Applications mobiles en santé et protection des données personnelles : Les questions à se poser
Développer une application mobile « santé » ou « bien-être » impose de garantir la protection des données personnelles collectées. De multiples questions se posent en pratique.
Les applications mobiles en santé sont-elles soumises à la réglementation sur la protection des données personnelles (RGPD et loi Informatique et Libertés) ?
Avant le développement et la mise en ligne d’une application mobile, il convient d’examiner si celle-ci entre dans le champ d’application de la réglementation sur la protection des données personnelles.
Si l’application mobile en santé enregistre et conserve des données à caractère personnel exclusivement localement dans un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles, ne s’applique pas.
A noter : le fournisseur de l’application doit tout de même être en mesure de garantir à l’utilisateur le respect de règles minimum de sécurité, compte tenu des risques d’atteinte à la vie privée. Sur ce point, voir le référentiel de bonnes pratiques sur les applications et les objets connectés en santé élaboré par la Haute Autorité de Santé.
A l’inverse, si l’application propose des fonctionnalités permettant d’assurer un service à distance à son utilisateur (suivi par un professionnel, surveillance médicale, etc.) ou qu’elle comporte une connexion extérieure (ex : sauvegarde des données dans le cloud), s’applique.
- Les grands principes relatifs à la protection des données doivent être respectés, dès la conception de l’application («Privacy by design ») ;
- Dans des hypothèses très précises, au regard de la finalité du traitement (ex : utilisation de l’application pour une recherche), des formalités doivent être réalisées ;
- Il est nécessaire de respecter toutes les obligations prévues par le règlement européen sur la protection des données (ex : réalisation d’une analyse d’impact, tenue du registre des activités de traitement, information des personnes, etc.).
Quelles sont les finalités possibles d’une application mobile ?
En pratique, ces applications peuvent répondre à des finalités très diverses, comme par exemple :
- Assister le patient dans son propre suivi sanitaire (ex : suivi de patients diabétiques) ;
- Permettre le suivi et la prise en charge du patient à distance par un professionnel de santé (télésurveillance et téléconsultation). Sur la télémédecine, voir la fiche « Télémédecine : comment protéger les données des patients » ;
- Partager des cas cliniques et donner des avis entre professionnels de santé (téléexpertise) ;
- Améliorer la qualité du sommeil ;
- Disposer, dans son mobile, d’un carnet de suivi sanitaire ;
- Mieux gérer sa santé, etc.
Les données recueillies doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent être traitées ultérieurement pour d’autres finalités, surtout si elles sont incompatibles avec les finalités prévues initialement.
L’identification de la (des) finalité(s) de l’application mobile est majeure. Elle doit être faite, en amont de sa conception, pour notamment apprécier quelles seront les données pertinentes à collecter.
Quelle est la nature des données pouvant être collectées par l’application mobile ?
Le responsable de traitement peut être amené à traiter des données de santé à caractère personnel (sur ce point, voir la fiche « Qu’est-ce qu’une donnée de santé »). Du fait de leur sensibilité, ces données font l’objet d’un régime juridique de protection renforcée : Règlement général sur la protection des données, loi Informatique et Libertés et, le cas échéant, dispositions relatives aux conditions d’échange et de partage des données de santé (art. L. 1110-4 du CSP), dispositions relatives aux référentiels de sécurité et d’interopérabilité (art. L. 1110-4-1 du CSP), dispositions sur l’hébergement des données de santé dès qu’il existe un enregistrement et une conservation des données par un prestataire entrant dans le champ de l’hébergement des données de santé (art. L. 1111-8 du CSP), interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (art. L. 1111-8 du CSP, art. L. 4113-7 du CSP), etc.
En toute hypothèse, les données à caractère personnel traitées par l’application mobile doivent être adéquates, pertinentes, non excessives au regard des finalités pour lesquelles elles sont collectées. Elles doivent être exactes, complètes et, si nécessaire, mises à jour.
