Alors que les objets connectés de santé (OCS) se multiplient, comment garantir la protection des données personnelles, en premier lieu médicales ?
« Par la labellisation » des produits proposés sur le marché, avance le Dr Jacques Lucas, vice-président du conseil national de l’Ordre des médecins (CNOM), lors du colloque dédié aux objets connectés et aux applications de santé, organisé la semaine dernière à Dijon. Le délégué général au numérique du CNOM rejette l’idée d’une régulation par le marché, que peuvent défendre certains opérateurs. « Il suffit de voir l’insouciance avec laquelle, lorsque nous téléchargeons, nous cliquons sur l'onglet " j’accepte " sans avoir lu les conditions d’utilisation », illustre-t-il.
Pour poser des garde-fous, il semble nécessaire au médecin que l’État encadre les pratiques en posant des règles. Un groupe de travail a d’ailleurs été créé au ministère de la Santé (avant la présidentielle) pour bâtir le cahier des charges de ce label. Ce groupe de travail – que le Dr Lucas souhaite voir se réunir à nouveau rapidement – associe les représentants des associations de patients, des représentants des industriels et des start-up, des représentants des autorités régulatrices (commission nationale de l'informatique et des libertés et Ordre des médecins).
« Le processus pour délivrer le label pourrait être livré au Cofrac » (le comité français d’accréditation) qui s’occuperait de faire le lien « avec les organismes certificateurs », précise le Dr Lucas. Il estime que « ce label » – dont l’idée fait également son chemin à l’échelle de l’Union européenne – permettrait de « soutenir le marché », en instaurant un climat de « confiance ». C’est particulièrement vrai pour les professionnels de santé qui « seraient plus enclins à recommander ces objets s’ils ont la garantie que leur responsabilité n’est pas engagée », souligne-t-il.
Nouvelles obligations liées à la réglementation européenne
Cette prise de position intervient alors que la réglementation en la matière évolue. Le 25 mai 2018, le règlement européen sur la protection des données entrera en application en France comme ailleurs. Les formalités auprès de la CNIL – notamment les demandes d’autorisation préalable à la mise en place d’un système de traitements de données à caractère personnel – vont disparaître. C’est, pour les entreprises qui développent les OCS, une excellente nouvelle, souligne le Pr François-André Allaert, dirigeant du groupe CEN, spécialiste de l'innovation numérique. Ces formalités constituent un vrai frein au développement d’objets connectés menacés d’obsolescence avant même leur sortie.
En contrepartie, la responsabilité des organismes – qu’ils soient concepteurs d’un objet connecté, intégrateur ou hébergeur de données – sera renforcée dès la conception d’un nouvel objet connecté pour lequel il faudra (a posteriori) « apporter la démonstration qu’il apporte le service qu’il prétend », précise le chef d’entreprise et médecin de formation. « Nous sommes assurément sortis de l’ère où les gens sont tous gentils et s’échangent des données pour le bien-être de tous », ajoute-t-il, évoquant le cas des pacemakers.
En mai dernier, la société de conseil en sécurité WhiteScope a repéré 8 000 failles sur quatre pacemakers étudiés. Des failles telles que rien n’empêchait un hacker de se livrer à un chantage par simple message SMS : 2 000, 5 000 ou 10 000 euros contre votre vie sauve.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes