Comment éviter que vos données de santé ne reviennent vous hanter plus tard

J'ai utilisé l'appareil photo de mon smartphone pour prendre une meilleure photo de l'image qu'il contient, ce qui m'a permis de tirer des conclusions sur l'âge et le statut social de la personne. En tant que journaliste ayant accès aux technologies modernes, je suis certaine de pouvoir identifier cette personne. Cependant, poursuivre une telle enquête dans le seul but d'illustrer cet article et de souligner l'importance de nos données serait à la limite de l'intrusion.

Ne vous méprenez pas sur mon enthousiasme; j'apprécie profondément le journalisme d'investigation et je m'y plongerais volontiers dans d'autres circonstances. Toutefois, comme je me sers de cette anecdote uniquement pour illustrer mon sujet sur la vie privée, je vous encourage à faire confiance à votre jugement et à considérer mes idées avec attention.

Je ne peux pas l'affirmer avec certitude, mais je parierais que la personne figurant sur la photo n'avait aucune inquiétude quant au respect de sa vie privée au moment où elle a été prise. Il est improbable qu'elle ait jamais imaginé que ce cliché à son effigie se retrouverait en 2024 au domicile d'une journaliste à Berlin, en Allemagne, et encore moins qu'elle figurerait dans un article traitant des données de santé numériques.

Est-il vrai que le commerçant qui vend ce dispositif a obtenu le consentement de la personne représentée sur la photo pour le distribuer? Puisque j'ai payé pour le View-Master, ai-je maintenant des droits sur l'image de cette personne? Comprenons-nous vraiment la valeur des données que nous générons sur nous-mêmes aujourd'hui et ce qu'elles auront à l'avenir?

Ces questions me trottent dans la tête depuis que j'ai acheté cet appareil. Aujourd'hui, alors que je me consacre à des tests de smartwatches, les sangles de poitrine et même les tapis de course Peloton, je me demande si nous sommes vraiment prêts à partager nos informations les plus précieuses avec des entreprises: nos données de santé.

Tout d'abord, je ne suis pas une spécialiste de la protection de la vie privée et de la sécurité. J'ai donc fait appel à mon réseau et j'ai recueilli les avis de professionnels travaillant directement dans le secteur du bien-être et de la santé. En outre, il ne s'agit pas d'une tentative d'éduquer qui que ce soit sur l'importance de la protection des donnée- pour être honnête, plus je me plonge dans le sujet, moins je le comprends.

Cependant, je pense qu'il est utile de comprendre les informations que nous produisons sur nous-mêmes et la manière dont elles peuvent être utilisées à notre avantage ou à notre détriment. Je vais donc partager avec vous quelques bonnes pratiques pour vous assurer que vous protégez vos données de santé tout en générant des mesures utiles à votre sujet.

Pour sensibiliser notre public à la confidentialité et à la sécurité des données de santé, j'ai posé une question simple à deux spécialistes: si vous pouviez donner un seul conseil aux gens sur la protection de leurs données de santé, quel serait-il?Je me suis entretenue avec Martha Dörfler, développeuse et responsable de la maintenance au sein du collectif berlinois Drip, qui accorde la priorité à la protection de la vie privée dans son application open-source de suivi du cycle menstruel, Drip, ainsi qu'avec Vincent Chartier, ingénieur en cybersécurité chez Withings, une entreprise en laquelle j'ai confiance lorsqu'il s'agit de mes données personnelles.

 

Conseil n° 1: Ne tombez pas dans le piège du modèle "à prendre ou à laisser"

Vous l'avez peut-être déjà remarqué, mais de nombreuses entreprises essaient de nous rendre, nous les utilisateurs, responsables de nos données, alors qu'aujourd'hui, les lois sur la protection de la vie privée protègent les gens dans la plupart des pays.

Par exemple, le public de nextpit vient principalement des États-Unis et de l'Union européenne, deux marchés majeurs où la protection de la vie privée en matière de santé est prise au sérieux. Aux États-Unis, la protection des données de santé est régie par la loi HIPAA (Health Insurance Portability and Accountability Act), et dans l'UE, elle est protégée par le RGPD.

En outre, les entreprises internationales qui servent des citoyens américains ou européens doivent respecter les lois locales. Cela signifie que même les habitants de régions comme l'Amérique latine, l'Inde et la Chine pourraient bénéficier de ces protections de la vie privée.

