Articles
Gestion saine des données pour les applications de santé
mars 2021
Alors que les applications de santé et de bien-être sont de plus en plus avides des données personnelles des utilisateurs, quelles mesures doivent être envisagées lors du traitement de données sensibles ?
La popularité croissante des applications numériques de santé et de bien-être est une tendance majeure ces dernières années. Ces applications reposent souvent sur les données personnelles des utilisateurs et sont donc soumises à des exigences réglementaires, notamment concernant les données de catégorie spéciale, qui doivent être respectées pour assurer la conformité et offrir aux utilisateurs la tranquillité d’esprit que leurs données ne sont pas utilisées à mauvais escient.
Lors du traitement des données personnelles, c’est-à-dire des données qui se rapportent à une personne physique identifiée ou identifiable, les exigences établies par la législation sur la protection des données devront être respectées. Au sein de l’Union européenne, cela sera régi par le Règlement Général sur la Protection des Données (RGPD) et au Royaume-Uni par ce qu’on appelle le RGPD britannique.
Lorsque des données personnelles sont utilisées, l’entité déterminant les finalités d’un tel traitement devra s’assurer que le traitement est effectué :
- dans le respect des principes énoncés dans la législation sur la protection des données
- en s’appuyant sur une base juridique et, dans certains cas, en appliquant des exceptions
- conformément aux exigences de notification incluses dans la législation sur la protection des données
Base juridique pour les applications de santé et de bien-être
En supposant que le traitement soit conforme aux principes, ce qui n’est pas acquis en soi, la base juridique sur laquelle s’appuient les applications de santé et de bien-être sera généralement que le traitement est nécessaire à l’exécution d’un contrat auquel l’utilisateur est soumis, c’est-à-dire son utilisation de l’application. Une base alternative pour certains éléments du traitement d’une application peut également être que cette utilisation relève des intérêts légitimes du fournisseur. Cependant, cet intérêt ne doit pas être supplanté par les droits et libertés de l’utilisateur, donc une évaluation de l’utilisation s’appuyant sur cette base doit être effectuée par les fournisseurs avant de supposer qu’une telle utilisation est légitime. Le consentement d’un utilisateur peut également être utilisé comme base juridique pour le traitement des données personnelles. Cependant, pour le traitement des données non spéciales, l’utilisation du consentement devrait être évitée pour les raisons discutées ci-dessous.
La législation sur la protection des données prévoit également que certaines « catégories spéciales » de données personnelles nécessitent des mesures supplémentaires. Pour les données concernant la santé, ainsi que d’autres formes de données personnelles de catégorie spéciale, il existe une interdiction générale de traitement et une norme de protection plus élevée, donc une plus grande prudence doit être utilisée. Pour traiter légitimement ces données, une exemption autorisée par la législation devra être appliquée. Dans le cas des applications de santé et de bien-être, l’exigence de consentement peut être la seule option disponible bien que, dans certains cas, le fait que les données soient traitées pour des raisons médicales puisse être appliqué si certaines exigences sont satisfaites.
Consentement
Si l’on s’appuie sur le consentement d’un utilisateur, la législation sur la protection des données exige que ce consentement soit un acte affirmatif clair, donné librement, spécifique, éclairé et sans ambiguïté. Ceci est généralement considéré comme une norme élevée de consentement et donc si un fournisseur s’appuie sur le consentement pour tout aspect du traitement des données, il faut réfléchir à la manière de s’assurer que cette norme est respectée. Lorsqu’un utilisateur consent à un ensemble de processus distincts, le consentement doit être fourni pour chaque processus, et l’utilisateur a le droit de retirer son consentement à tout moment pour tout ou partie des processus, ce retrait étant aussi facile à notifier que le consentement initial était à donner. Compte tenu de ces exigences, des mesures techniques devront être adoptées par le fournisseur pour s’assurer que le consentement est géré de manière appropriée, et étant donné les défis liés à l’obtention et à la gestion du consentement, il serait prudent d’utiliser une base juridique alternative si elle est légitimement disponible. En plus de ces exigences, la législation exige que les fournisseurs soient en mesure de démontrer que ce consentement a été obtenu.
Pour obtenir efficacement un niveau de consentement conforme à ces exigences, il faudra fournir aux utilisateurs un niveau d’information approprié sous une forme claire et facile à comprendre. De plus, il existe une exigence plus large pour que les applications assurent la transparence concernant l’utilisation de toutes les données personnelles d’un utilisateur, y compris certaines informations spécifiques. Lorsque cette transparence n’est pas assurée et que l’utilisation des données personnelles d’un utilisateur dépasse ses attentes, un tel traitement est susceptible de sortir du cadre du principe de protection des données. Pour se conformer à cette exigence, les applications doivent inclure les détails de leurs activités dans une politique de confidentialité clairement rédigée et facilement accessible aux utilisateurs. Lorsqu’un utilisateur s’inscrit pour la première fois à une application et lorsque des données personnelles supplémentaires importantes sont obtenues, il peut être approprié pour une application d’utiliser une fenêtre contextuelle ou similaire pour :
- informer les utilisateurs que leurs données personnelles sont obtenues
- fournir des détails brefs
- indiquer clairement leur politique de confidentialité plus détaillée
Quand les choses tournent mal
Lorsqu’une application ne respecte pas les exigences de la législation sur la protection des données, il existe un risque que les utilisateurs constatent que leurs données personnelles sont utilisées d’une manière qu’ils n’avaient pas prévue ou, dans des circonstances plus extrêmes, d’une manière inappropriée. Ces préoccupations peuvent alors conduire à des plaintes et à une enquête potentielle par l’Information Commissioner’s Office (au Royaume-Uni), qui a le pouvoir d’enquêter, d’exiger des changements et potentiellement d’imposer des amendes. Dans les cas plus extrêmes, particulièrement lorsque des pertes démontrables ont été subies par les utilisateurs, il existe un risque de litige direct.
Conclusion
Si vous avez déjà ou envisagez de lancer une application de santé et de bien-être, la façon dont vous respectez la législation sur la protection des données doit faire l’objet d’un examen continu et il doit être clair pour les utilisateurs ce que vous faites de leurs données personnelles. Avec une réflexion et une compréhension de la législation pertinente, une gestion des activités plus controversées et un niveau approprié de transparence, les risques dans ce domaine peuvent être efficacement gérés dans un effort de conformité.
Cet article a été préparé par la Directrice juridique de HGF Michelle Davies et l’Avocat senior en PI James Talbot.