Dans le cadre de son avis sur les objets connectés (1), le G29 avait émis un avertissement quant aux risques démultipliés auxquels sont exposés l’ensemble des objets connectés : pertes de données, virus, accès non-autorisés et surveillances illégales.
Vulnérabilité des objets connectés de santé et sensibilité des données. L’actualité particulièrement fournie concernant les failles de sécurité affectant l’ensemble de ces objets connectés, des montres aux voitures connectées, lui donne raison comme en témoigne la fiche récemment actualisée de la DGCCRF sur le sujet (2).
Or ces objets, leurs logiciels et/ou applications, sont susceptibles d’être utilisés dans le traitement de données sensibles.
S’agissant des traitements de données, s’ils portent sur des données de santé, c’est à dire des données sensibles au sens de la loi Informatique et libertés, ils doivent présenter des garanties particulières en matière de sécurité et de confidentialité (3).
Or, la distinction entre donnée à caractère personnel de santé et de « bien-être » doit se faire concrètement, au cas par cas, en particulier, parce que ces dernières sont susceptibles de se muer, à long terme, en données à caractère personnel de santé, en fonction notamment de la fréquence de transmission des données, de leur variation sur une période donnée et de leur agrégation, comme l’a rappelé le G29 (4).
La responsabilité de cette appréciation et la mise en place des mesures de sécurité qui en découlent, reposent en définitive sur le responsable de traitement.
Mesures de sécurité des objets connectés et données de santé. S’agissant de la protection des données de santé par l’objet lui-même, le projet de règlement général européen sur la protection des données (RGPD) érige les principes de privacy-by-design (protection de la vie privée intégrée dans le cadre de la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), au rang d’obligations légales. A l’avenir, les failles de sécurité présentées par les objets connectés seront donc susceptibles d’engager la responsabilité de leurs fabricants/éditeurs.
Le G29 a récemment considéré que l’application de ces principes aux objets connectés, dans le cadre de la santé mobile, doit être combinée à « l’ingénierie de la vie privée » (5) et renvoie à l’application de standards internationaux et « Best Practices », en particulier :
- ceux établis par l’IPEN – « Réseau d’ingénierie de la vie privée sur Internet » ;
- ceux établis par l’ENISA (6) – et notamment les « Lignes directrices de développement des smartphones ».
S’agissant de l’hébergement des données, le projet de loi de santé adopté en première lecture le 14 avril 2015 prévoit que tout responsable de traitement de données à caractère personnel de santé doit respecter l’obligation de recourir à un tiers agréé pour l’hébergement externalisé de données de santé (7), et tend donc à la généralisation de l’externalisation de ces données chez un hébergeur agréé, mettant en œuvre des solutions techniques et des procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, ainsi que le respect d’une politique de confidentialité et de sécurité.
Les traitements doivent faire l’objet de mesures de sécurité physiques (contrôle des accès et des habilitations, etc.) et logiques (chiffrements des transmissions, firewalls, anti-virus, sauvegardes, accès par authentification forte, etc.) détaillées dans le cadre des demandes d’autorisation auprès de la Cnil.
Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique
(1) G29, Avis du 16-9-2014 « Opinion 8/2014 ».
(2) Fiche DGCCRF « Objets connectés », actualisation du 5-2015.
(3) Loi 78-17 du 6-1-1978, art. 8.
(4) G29, Avis 8/2014 du 16-9-2014 sur l’internet des objets.
(5) Voir un précédent Post du 15-4-2015.
(6) G29, Avis 1/2015 du 21-5-2015 « Mobile Health ».
(7) Agence Européenne chargée de la sécurité des réseaux et de l’information.