Ce que je veux souligner, c'est que vous ne devriez pas avoir à accepter quoi que ce soit d'invasif pour utiliser un service. Oubliez l'idée que vous devez "prendre ou laisser". Au contraire, exercez votre droit à protéger vos données personnelles: signalez les problèmes, exprimez vos plaintes et poussez les entreprises à modifier leur politique. N'oubliez pas que les droits n'existent que si nous les faisons valoir lorsque c'est nécessaire.

Mais par où commencer? L'organisation "None of Your Business" (NOYB) a été pour moi un excellent point de départ pour comprendre l'état actuel des questions de protection de la vie privée. Créée par Max Schrems, NOYB veille à ce que les entreprises respectent les réglementations relatives à la protection de vos informations personnelles en ligne. Elle utilise des stratégies astucieuses et collabore avec différents groupes pour protéger votre vie privée, en particulier en Europe.

Aux États-Unis, il n'existe pas d'organisation directement comparable à NOYB en termes de visibilité et de spécificité. Toutefois, des organisations telles que l'Electronic Frontier Foundation (EFF) et l'American Civil Liberties Union (ACLU) jouent un rôle similaire. Elles plaident en faveur du droit à la vie privée et entreprennent des actions en justice pour défendre ces droits.

Conseil n° 2: N'ayez pas la flemme de lire la politique de confidentialité

Selon Vincent Chartier, spécialiste de la cybersécurité chez Withings, la chose la plus importante que vous puissiez faire est de lire la politique de confidentialité d'un service avant de l'utiliser:

Si vous trouvez la politique de confidentialité trop complexe à comprendre, cela devrait soulever des inquiétudes quant aux pratiques de l'entreprise en matière de protection de la vie privée.

Oui, vous devez lire l'intégralité de la politique de confidentialité, mais Vincent vous a fait part de quelques questions clés sur lesquelles vous devez concentrer votre attention lors de la lecture des politiques de confidentialité, qui sont essentielles pour identifier les signaux d'alarme potentiels et comprendre comment vos données sont gérées et protégées. Voici un aide-mémoire :

1. Comment l'entreprise collecte-t-elle et partage-t-elle vos données?
2. À quelles fins?
3. Qui héberge les données?

Permettez-moi d'approfondir cette question à l'aide de deux exemples.

Exemple 1: Comprendre le consentement

Meta et son modèle commercial: Récemment, Meta a introduit le système "Pay or Okay" dans l'UE afin de "se conformer au RGPD" L'entreprise veut maintenant offrir un choix aux utilisateurs: permettre à Meta d'utiliser les informations en ligne des personnes à des fins commerciales, ou payer pour garder leurs informations privées. Cette nouvelle option pourrait modifier la gestion de la vie privée en ligne et soulever des questions quant à son équité. La décision de Meta pourrait inciter d'autres entreprises à faire de la protection de la vie privée en ligne un service payant.

Meta manipule manifestement le concept de consentement. Selon Vincent, l'importance de comprendre le consentement est la clé ici, en particulier pour naviguer dans la confidentialité et la protection des données:

Le consentement ne peut exister que s'il est sans ambiguïté. Vous pouvez le donner librement, ce qui signifie que vous savez exactement ce qui se cache derrière ce consentement, quel processus se cache derrière ce consentement.

Le passage d'une vision plus large de la protection de la vie privée à celle des données de santé. Alors que nous continuons à numériser les dossiers médicaux, à utiliser des appareils portables et des applications de fitness, et à intégrer la technologie dans les soins de santé, la sécurisation de nos informations de santé personnelles est devenue une préoccupation majeure. En outre, selon le rapport IDC Data Age, environ 30% du volume mondial de données est généré par le secteur des soins de santé et croît à un taux annuel de 36%.

Cette évolution vers les dossiers médicaux numériques et les outils technologiques de suivi de la santé a sans aucun doute rendu les services de santé plus efficaces et plus accessibles. Nous pouvons désormais suivre nos paramètres de santé, accéder à nos dossiers médicaux où que nous soyons et interagir plus efficacement avec les professionnels de la santé. Prenez par exemple l'historique de mon cycle menstruel: lorsque je vais chez le gynécologue, je peux facilement l'exporter depuis l'application Santé de mon iPhone sous la forme d'un document PDF afin qu'il puisse l'analyser en quelques secondes.