Exemple : une application mobile, qui a pour objet d’aider une personne à mieux gérer sa pathologie, avec proposition de conseils personnalisés par un professionnel de santé, ne doit pas collecter des informations sur les origines ethniques dès lors que ces informations ne seraient pas pertinentes au regard de la pathologie traitée.
Qui est responsable de traitement ?
Le responsable de traitement est celui qui détermine les finalités et les moyens de l’application mobile. Il doit s’assurer que les traitements de données réalisés dans le cadre de l’application sont conformes à la à la réglementation sur la protection des données personnelles. Dans des cas spécifiques, il doit également procéder aux formalités nécessaires préalablement au déploiement de l’application.
A noter : il ne faut pas confondre l’éditeur de l’application mobile c’est-à-dire la personne en charge de sa conception et, éventuellement, de sa commercialisation et le responsable de traitement.
Avec l’entrée en application du Règlement général sur la protection des données, il conviendra d’apprécier dans quelle mesure le déploiement d’une application mobile n’implique pas de traitement (ex : éditeur de l’application et professionnel de santé utilisateur). Tel sera le cas si les finalités et les moyens sont déterminés conjointement. Un accord (ex : un contrat) doit alors formaliser les obligations respectives des responsables conjoints.
En pratique, l’identification du responsable de traitement est à apprécier au cas par cas, en fonction du traitement. Il s’agit d’identifier quelle personne physique ou morale détermine la nature des services assurés par l’application (ce à quoi sert l’application), les fonctionnalités et / ou développements attendus de l’application pour assurer ces services (exemple : conseils, conservation des données de santé, etc.), les mesures de sécurité à retenir, etc.
Quel est le processus de mise à disposition d’une application mobile en santé?
Comme cela a été indiqué précédemment, il s’agit d’examiner en toute première intention si l’application mobile entre dans le champ d’application de la réglementation sur la protection des données personnelles.
Pour cela, il faut analyser si les données collectées correspondent à un usage autre qu’exclusivement personnel.
A titre exceptionnel, la nature des données collectées et / ou les finalités de l’application mobile peu(ven)t justifier l’accomplissement d’une formalité spécifique auprès de la CNIL.
Sur ce point, voir la fiche « Les traitements de données à caractère personnel : quelles formalités ? »
Quelles sont les mesures de sécurité à prendre ?
Le responsable de traitement doit assurer la confidentialité et la sécurité des informations des utilisateurs de l’application mobile en adoptant des mesures de sécurité physiques et logiques adaptées à la nature des données et aux risques présentés. Il doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données dès la conception de l’application et paramétrer celle-ci pour garantir que seules les données à caractère personnel qui sont nécessaires au regard de la finalité spécifique de l’application sont traitées. Sur ces points, voir le guide « La sécurité des données personnelles ».
Des obligations spécifiques pèsent sur le sous-traitant dans le cadre du Règlement général sur la protection des données (sur ce point, voir le guide « Règlement européen sur la protection des données - Guide du sous-traitant »). En cas de sous-traitance, un contrat doit être passé entre le responsable de traitement et le sous-traitant. Le sous-traitant doit notamment veiller à la sécurité des données à caractère personnel.
Quelle est la durée de conservation des données collectées ?
Les informations personnelles collectées doivent être conservées pour une durée limitée, qui ne peut aller au-delà de la durée nécessaire à la finalité du traitement de données découlant de l’utilisation de l’application. Cela signifie, par exemple, que les données collectées par une application mobile utilisée dans le cadre d’un dispositif de télésurveillance médicale et conservées, le cas échéant, dans un « télé-dossier » n’ont pas vocation à être conservées au-delà d’un certain délai. En ce qui concerne les applications relevant du « bien-être », les données collectées ne doivent pas être conservées au-delà de la suppression du compte ou de l’inactivité du compte.
Faut-il recueillir l’accord préalable de la personne ?
