UN PROJET À RISQUE DE TATOUAGE CONNECTÉ : LES DONNÉES PERSONNELLES AU SERVICE DES OBJETS CONNECTÉS ET DE LA TECHNOLOGIE BIOMETRIQUE

Publié par le dans , , | Consulté 215 Fois

Mi novembre, le studio de design technologique Chaotic Moon basé au Texas, spécialisé dans les objets connectés, dévoilait son projet de « tech tat », un prototype de tatouage connecté élaboré pour collecter les informations de santé de ses utilisateurs.

Ce n’est pas la première fois que de telles initiatives sont proposées, puisque la société Motorola avait notamment en 2013, déposé un brevet sur un projet de tatouage connecté permettant de passer des appels une fois associé à un téléphone mobile, tel un kit mains-libres.

Pour le Président de la firme américaine, « il s’agit d’un nouvel accessoire (…) connecté ». Dans la veine des objets connectés dits de « bien être » ou de « santé », ce tatouage temporaire, qui en est encore au stade de la conception, prendrait la forme d’un autocollant équipé d’une encre conductrice reliée à une puce, qui pourrait récolter des informations de santé, les analyser, les comprendre et les traiter.

La difficulté cependant est que ce type de technologie recouvre plusieurs régimes juridiques, et plus particulièrement celui relatif à l’informatique et aux libertés, en ce que de tels objets touchent aux données à caractère personnel. Pour pouvoir leur appliquer un régime adéquat, encore faut-il déterminer au cas par cas la nature des données collectées.

Des données à caractère personnel potentiellement « sensibles »

Le régime applicable à un tel appareil dépendra de la nature des données collectées par ce tatouage temporaire. Il faut ici raisonner a contrario, à l’aide de la technique du faisceau d’indices, pour déterminer s’il s’agit de données à caractère personnel dites « sensibles » ou non.

L’article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Les données à caractère personnel reconnues comme « sensibles », par la loi du 6 août 2004, sont définies à l’article 8 de la loi du 6 janvier 1978 comme « les données (…) qui sont relatives à la santé ou à la vie sexuelle » des personnes. Il est, sauf exception, interdit de les collecter ou de les traiter.

Cependant, il n’y a pas de définition qui délimite exhaustivement ce qu’est une donnée de santé à caractère personnel. La Cour de justice de l’Union européenne (CJUE) en avait donné une définition extensive dans un arrêt du 6 novembre 2003, en considérant qu’une telle qualification recouvre des « informations concernant tous les aspects, tant physiques que psychiques de la santé d’une personne ». Dans son avis portant sur les données de santé informatisées rendu en 2010, la Conférence nationale de la santé en a précisé les contours en indicant que sont des données de santé « des informations sur l’état de santé et les maladies (…) mais aussi les éléments qui peuvent déterminer l’état de santé », en énumérant notamment les « comportements de santé », la « consommation des soins » ou encore « l’environnement physique de l’habitat ». Une telle énumération semble recouvrir l’invention de Chaotic Moon, puisque le tatouage devrait avoir pour finalité de collecter des informations biométriques, mais aussi environnementales.

Face à cette insécurité juridique, le G29, qui constitue le groupe de travail des autorités européennes de protection des données institué par l’article 29 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, a formulé en février 2015 des propositions afin de déterminer les cas où il s’agit de données de santé. Parmi elles, deux possibilités : des données générées dans un cadre professionnel de santé ou encore, des données dites « brutes » qui permettent, seules ou combinées, de déterminer des risques de maladies, ou l’état de santé d’une personne physique.

Le contenu comme critère essentiel dans le processus de qualification des données

Le critère déterminant semble être le contenu des données collectées. En effet, quid si ces données sont hackées ? Révèleraient-elles des informations sur l’état de santé de la personne qui les génère ? Dans l’affirmative, ces données pourraient être qualifiées comme sensibles, ce qui pourrait avoir des conséquences sur le régime juridique applicable, notamment en ce qui concerne leur stockage et leur conservation.