Néanmoins, cette commodité impose aux entreprises technologiques, aux prestataires de soins de santé et aux patients l'obligation de protéger les informations vitales relatives à la santé. Les données de santé sont incroyablement personnelles et sensibles, car elles contiennent des détails que nous ne partageons pas forcément, même avec nos proches. Si ces données tombent entre de mauvaises mains, elles peuvent entraîner des violations de la vie privée, des usurpations d'identité et des discriminations en matière d'emploi ou d'assurance.

C'est pourquoi le consentement est primordial. Il s'agit de veiller à ce que nos informations ne soient partagées et utilisées qu'avec notre accord explicite!

À l'ère numérique, le concept de consentement est devenu la pierre angulaire de la protection des données et de la vie privée. Dans le cadre du RGPD, le consentement n'est pas une simple formalité; il s'agit d'une exigence importante et complexe conçue pour donner aux individus le contrôle de leurs données personnelles.

Le consentement doit être librement donné, spécifique, éclairé et sans ambiguïté, ce qui signifie que les personnes doivent activement accepter que leurs données soient traitées. Cette approche vise à éliminer toute ambiguïté, en veillant à ce que le consentement soit une action affirmative claire qui ne peut être dérivée du silence, de cases pré-cochées (opt-out) ou de l'inactivité.

En outre, le RGPD souligne que les individus ont le droit de retirer leur consentement aussi facilement qu'ils l'ont donné, renforçant ainsi le principe selon lequel le consentement n'est pas une notification unique, mais un choix permanent.

Non seulement cette évolution donne plus de pouvoir à l'individu, faisant du consentement un véritable choix, mais elle incite également les organisations à adopter des pratiques transparentes et conviviales, marquant ainsi une avancée significative en matière de confidentialité et de protection des données.

Cela signifie que les entreprises ne peuvent pas se contenter de présenter une série d'options dans un long paragraphe qui explique (ou n'explique pas) les raisons de la collecte, du partage et du stockage des données. Elles doivent les décomposer en options faciles à lire et à comprendre, exigeant de simples réponses par "oui" ou par "non".

Cependant, comme le souligne Vincent Cartier, c'est à ce stade que les entreprises ont tendance à repousser les limites. Pour éviter de futurs cauchemars, il suggère de se plonger dans les antécédents d'une entreprise pour comprendre ce que l'on appelle l'intérêt légitime - à Meta, par exemple, leur modèle d'entreprise est la publicité :

Il existe un certain nombre de bases juridiques applicables aux données à caractère personnel, la plus connue étant le consentement. L'intérêt légitime représente une autre base juridique qui permet aux entreprises de traiter des données sans obtenir de consentement. C'est une voie difficile parce qu'elle contourne en quelque sorte la nécessité du consentement. [Malheureusement, les entreprises exploitent souvent cette possibilité parce qu'elles s'attendent à ce que les autorités de régulation ne réagissent pas ou très peu, étant donné le grand nombre d'entreprises concernées. Par conséquent, pour protéger votre vie privée, il est essentiel de comprendre et de gérer habilement des questions telles que l'utilisation abusive de l'intérêt légitime. Par exemple, il semble tout à fait injuste que des entreprises partagent mes données sur la base de l'intérêt légitime.

Exemple 2: Comprendre où le contenu est traité

Considérez les règles applicables à vos données: vous utilisez peut-être un service d'une entreprise allemande, mais les données peuvent être stockées par une entreprise américaine, telle qu'AWS, le principal fournisseur de services en nuage d'Amazon. Mais qui héberge réellement les données?

Le stockage en nuage est actuellement à son apogée. À tel point qu'en 2025, le rapport IDC Data Age prévoit que 49% des données stockées dans le monde résideront dans des environnements de cloud public- Google Cloud Platform, Amazon Web Services ou Microsoft Azure.

Vincent explique qu'"à la base, l'informatique en nuage implique l'exécution de programmes sur l'ordinateur de quelqu'un d'autre, ce qui pose immédiatement des problèmes de contrôle et de sécurité". On comprend donc pourquoi la conformité de ces services avec les réglementations européennes, en particulier le RGPD, suscite de vives inquiétudes. Ne vous méprenez pas, les Américains seront également confrontés aux mêmes problèmes avec les entreprises européennes de services en nuage, mais comme ces entreprises ont une part de marché plus petite, elles ne sont souvent pas perçues avec la même inquiétude.