Si l’application mobile est une application de « bien-être » (ex : application développée pour mieux gérer sa santé, pour améliorer la qualité de son sommeil, etc.), l’accord exprès de la personne doit être recueilli, après que celle-ci a été informée que des données de santé sont collectées au niveau de l’application mobile. Cet accord porte spécifiquement sur le principe de la collecte des données de santé. Il ne peut être formalisé par une case à cocher valant acceptation des conditions générales d’utilisation de l’application mobile (l’on ne peut pas accepter en même temps les conditions générales d’utilisation et consentir au traitement via une même case).
Si l’application mobile est utilisée comme un outil de prise en charge sanitaire (ex : application utilisée dans le cadre d’un dispositif de télésurveillance médicale), l’accord exprès de la personne n’est pas nécessaire .
Quels sont les droits des personnes ?
Les personnes concernées par les données collectées au moyen de l’application mobile doivent pouvoir exercer de manière effective leurs droits
Pour cela, les personnes doivent disposer d’une information complète, claire et lisible. Sur ce point, voir la fiche « Traitement des données de santé : comment informer les personnes ».
Il convient de permettre la mise en œuvre du droit à la portabilité des données (prévu par le Règlement général sur la protection des données et la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) qui seraient collectées via une application mobile. Ainsi, les personnes concernées ont le droit, à certaines conditions, de récupérer les données à caractère personnel les concernant qu’elles ont fournies à un responsable de traitement et de transmettre ces données à un autre responsable de traitement, sans que le premier y fasse obstacle.
A noter : les données sont alors communiquées dans un format structuré, couramment utilisé et lisible par machine.
Questions / réponses
L’éditeur d’une application mobile de « bien-être » doit-il respecter les obligations l’hébergement des données de santé ?
Non, si les données collectées, enregistrées et conservées, le cas échéant, par un prestataire extérieur ne sont pas collectées à l’occasion d’activités de prévention, de diagnostic, de suivi social ou médico-social.
Dans quels cas est-il nécessaire de recourir à un hébergeur agréé ou certifié de données de santé ?
- les obligations relatives à l’hébergement de données de santé s’appliquent dès que l’application mobile conduit un professionnel ou un établissement de santé à confier à un tiers la conservation des données de santé ;
- lorsque ces données ont été recueillies, pour le compte de personnes physiques ou morales ou pour le compte du patient lui-même, à l’occasion d’une activité de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
Le recours à un hébergeur de données de santé agréé ou certifié sera donc obligatoire lorsque ces conditions sont cumulativement réunies. Toutefois, ne constitue pas une activité d'hébergement le fait, pour les personnes physiques ou morales à l'origine de la production ou du recueil des données, de confier ces données, pour une courte période, à un prestataire pour que celui-ci effectue un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.
Qui est considéré comme responsable de traitement d’une application mobile conçue par un éditeur, vendue ou même fournie à titre gratuit à des médecins pour assurer la prise en charge médicale de patients et comportant un hébergement de données de santé assuré par un prestataire extérieur ?
Le médecin, ou l’établissement dans lequel il exerce, est considéré comme étant responsable de traitement.
Le prestataire extérieur, qui assure une prestation d’hébergement des données de santé, dispose quant à lui la qualité de sous-traitant.
A retenir
- Les applications mobiles font intervenir une multitude d’acteurs (patients utilisateurs, éditeurs d’applications, , hébergeurs). Il est donc indispensable d’identifier le responsable de traitement.
- Le responsable de traitement s’assurer . Il mettre en œuvre toutes les mesures permettant de répondre en particulier en ce qui concerne l’information des personnes, la portabilité des données ou encore la sécurité.
- Selon la finalité de l’application mobile, certaines règles spécifiques du code de la santé publique peuvent s’appliquer et doivent être prises en compte dans la conception et l’utilisation de l’application (ex : hébergement de données de santé, secret médical, télémédecine, etc.).
Références
- Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/4
- Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (art. 2, 3, 6, 8, 25, 32, 38 et s.)
- Art. L. 1111-8 du CSP
- Référentiel de bonnes pratiques sur les applications et les objets connectés en santé élaboré, Haute Autorité de Santé, 2016
- Guide de la sécurité des données personnelles