Avec iOS 8, Apple se lancera pour la première fois dans la gestion des données de santé. HealthKit pourra ainsi être utilisé par les éditeurs tiers pour constituer un dépôt central permettant l’échange de ces informations. Dans un récent changement des conditions de développement d’applications, la firme interdit cependant la revente de ces données à des tiers. Apple réserve toutefois l'hypothèse d'un partage lié à la recherche médicale.
HealthKit, la zone centrale de stockage des données de confort dans iOS 8
HealthKit est appelé à jouer un grand rôle dans le futur iOS 8, qui sera disponible cet automne. Il s’agit dans les grandes lignes d’une API (Application Programming Interface) qui autorise les applications liées à la santé ou au sport à stocker des informations et/ou à y accéder. Une application permettant par exemple de gérer au quotidien la dépense des calories pourrait tout à fait, à travers ce système, utiliser les informations stockées par Nike sur les courses réalisées, afin de les prendre en compte dans ses calculs.
L’idée d’Apple est en fait de proposer un « terrain de jeu » sur lequel les éditeurs tiers pourront tous venir échanger des informations. Non seulement cela devrait limiter le nombre d’API dans ce domaine, mais la firme de Cupertino a surtout pensé sa technologie comme une plateforme d’échanges et de normalisation des données. Conséquence, les applications peuvent y piocher des informations aptes à les alimenter, mais toujours avec l’accord de l’utilisateur. En effet, pour chaque type d’information, on pourra définir quelles applications ont le droit d’y accéder.
Notez qu'Apple fournira également l'application Health qui permettra d'avoir rapidement une synthèse sur les données rassemblées : nombre de pas, pression sanguine, calories dépensées, kilomètres parcourus et ainsi de suite.
Interdiction pour les développeurs de revendre les données
Étant donné le caractère sensible de ces informations qui, sans être directement médicales, restent très personnelles, Apple a choisi de rendre ses conditions d’utilisation plus strictes. Dans une nouvelle version envoyée aux développeurs, la firme se montre claire : les entreprises qui obtiennent des données à travers HealthKit n’auront pas le droit de les revendre à un tiers. Le tiers en question peut être une plateforme publicitaire, un collecteur de données ou un revendeur. Apple précise : « Votre application ne doit pas accéder aux API HealthKit sauf si elle est avant tout conçue pour fournir des services de santé et/ou d’activité sportive, et que cet usage est clairement mis en évidence dans le texte de présentation et dans l’interface utilisateur ». Une phrase pratiquement identique est reprise pour la situation inverse : les applications qui piochent dans les données stockées dans HealtKit.
Il existe tout de même une exception notable : les données peuvent effectivement être partagées avec un tiers, si et seulement s’il s’agit de travaux de recherche liés à la santé. Mais même dans ce cas, ce partage ne sera pas automatique puisque l’utilisateur devra donner son consentement. Il s’agit d’un choix par opt-in, donc basé sur une acceptation volontaire. On imagine facilement qu’Apple souhaite éviter toute polémique sur ce type de technologie.
Cependant, l'interdiction d'Apple se concentre sur la revente. Mais peut-on qualifier comme tel un partage à titre gratuit ? Un don des informations collectées, sans contrepartie ? Si l'expression est limitée à la revente, avec retour financier, on peut craindre qu'Apple laisse une brèche ouverte.
Un écho aux travaux menés par la CNIL
La mesure optée par Apple répond en fait comme un écho aux travaux menés actuellement par la CNIL. Code de la santé publique sous le bras, celle-ci prohibe déjà aux professionnels de la santé de céder ou faire commerce des informations médicales des patients. « En application de l’article L. 4113-7 du code de la santé publique, la constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des données personnelles de santé, sont interdites (même rendues anonymes à l’égard des patients) dès lors que ces fichiers permettent d'identifier directement ou indirectement le professionnel prescripteur » rappelle l’autorité de contrôle.
De même, celle-ci exige un haut niveau de sécurité pour ces informations sensibles, mais toujours à destination des professionnels de la santé.
Cependant, pour les acteurs scrutant les objets connectés liés à la santé, la législation marque actuellement ses limites notamment quant à la définition exacte de la donnée de santé. Le projet de règlement sur les données personnelles compte définir celle-ci dans toute l’Europe comme étant « toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne ».
Peut-on être libre de l'usage du corps et ses données ?
La CNIL, dans un cahier dédié à ce sujet, a déjà évoqué l’idée d’instaurer « certaines restrictions d’usage des données personnelles » ciblant spécialement les cessions commerciales : « Il pourrait ainsi être envisagé de limiter les catégories de destinataires susceptibles de recevoir ces données afin, notamment, d'éviter tout risque de partage à des fins potentiellement discriminantes pour les personnes concernées (par exemples avec des sociétés d'assurance, banques, etc) ». Ces informations posent en effet des problèmes presque philosophiques. Alors que les intermédiaires peuvent s’enorgueillir du consentement exprès des personnes concernées, lisant trop rapidement des conditions générales d’utilisation, « l’État [pourrait] prévoir, par la loi, que ce consentement ne suffit pas pour permettre à un tiers d’utiliser ces données. Ceci procède implicitement de l’idée selon laquelle les individus ne sont pas libres de faire n’importe quel usage de leur corps ».
Faute de mieux, face à une législation balbutiante, la CNIL propose également d’encourager à titre complémentaire l’autorégulation, ou mieux, la co-régulation au niveau national et international.