications et les objets connectés en santé élaboré par la Haute Autorité de Santé téléchargeable.

A l’inverse, si l’application propose des fonctionnalités permettant d’assurer un service à distance à son utilisateur (suivi par un professionnel, surveillance médicale, etc.) ou qu’elle comporte une connexion extérieure (ex : sauvegarde des données dans le cloud), la loi s’applique.

  • Les grands principes relatifs à la protection des données doivent être respectés, dès la conception de l’application («Privacy by design ») ;
  • Des formalités doivent être réalisées ;
  • Il est nécessaire d’anticiper la mise en œuvre du règlement européen sur la protection des données (ex : réalisation d’une analyse d’impacts) si la mise en ligne de l’application est réalisée à compter du 25 mai 2018.

Quelles sont les finalités possibles d’une application mobile ?

En pratique, ces applications peuvent répondre à des finalités très diverses, comme par exemple :

  • Assister le patient dans son propre suivi sanitaire (ex : suivi de patients diabétiques) ;
  • Permettre le suivi et la prise en charge du patient à distance par un professionnel de santé  (télésurveillance et téléconsultation). Sur la télémédecine, voir la fiche « Télémédecine : comment protéger les données des patients » ;
  • Partager des cas cliniques et donner des avis entre professionnels de santé (télé-expertise) ;
  • Améliorer la qualité du sommeil ;
  • Disposer, dans son mobile, d’un carnet de suivi sanitaire ;
  • Mieux gérer sa santé, etc.

Les données recueillies doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent être traitées ultérieurement pour d’autres finalités, surtout si elles sont incompatibles avec les finalités prévues initialement.

L’identification de la (des) finalité(s) de l’application mobile est majeure. Elle doit être faite, en amont de sa conception, pour notamment apprécier quelles seront les données pertinentes à collecter.

Quelle est la nature des données pouvant être collectées par l’application mobile ?

Le responsable de traitement peut être amené à traiter des données de santé à caractère personnel (sur ce point, voir la fiche « Qu’est-ce qu’une donnée de santé »). Du fait de leur sensibilité, ces données font l’objet d’un régime juridique de protection renforcée : Règlement général sur la protection des données, loi Informatique et Libertés et, le cas échéant, dispositions relatives aux conditions d’échange et de partage des données de santé (art. L. 1110-4 du CSP), dispositions relatives aux référentiels de sécurité et d’interopérabilité (art. L. 1110-4-1 du CSP), dispositions sur l’hébergement des données de santé dès qu’il existe un enregistrement et une conservation des données par un prestataire (art. L. 1111-8 du CSP), interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L. 4113-7 du CSP), etc.

En toute hypothèse, les données à caractère personnel traitées par l’application mobile doivent être adéquates, pertinentes, non excessives au regard des finalités pour lesquelles elles sont collectées. Elles doivent être exactes, complètes et, si nécessaire, mises à jour.

Exemple : une application mobile, qui a pour objet d’aider une personne à mieux gérer sa pathologie, avec proposition de conseils personnalisés par un professionnel de santé, ne doit pas collecter des informations sur les origines ethniques dès lors que ces informations ne seraient pas pertinentes au regard de la pathologie traitée.

Qui est responsable de traitement ?

Le responsable de traitement est celui qui détermine les finalités et les moyens de l’application mobile. Il doit s’assurer que les traitements de données réalisés dans le cadre de l’application sont conformes à la loi Informatique et Libertés. Il doit également  procéder aux formalités nécessaires préalablement au déploiement de l’application.

A noter : il ne faut pas confondre l’éditeur de l’application mobile c’est-à-dire la personne en charge de sa conception et, éventuellement, de sa commercialisation et le responsable de traitement.

Avec l’entrée en application du Règlement général sur la protection des données, il conviendra d’apprécier dans quelle mesure le déploiement d’une application mobile n’implique pas des responsables conjoints de traitement (ex : éditeur de l’application et professionnel de santé utilisateur). Tel sera le cas si les finalités et les moyens sont déterminés conjointement. Un accord (ex : un contrat) doit alors formaliser les obligations respectives des responsables conjoints.

En pratique, l’identification du responsable de traitement est à apprécier, au cas par cas, en fonction du traitement. Il s’agit d’identifier quelle personne physique ou morale détermine d’une part la nature des services assurés par l’application (ce à quoi sert l’application), d’autre part les fonctionnalités et / ou développements attendus de l’application pour assurer ces services (exemple : conseils, conservation des données de santé, etc.).

Quelle est la formalité adéquate à réaliser auprès de la CNIL pour une application mobile en santé ?

sante tableau
 

Quelles sont les mesures de sécurité à prendre ?

Le responsable de traitement doit assurer la confidentialité et la sécurité des informations des utilisateurs de l’application mobile en adoptant des mesures de sécurité physiques et logiques adaptées à la nature des données et aux risques présentés. Il doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données dès la conception de l’application et paramétrer celle-ci pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de sa finalité spécifique sont traitées. Sur ces points, voir le guide « La sécurité des données personnelles ».

Des obligations spécifiques pèsent sur le sous-traitant dans le cadre du Règlement général sur la protection des données (sur ce point, voir le guide « Règlement européen sur la protection des données - Guide du sous-traitant »). En cas de sous-traitance, un contrat doit être passé entre le responsable de traitement et le sous-traitant. Le sous-traitant doit notamment veiller la sécurité des données à caractère personnel.

