La Federal Trade Commission, agence indépendante de protection des consommateurs aux États-Unis est en discussion nourrie avec Apple. Objet de ces échanges ? La façon dont le géant de l’informatique compte manipuler les données de santé glanées par ses appareils connectés.
Selon une dépêche Reuters, la FTC est en relation avec Apple pour déterminer la façon dont l’entreprise compte assurer la protection de la vie privée au regard de ses aspirateurs à données de santé. La FTC aurait réclamé des assurances pour que des tiers ou des régies ne puissent accéder à cette masse d’informations. L’administration en question n’a pas confirmé ces échanges, contrairement à Apple qui indique travailler avec l’ensemble des organisations compétentes.
Toutes les attentions se portent évidemment sur HealthKit, une API (Application Programming Interface) d’Apple autorisant les applications liées à la santé ou au sport à stocker des informations ou à y accéder. Les garanties apportées par Apple sont-elles suffisantes ? Depuis une version adressée aux développeurs en août dernier, Apple leur a interdit justement d’accéder aux données en question sauf si leur application « est avant tout conçue pour fournir des services de santé et/ou d’activité sportive, et que cet usage est clairement mis en évidence dans le texte de présentation et dans l’interface utilisateur ».
Et en France et en Europe ?
En France, l’article L. 4113-7 du code de la santé publique, interdit déjà « la constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales » du moins seulement si « ces fichiers permettent d'identifier directement ou indirectement le professionnel prescripteur ».
Le texte n’est donc pas clair et pose déjà la question de savoir où commence et où termine la donnée de santé. Pour parer aux risques d’interprétations différentes suivant les législations des États membres, le projet de règlement européen compte la définir comme « toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne. »
La santé exclue des CGV ?
Au-delà de ces questions de frontières, les données de santé sont considérées par la CNIL comme sensibles, exigeant du coup un haut niveau de sécurité. Pour parer aux risques d’exploitations dans tous les sens, l’État pourrait aussi prévoir que le consentement donné au titre des conditions générales de vente ne puisse permettre à lui seul d’autoriser un tiers à utiliser ces données. C’est du moins une des garanties supplémentaires mise sur la table par la CNIL. Celle-ci voudrait aussi que soient limitées « les catégories de destinataires susceptibles de recevoir ces données afin, notamment, d'éviter tout risque de partage à des fins potentiellement discriminantes pour les personnes concernées (par exemples avec des sociétés d'assurance, banques, etc.) »
