Applications mobiles : 5 enjeux liés à la collecte des données dans le secteur de la santé

De plus en plus de services digitaux sont proposés aux patients pour améliorer la prévention ou favoriser l’observance. À commencer par les applications sur mobile. Une étude du cabinet d’analyse allemand Research2guidance recense 325 000 applications santé et fitness dans le monde, dont 78 000 nouvelles en 2017. Il s’agit aussi bien d’applications développées par des laboratoires pharmaceutiques, des assurances et mutuelles que des start-up et acteurs ne venant pas du secteur de la santé. Et, pour toutes, se pose la question des données collectées.

1 – Identifier les données de santé

Nom, prénom, email mais aussi données de géolocalisation peuvent aujourd’hui être collectés via les applications mobiles. Outre la réglementation sur les données personnelles, les données peuvent être considérées comme plus sensibles dès lors qu’elles concernent la santé.

Un des premiers enjeux consiste à les distinguer des autres. À l’occasion de l’entrée en vigueur du règlement européen sur les données personnelles en mai 2018, la Cnil a rappelé : “Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique, qui révèlent des informations sur l’état de santé de cette personne. Cette définition comprend donc par exemple : les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services ; les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle ; les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée”.

Une définition large à prendre en compte pour les données collectées par les applications mobiles. De plus, la Cnil ajoute : “Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne”. Une précision qui a des implications pour les éditeurs d’applications mobiles. “On peut ainsi considérer rapidement que la transmission par l’utilisateur de données va relever de données de santé”, observe Hélène Langlois, avocate au barreau de Paris. 

Ronan Le Quéré, directeur général d’Interaction Healthcare, renchérit : “Quand on collecte de façon unitaire le poids et la taille, on peut alors les mettre en relation pour calculer l’IMC, qui peut donner des informations concernant l’état de santé de la personne. On est alors sur de la donnée de santé. Nous faisons beaucoup de sensibilisation auprès de nos interlocuteurs”. La société accompagne en effet les acteurs du secteur de la santé pour créer des services digitaux.

Amélie Martinez, responsable qualité réglementaire de la start-up Ad Scientiam, qui développe des applications mobiles, témoigne : “Le type de données collectées dépend de la nécessité par rapport au produit et au résultat que nous voulons délivrer au patient. Il y a d’abord les données d’identification pour créer le profil avec ses nom, prénom et date de naissance. Puis de nombreuses données qui pourraient ne pas être considérées comme des données de santé, par exemple les résultats du test de marche, mais, comme elles sont associées avec notre application sur la sclérose en plaques, elles le deviennent”.

2 – Choisir les conditions de collecte

Une fois, les différents types de données identifiés, les éditeurs d’applications mobiles doivent effectuer une analyse d’impact pour déterminer les conditions à mettre en oeuvre pour leur collecte ou non. La réglementation introduit alors la notion de finalité. “Collecter des données pour collecter des données est interdit. Il faut que cela réponde à des finalités explicites et légitimes”, signale David Sainati, directeur général de Medappcare qui a labellisé une trentaine d’applications et qui depuis janvier 2019 peut délivrer des certifications.

Il constate des collectes non justifiées : “Nous avons déjà vu des applications collectant le casier judiciaire, le numéro de sécurité sociale… Cela peut-être tout à fait légitime et cohérent, mais il faut s’en assurer. Pour la géolocalisation, les données sont souvent récupérées par mégarde, parce que les éditeurs utilisent des bibliothèques de codes déjà développés”. L’analyse d’impact qui s’inscrit dans le principe de privacy by design peut également permettre de s’apercevoir de l’inutilité de certaines données.

Comme le détaille Amélie Martinez (Ad Scientiam) : “À chaque nouvelle application, nous effectuons une analyse d’impact afin de définir juste ce qui est nécessaire. Les développeurs expriment leur besoin en termes de collecte de données et je les challenge en tant que DPO. Par exemple, notre application sur la SEP réalise un test permettant d’évaluer la motricité du patient en suivant la marche sur une certaine distance. Nous aurions pu prendre les coordonnées GPS et le suivre sur sa trajectoire. Cela implique un risque par rapport au patient. Nous n’avons pas besoin de savoir où il se trouve. Nous avons préféré collecter des données sur l’éloignement relatif entre son point de départ et son point d’arrivée”.

3 – Définir les solutions de stockage

Les données collectées doivent ensuite être stockées. En fonction des conditions, la réglementation diffèrent. Ainsi, le stockage en local sur le mobile permet de s’affranchir des obligations réglementaires. Comme le confirme Hélène Langlois : “Si les données sont stockées exclusivement sur le téléphone de l’utilisateur, la loi Cnil et le droit européen ne s’appliquent pas”.

Une stratégie adoptée par certains. “Les laboratoires pharmaceutiques sont les premiers pourvoyeurs d’applications mobiles. La collecte des données est un vrai sujet tabou. En général, ils optent pour un stockage local. Les données sont sanctuarisées sur l’appareil ainsi que les tableaux de suivi”, observe David Sainati de Medappcare. Pour ce type de stockage, Ronan Le Quéré (Interaction Healthcare) conseille de mettre en place des solutions de cryptage : “Nous allons crypter les données même si elles sont hébergées sur le mobile, pour les cas de vol de téléphone par exemple”.