Quelle est la durée de conservation des données collectées ?

Les informations personnelles collectées doivent être conservées pour une durée limitée, qui ne peut aller au-delà de la durée nécessaire à la finalité de l’application. Cela signifie, par exemple, que les données collectées par une application mobile utilisée dans le cadre d’un dispositif de télésurveillance médicale et insérées dans un « télé-dossier » n’ont pas vocation à être conservées au-delà de dix ans à compter de la fin de la prise en charge du patient (ce délai correspondant au délai de prescription de la responsabilité médicale). En ce qui concerne les applications relevant du « bien-être », les données collectées ne doivent pas être conservées au-delà de la suppression du compte.

Faut-il recueillir l’accord préalable de la personne ?

Si l’application mobile est une application de « bien-être » (ex : application développée pour mieux gérer sa santé, pour améliorer la qualité de son sommeil, etc.), l’accord exprès de la personne doit être recueilli, après que celle-ci a été informée que des données de santé sont collectées au niveau de l’application mobile. Cet accord porte sur le principe de la collecte des données de santé. Il ne peut être formalisé par une case à cocher valant acceptation des conditions générales d’utilisation de l’application mobile (l’on ne peut pas accepter en même temps les conditions générales d’utilisation et consentir au traitement via une même case).

Si l’application mobile est utilisée comme un outil de prise en charge sanitaire (ex : application utilisée dans le cadre d’un dispositif de télésurveillance médicale), l’accord exprès de la personne n’est pas nécessaire.

Quels sont les droits des personnes ?

Les personnes concernées par les données collectées au moyen de l’application mobile doivent pouvoir exercer de manière effective leurs droits d’accès, de rectification et d’opposition. Sur ce point, voir la fiche « Respecter les droits des personnes ».

Pour cela, les personnes doivent disposer d’une information complète, claire et lisible. Sur ce point, voir la fiche « Les principes clés de la protection des données personnelles ».

Il convient d’anticiper, dès à présent, les modalités de mise en œuvre du droit à la portabilité des données (prévu par le Règlement général sur la protection des données et la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) qui seraient collectées via une application mobile. Ainsi, les personnes concernées ont le droit de récupérer les données à caractère personnel les concernant qu’elles ont fournies à un responsable de traitement et de transmettre ces données à un autre responsable de traitement, sans que le premier y fasse obstacle.

A noter : les données sont alors communiquées dans un format structuré, couramment utilisé et lisible par machine.

Questions / réponses

L’éditeur d’une application mobile de « bien-être » doit-il respecter les obligations découlant de l’hébergement des données de santé ?
Non, si les données collectées, enregistrées et conservées, le cas échéant, par un prestataire extérieur ne sont pas collectées à l’occasion d’activités de prévention, de diagnostic, de suivi social ou médico-social.

Qui est considéré comme responsable de traitement d’une application mobile conçue par un éditeur, vendue ou même fournie à titre gratuit à des médecins pour assurer la prise en charge médicale de patients et comportant un hébergement de données de santé assuré par un prestataire extérieur ?
Le médecin, ou l’établissement dans lequel il exerce, est considéré comme étant responsable de traitement.
Le prestataire extérieur, qui assure une prestation d’hébergement des données de santé, dispose quant à lui la qualité de sous-traitant.

Dans quels cas est-il nécessaire de recourir à un hébergeur agréé ou certifié de données de santé ?

  • les obligations relatives à l’hébergement de données de santé s’appliquent dès que l’application mobile conduit un professionnel ou un établissement de santé à confier à un tiers la conservation des données de santé ;
  • lorsque ces données ont été recueillies, pour le compte de personnes physiques ou morales ou pour le compte du patient lui-même, à l’occasion d’une activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

Le recours à un hébergeur de données de santé agréé ou certifié sera donc obligatoire lorsque ces deux conditions sont cumulativement réunies.

Une application mobile en santé peut-elle proposer, dans ses fonctionnalités, un dispositif de géolocalisation de l’utilisateur ?
Oui, un dispositif de géolocalisation peut être proposé. Le consentement exprès de la personne doit être recueilli spécifiquement pour le dispositif de géolocalisation.

A retenir

 

  • Les applications mobiles font intervenir une multitude d’acteurs (patients utilisateurs, éditeurs d’applications, responsables de traitement, hébergeurs). Il est donc indispensable d’identifier le responsable de traitement qui devra s’assurer du respect des grands principes du Règlement général sur la protection des données et de la loi Informatique et Libertés.
  • Il est aujourd’hui indispensable d’anticiper l’entrée en application du Règlement général sur la protection des données. Le responsable de traitement devra mettre en œuvre toutes les mesures permettant de répondre aux nouvelles exigences de ce règlement, en particulier en ce qui concerne l’information des personnes, la portabilité des données, la réalisation d’une analyse d’impact ou encore la sécurité.
  • Selon la finalité de l’application mobile, certaines règles spécifiques du code de la santé publique peuvent s’appliquer et doivent être prises en compte dans la conception et l’utilisation de l’application (ex : hébergement de données de santé, secret médical, télémédecine, certification ou marquage CE, etc.).

Les mots clés associés à cet article