Vu de l’étranger, et en particulier des pays anglo-saxons, la Commission nationale de l'informatique et des libertés ou CNIL, symbolise un peu le mal français : une obsession de la réglementation et une bureaucratie poussiéreuse. Au-delà du coup porté, plutôt bas, cette attention de l’étranger met en lumière certaines failles et vulnérabilités dans le dispositif, d’ores et déjà repérées et exploitées par quelques entreprises peu scrupuleuses.
La CNIL, contrôleuse tatillonne des données numériques, plus soucieuse d’occuper ses membres que de faciliter et d’accompagner le développement des entreprises ? L’insinuation de plusieurs articles de la presse anglo-saxonne (1) ne va pas être du goût d’Isabelle Falque Pierrotin, sa présidente. D’autant plus que l’image est bien évidemment fausse et la réputation injustifiée.
La réglementation, entre encadrement et contrainte
Pourtant, voir dans la réglementation un frein au développement n’est pas forcément dénué de fondement. Se mettre en conformité avec une réglementation qui impose des devoirs nouveaux pour les entreprises représente du temps et des investissements. Selon une étude réalisée en juin 2017 par la société UMANIS, 46 % des entreprises interrogées ne savent pas si elles seront prêtes à temps pour accueillir le nouveau règlement européen sur la protection des données personnelles, devant entrer en vigueur en mai 2018. 23 % estiment même qu’elles n’y parviendront pas (2).
Sachant que les amendes afférentes en cas de non-respect peuvent sérieusement grever le bilan d’une entreprise, la CNIL se veut rassurante : la directrice de la conformité de la CNIL, Sophie Nerbonne, précise ainsi que la posture de la CNIL sera avant tout « pédagogique et incitative, avant d'être répressive ». Une réglementation est toujours un équilibre subtil entre encadrement bienveillant et contraintes répressives ; la CNIL ne souhaite pas du coup pour l’instant appuyer trop fort du côté contraintes. Sauf que certaines entreprises ont manifestement pris cela pour de la permissivité. Du coup, certains points soulevés depuis l’étranger méritent considération, particulièrement dans le domaine de la protection des données de santé, où opèrent nombre d’entreprises étrangères, allemandes, américaines, coréennes et japonaises.
Télémédecine et objets connectés
Tous ces pays, de niveau technologique au moins équivalent à celui de la France, font face aux mêmes problématiques de santé que la majorité des pays développés : entre le vieillissement de la population et une alimentation de moins en moins surveillée se répandent les pathologies cardiovasculaires et le diabète, pour ne citer que les deux pandémies les plus inquiétantes. Des réponses technologiques existent ou sont en cours de développement : dans la plupart des cas, elles concernent le suivi à distance des patients via des objets connectés à usage médical : pacemakers, défibrillateurs implantés, pompes à insuline, tensiomètres, pulsomètres… L’intérêt premier de ces technologies est un suivi médical qui peut aller jusqu’au « temps réel », avec des remontées d’alertes vers le médecin traitant à des fins de prévention ou d’alerte en cas d’urgence. Demain, à partir d’une simple application sur Smartphone, il sera par exemple possible de diagnostiquer et de suivre l’évolution d’un mélanome à partir d’une simple photo. Dans tous les pays concernés, les objets connectés constitueront le socle technologique de la télémédecine, en facilitant le suivi et le dépistage à distance dans un contexte de raréfaction des « ressources médicales » (humaines et matérielles). L’ensemble constitue donc un marché considérable où se sont engouffrées des entreprises de tous les pays cités.
Divergences des réglementations
Le problème n’est pas tant la nationalité de ces entreprises ou la qualité des produits, que la façon dont sont collectées, transmises, stockées et utilisées les données de patients, ces derniers étant très souvent peu au fait de cette caractéristique des équipements utilisés.
Internet, serveurs distants et Cloud aidant, les données ne connaissent en effet pas les frontières physiques, celles au-delà desquelles une réglementation s’applique (ou ne s’applique plus) et à l’intérieur desquelles une autorité administrative comme la CNIL peut exercer son mandat de contrôle et, le cas échéant, son pouvoir de sanction. C’était tout l’objet de l’intervention de Valérie Peugeot, membre de la CNIL depuis 2016 en tant que commissaire, en charge avec le juge Alexandre Linden du secteur santé, au cours de son intervention sur le thème : « Nouvelles sources, nouveaux intermédiaires, nouveaux usages : que deviennent nos données de santé ? » (3).
L’action de la CNIL repose un effet sur un postulat de départ qui n’a pas beaucoup évolué depuis les origines : toute donnée personnelle, et a fortiori médicales, doit être protégée et anonymisée si elle est utilisée par des personnes tierces, en dehors de la relation médecin-patient. Or, avec l’arrivée des objets connectés, dont les qualités ne sont pas remises en question, se sont immiscés dans cette relation des intermédiaires industriels. Leur intérêt est précisément d’avoir accès à ces données : à des fins d’amélioration des produits ou de recherches médicales certes, mais aussi pour des raisons nettement plus commerciales, les données de santé individuelles représentant une manne inestimable, pour les assureurs par exemple.
Entre flou et ambiguïtés
Le problème avec certains industriels sur ce créneau tient aux modalités de protection et de chiffrement des données, ou de l’autorisation d’accès donnée à des personnels non médicaux. Certaines entreprises, comme l’allemand Biotronik, œuvrant dans le domaine des dispositifs médicaux cardio- et endovasculaires, évoquent ainsi, en marge de la réception de son agrément HADS, des salariés « dotées d’une expérience de secrétariat médical » pour l’assistance des patients (4). Or, si ces personnes ne sont pas des professionnels de santé, elles ont interdiction selon la législation française d’avoir accès à ces données. Les serveurs de données sont par ailleurs basés en Allemagne où la réglementation est moins rigoureuse qu’en France sur la protection des données et où la CNIL ne peut pas agir. Plus grave encore, le fabriquant américain de pacemakers connectés St Just Medical, acquis en janvier 2017 par Abbott, a été sommé par la FDA de réaliser une mise à jour logiciel de 465 000 appareils, vulnérables aux piratages à distance à l’instar des tous les objets connectés insuffisamment protégés (5).
La protection des données comme celles des produits coûte cher. Dans un contexte de faible prise en compte de la menace, et de relatif laisser-faire de la part de la CNIL, il n’est pas étonnant que des industriels soumis à une rude concurrence s’exonèrent de leurs devoirs en la matière. La CNIL a néanmoins, elle, un devoir de vigilance sur ces questions : compte tenu des opportunités offertes par la télémédecine, il est impératif de rassurer aujourd’hui les patients, tant sur la protection de leurs données personnelles que sur la robustesse informatique des produits implantés.
(1) newsparticipation.com/the-cnil-a-symbol-of-frances-arrogance-and-toothlessness/
https://www.cafebabel.co.uk/article/medical-data-security-in-france-the-cnil-being-roasted.html
(2) https://www.lesechos.fr/idees-debats/cercle/cercle-177272-le-gdpr-un-risque-pour-les-pme-en-position-de-sous-traitance-2139245.php
(3) https://www.clubdesvigilants.com/alerte/quelle-protection-nos-donnees-sante
(4) https://www.dsih.fr/article/1934/biotronik-france-hebergeur-agree-de-donnees-de-sante-pour-son-activite-de-telecardiologie.html
(5) https://www.nouvelobs.com/tech/20170831.OBS4051/risque-de-piratage-un-demi-million-de-pacemakers-a-mettre-a-jour.html