La vulnérabilité des objets connectés n’aidant pas, le responsable de traitement devra présenter des garanties particulières en ce qui concerne leur confidentialité et leur sécurité, comme le prévoit l’article 8 de la loi de 1978.  Ils doivent mettre en place de solides mesures de sécurité. A ce sujet, les données doivent être protégées physiquement, à l’aide d’un code d’accès par exemple, ou encore par le chiffrement des transmissions. Tout cela doit être détaillé dans la demande d’autorisation préalable obligatoire auprès de la Commission nationale informatique et libertés.

De même, leur traitement est soumis au consentement express de la personne concernée, et leur conservation doit être effectuée par un hébergeur agréé.

Des écueils demeurent cependant en France, puisque selon la CNIL, une donnée relative au groupe sanguin ne constitue pas à elle seule une donnée de santé. Néanmoins, si à elle seule elle n’est pas spécifiquement considérée comme une donnée sensible, une donnée faisant état d’analyses sanguines en est une. De même, l’ADN est une donnée sensible du fait des nombreuses informations qu’il contient et qui permettent de desceller une pathologie. De facto, des données qui ne sont pas à l’origine, sensibles, peuvent une fois agrégées les unes aux autres, le devenir.

Le projet de règlement européen portant sur la réforme du régime de protection des données personnelles, attendu pour le début de l’année 2016, prévoit d’englober les données qui jusqu’ici pouvaient être considérées comme des données de bien être dans la qualification de données de santé. Il définit la donnée de santé comme « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne », incluant « l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source ».

Des objets connectés aux dispositifs médicaux

En France, il n’existe à ce jour que très peu d’objets connectés dits de « santé ». Beaucoup de sociétés élaborent des technologies dites de « bien être », car leur régime juridique est beaucoup moins contraignant.

En effet, la principale difficulté réside dans le fait qu’il n’existe pas pour le moment de définition légale de l’objet connecté, et encore moins de l’objet connecté de santé. De tels appareils peuvent cependant être rapprochés des dispositifs médicaux tels que définis par l’article L.5211-1 du Code de la santé publique comme « tout instrument, appareil, équipement, matière, produit, à l’exception des produits d’origine humaine, ou autre article utilisé seul ou en association, y compris les accessoires et logiciels nécessaires au bon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l’homme à des fins médicales ».

Un dispositif médical présuppose donc une finalité médicale. Seulement parfois, cette dernière est difficile à déceler. Parfois, l’objet peut avoir une finalité médicale de manière indirecte. Sur cette question, la CJUE, en 2012, a rendu un arrêt sur l’interprétation de la notion de dispositif médical. Elle considère que cette notion « ne couvre un objet conçu par son fabriquant pour être utilisé chez l’homme à des fins d’étude d’un processus physiologique que s’il est destiné à un but médical ».

Tout dépendra donc de la finalité et de l’utilisation qui sera donnée au tatouage connecté par Chaotic Moon lors de sa commercialisation. Il est légitimement possible de penser que la société en fera un objet connecté de bien être dans un premier temps. Mais elle indique par ailleurs, dans sa vidéo de présentation, qu’il sera possible grâce au tatouage connecté, de détecter « les premiers signes d’une fièvre, les signes vitaux, la fréquence cardiaque (…) Tout ce qui peut indiquer que vous tombez malade », et ainsi, d’envisager la création d’applications médicales ou militaires.

SOURCES :

ARNULF (S.), Vidéo : une start-up américaine imagine un tatouage biométrique connecté, usine-digitale.fr, publié le 28 novembre 2015, consulté le 29 novembre 2015, <http://www.usine-digitale.fr/article/video-une-start-up-americaine-imagine-un-tatouage-biometrique-connecte.N365531>

FILIPPONE (D.), Des tatouages connectés pour collecter des informations de santé, lemondeinformatique.fr, publié le 24 novembre 2015, consulté le 28 novembre 2015, <http://www.lemondeinformatique.fr/actualites/lire-des-tatouages-connectes-pour-collecter-des-informations-de-sante-63069.html>

BRAC DE LA PERRIÈRE (M.), Objets connectés de santé : sécurité des données, alain-bensoussan.com, mis en ligne le 24 septembre 2015, consulté le 27 novembre 2015, <http://www.alain-bensoussan.com/objets-connectes-sante-securite/2015/09/24/>