Ainsi, comme le souligne le spécialiste en cybersécurité de Withings, "la domination des entreprises américaines sur le marché de l'informatique dématérialisée pose des problèmes juridiques et de protection de la vie privée". Les lois américaines, telles que le Cloud Act, permettent aux autorités américaines d'accéder aux données stockées par ces entreprises, quel que soit l'emplacement physique des données. Cela entre directement en conflit avec les principes du RGPD.

Mais comment pouvez-vous faire naviguer vos données de santé sur tous ces supports?

Dans le domaine de la sécurité des données de santé, les mesures technologiques jouent un rôle essentiel dans la protection des informations des utilisateurs contre les accès non autorisés, les violations et les cybermenaces. Le mot clé ici est "traitement sur l'appareil".

Lorsque nous disons que les données de santé sont traitées "sur l'appareil", cela signifie que tout, de la collecte à l'analyse de vos informations de santé, se passe directement sur votre gadget personnel, comme une smartwatch ou un smartphone. Les données ne sont pas envoyées vers un serveur éloigné ou un nuage pour y être traitées. Cette méthode présente un grand avantage pour la confidentialité et la sécurité de vos données de santé, car les informations restent avec vous, ce qui réduit le risque qu'elles tombent entre de mauvaises mains ou qu'elles soient mal manipulées.

Outre l'amélioration de la confidentialité, le traitement des données de santé sur l'appareil peut accélérer et faciliter le travail, en particulier pour les applications qui ont besoin de mises à jour de santé de dernière minute pour fonctionner correctement. C'est également pratique lorsque vous êtes hors de portée d'un bon service internet, car cela permet à ces applications de continuer à fonctionner facilement.

De plus, comme les données n'ont pas à faire l'aller-retour sur les réseaux, la batterie de votre appareil peut durer plus longtemps. Cependant, le fait de faire tout cela directement sur l'appareil peut signifier que celui-ci doit être un peu plus puissant pour gérer ces tâches, ce qui peut être un compromis dans certains cas.

En conclusion, la sécurité des données ne peut être ignorée, sous peine de porter atteinte à la vie privée.

Conseil n° 3: Renseignez vous sur les lois en vigueur

Dans le cadre du développement d'une application sur le cycle menstruel, Martha Dörfler souligne l'importance de comprendre le contenu que vous créez sur vous-même et, plus important encore, la manière dont ce contenu peut être et sera utilisé par les entreprises et les institutions publiques. Elle estime donc que la clé pour préserver la confidentialité et la sécurité de vos données de santé est, avant tout, de connaître les lois en vigueur dans votre région.

Cela dépend beaucoup du modèle de menace de la personne. Par exemple, si vous résidez dans un pays où l'avortement est très illégal, vous devez envisager différentes alternatives pour la collecte et le stockage des données vous concernant.

Comme vous pouvez le constater, les implications vont au-delà des lois relatives à la protection de votre vie privée. Générer du contenu sur votre santé pourrait également impliquer la violation de lois plus sérieuses. Cette préoccupation ne se limite pas à l'avortement- qui est légal dans certains États américains mais pas dans d'autres- mais s'applique également à l'utilisation de substances illégales dans le contexte de problèmes de santé et de forme physique, par exemple.

Exemple 3: Collecter des données, c'est créer des faits

La police teste des femmes à la recherche de médicaments pour l'avortement: En 2023, la chaîne Tortoise Media a rapporté que la police britannique recherchait des médicaments abortifs chez les femmes et demandait des informations aux applications de suivi des règles à la suite de fausses couches inexpliquées. Cela dit, selon l'endroit où vous vivez, même quelque chose d'aussi simple que l'enregistrement de votre cycle menstruel pourrait potentiellement être utilisé contre vous.

En Europe, la méfiance à l'égard des entreprises est importante, tandis que les Américains s'inquiètent surtout de l'intrusion du gouvernement dans leur vie privée. Ainsi, comme l'a souligné Martha, ce que vous partagez doit également être pris en compte en fonction de la culture à laquelle vous appartenez et de la région dans laquelle vous vous trouvez.