Si les données de santé sont envoyées vers un serveur, elles doivent être stockées chez un hébergeur de données de santé certifié ou agréé. “Nous intervenons en tant que tiers de confiance auprès de l’éditeur de la solution qui peut être ou non le responsable de traitement, c’est-à-dire celui qui détermine la finalité et l’usage des données”, indique Pedro Lucas, p-dg de Cloud Santé, division dédiée à la gestion des données de santé au sein du groupe Euris. La société accompagne également les acteurs du secteur pour leur mise en conformité afin de faire respecter les principes du “Dica : disponibilité, intégrité, confidentialité et auditabilité”.

Le dirigeant précise : “Dans 99 % des cas, il y a des données personnelles de santé. En amont, nous intervenons pour faire des recommandations sur comment respecter le fameux Dica.  Au moment du déploiement, le cahier de recette d’hébergement de données de santé permet de vérifier que les différentes opérations sont bien implémentées comme la récupération des données de traçabilité et leur rangement, la vérification de l’authentification forte…”

4 – Gérer le consentement et son retrait

Avec le RGPD, le consentement et son retrait sont à prendre en compte pour toutes les données personnelles. “Le règlement européen est venu ajouter tout un tas de prérequis réglementaire dont le consentement”, constate Ronan Le Quéré. Il doit être recueilli pour toutes les données personnelles. Hélène Langlois ajoute : “La première étape très importante consiste à informer l’utilisateur de l’identité du responsable de traitement, des objectifs poursuivis…” Chez Ad Scientiam, pour une même application, plusieurs consentements peuvent être demandés.

“Au moment de la création, nous définissons les consentements pour demander si nous pouvons utiliser les données, en précisant à chaque fois la finalité, la durée de conservation et la possibilité de retirer le consentement. Nous en avons plusieurs pour une même application : pour pouvoir communiquer avec l’utilisateur, lui envoyer des newsletter, etc.”, indique Amélie Martinez. La durée de conservation doit en effet être mentionnée au moment du consentement. Elle varie en fonction des applications. “Plus les données vont être précises et identifiantes, plus la durée de conservation sera limitée ou concernera des objectifs très précis. Elle n’est pas homogène et dépend de la finalité poursuivie. Et les données devront être supprimées rapidement en cas d’inactivité de l’utilisateur sur l’application”, précise Hélène Langlois. Chez Ad Scientiam, la durée de conservation a été établie pour toute la durée de vie de l’application.

Intervient également la possibilité pour l’utilisateur de retirer le consentement et donc de demander le retrait des données. Une action qui n’implique pas forcément l’effacement des données, selon les acteurs du secteur. “Nous devons permettre à l’utilisateur de retirer son consentement. Il nous faut alors soit anonymiser les données soit les effacer. Il s’agit exclusivement des données qu’il nous a fourni et pas celles qui ont été obtenues par le traitement de l’information”, souligne Ronan Le Quéré.

Pedro Lucas renchérit : “Dans la logique du privacy by design, il faut prévoir, dès la conception de l’application, le droit à l’oubli ou l’effacement des données ainsi que la notion de portabilité, et donc la possibilité d’extraire les données de manière intelligible. Et retirer du système ne signifie pas effacer les données. Pour de nombreuses raisons légales, elles restent stockées mais ne sont plus accessibles”.  

5 – Utiliser les données pour les études observationnelles

Si les laboratoires pharmaceutiques qui développent des applications mobiles pour les patients se montrent frileux sur l’utilisation des données, la demande grandissante de données de vie réelle et d’études observationnelles (étude qui tire des conclusions sur l’effet possible d’un traitement sur les participants) ne peut être occultée. “En général, les laboratoires ne veulent pas trop avoir de données et n’osent pas en faire grand chose”, constate David Sainati. Pourtant, Ronan Le Quéré ouvre la voie : “Pour les études observationnelles, nous pouvons anonymiser les données collectées. Il s’agit d’avoir des données agrégées, non nominatives, sur la base desquelles nous allons pouvoir réaliser ces études”.

L’avocate Hélène Langlois se montre néanmoins prudente : “Sur le principe, une donnée parfaitement anonymisée échappe au règlement européen sur les données personnelles et peut faire l’objet de traitement à des fins de recherche. Néanmoins, l’anonymisation des données et notamment celles de santé est une problématique importante. On n’est jamais sûr qu’elle soit réelle et, qu’en recoupant avec d’autres fichiers, il ne soit pas possible de la réidentifier”. Chez Ad Scientiam, les données sont pseudonymisées. “L’anonymisation est quelque chose de très compliquéà mettre en oeuvre, d’après la Cnil. La seule chose que nous pouvons faire, c’est la pseudonymisation en demandant le consentement à l’utilisateur pour l’utilisation de ses données de vie réelle”, témoigne Amélie Martinez.