Aux États-Unis, la loi HIPAA est fondamentale pour la sécurité des données de santé. Elle fixe des normes strictes en matière de confidentialité et de sécurité pour les informations de santé protégées (PHI). Elle concerne les prestataires de soins de santé, les entreprises technologiques telles qu'Apple et Google, ainsi que les utilisateurs. La conformité est cruciale pour toute entité qui manipule des IPS, y compris les dossiers médicaux et les informations de facturation.

Pour les entreprises technologiques qui se lancent dans le secteur de la santé (wearables, applications ou gestion de données), la conformité à l'HIPAA est essentielle pour traiter les données de santé des citoyens américains. Il s'agit de protéger la vie privée des utilisateurs et de garantir la confidentialité, l'intégrité et la disponibilité des données des patients à toutes les étapes du traitement des données.

Apple, par exemple, s'est lancé à fond dans la santé avec son application Health, son Apple Watch et d'autres technologies et services liés à la santé. Il en va de même pour Google avec Health Connect, la Google Pixel Watch et Fitbit. Ces produits et services sont conçus en tenant compte de la protection de la vie privée et de la sécurité des données, et mettent souvent l'accent sur leur engagement en faveur de la protection de la vie privée des utilisateurs, ce qui est conforme aux objectifs de l'HIPAA.

Lorsque les produits et services d'Apple ou de Google traitent des données personnelles, ils doivent se conformer à la loi HIPAA afin de protéger ces informations sensibles contre les violations et les accès non autorisés. Nous avons la même exigence de conformité lorsqu'il s'agit de citoyens européens, mais elle est liée au RGPD.

Et si vous n'êtes pas couvert par l'HIPAA ou le RGPD? Pour comprendre comment vos données sont traitées chez vous, je vous suggère d'accéder à la bibliothèque Morrison Foerster Privacy Library. Cet outil complet permet d'accéder aux lois, réglementations, rapports, accords multilatéraux et détails des autorités gouvernementales en matière de protection de la vie privée pour plus de 150 pays dans le monde.

Pourquoi devrais-je m'en préoccuper?

La loi sur la protection de la vie privée en vigueur dans mon pays, qui relève du RGPD, ne prévoit pas de hiérarchie des types de contenus relatifs à la santé. Toutefois, la protection des informations relatives à la santé est prise très au sérieux en raison de leur caractère hautement privé. Après tout, l'UE a introduit ces règles pour protéger nos données les plus privées.

Alors que je commence à adopter une approche plus sérieuse de la santé numérique dans les aspects privés et professionnels de ma vie, mon inquiétude quant à la production de données me concernant- et, à une autre échelle, quant au fait de proposer aux autres de faire de même ou non- a atteint un point culminant qui m'a incité à rédiger cet article.

Je veux accéder à mes informations de santé et les comprendre pour faire de meilleurs choix de vie, mais je veux que mes données restent privées. Je ne veux pas que mes informations soient utilisées pour la publicité, la segmentation des produits, la formation d'IA comme les LLM, ou qu'elles soient à la merci de cyberattaques. Ce sont mes droits, et je pense qu'ils devraient être les vôtres aussi.

La bonne nouvelle, c'est que la plupart des entreprises du secteur de la santé et du bien-être, en particulier celles dont nous parlons chez nextpit, comprennent la protection des données et se conforment aux normes réglementaires. En cas de manquement, les organisations de protection de la vie privée tiennent ces entreprises pour responsables.

Par exemple, Drip est une application open-source qui place la protection de la vie privée au cœur de sa philosophie, comme le montre sa politique de confidentialité. Des entreprises comme Withings choisissent soigneusement leurs partenaires pour s'assurer que le traitement des données est conforme à la législation européenne.

De même, aux États-Unis, des entreprises comme Apple se concentrent sur le traitement des données sur l'appareil, une pratique également adoptée par Google, bien que leurs modèles commerciaux introduisent certaines complexités. Des marques comme Amazfit traitent également les données sur l'appareil et, en Allemagne, placent leurs serveurs de données dans le pays, ce qui renforce la protection de la vie privée.

Enfin, pour protéger nos données de santé d'une utilisation abusive, il faut d'abord en comprendre la valeur et choisir de manière responsable avec qui les partager. Il est essentiel de tenir les entreprises responsables du traitement de nos données. À défaut, nos informations pourraient se perdre dans le vaste marché mondial des données, une situation que personne ne souhaite et qui rappelle ce qui pourrait se produire avec quelque chose d'aussi anodin que l'achat d'un View-Master.