• Certifier les systèmes par un triptyque Sûreté-Sécurité-Confidentialité.

  • Auteur :
  • Ariane Langlois
  • Date :
  • 11/11/2015
Si le pouvoir de la santé connectée n’est plus à prouver, celui-ci soulève aussi bon nombre d’interrogations. La question de la protection des données est notamment sur toutes les lèvres. Et ce n’est pas la seule limite qui apparaît... il convient aussi de réfléchir à la certification des objets assimilés à des dispositifs médicaux qui, eux, exigent un niveau de régulation élevé…

À l’heure où les données médicales des patients circulent à la vitesse du haut-débit, la question de leur sécurisation se pose plus que jamais. Alors que les cas de hacking se multiplient, comme chez Orange ou eBay, l’hypothèse d’un piratage de ces données sensibles effraie. Selon le Livre blanc du Cnom sur la santé connectée, aucun pays européen ne s’est encore doté d’une législation spécifique aux applications mobiles de santé. L’utilisation des données médicales des patients sont encadrées par les lois relatives à la protection de la vie privée et les diverses autorités médicales. En France, la CNIL (Commission nationale de l’informatique et des libertés) a créé un label censé « faciliter l’identification des organismes qui garantissent un haut niveau de protection des données personnelles ». L’Etat a aussi créé en 2009 l’Asip Santé (Agence nationale des systèmes d’information partagés de santé), dont l’une des missions est d’« organiser le dépôt et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité ». A ce jour, 68 hébergeurs ont ainsi été agréés. Pour le Dr Jacques Lucas, auteur du Livre blanc et vice-président du Conseil national de l’ordre des médecins, l’idée d’une loi française pour encadrer l’utilisation des données personnelles n’est pas suffisante : selon lui, la création d’une législation européenne à ce sujet serait préférable pour contrôler des applications qui sont le plus souvent développées à l’étranger.

Au-delà de ces promesses, cette vague technologique d’applications mobiles et d’objets connectés peut aussi laisser craindre des failles en terme d’utilisation. Le Dr Nicolas Postel-Vinay, directeur de l’unité d’hypertension à l’hôpital Georges-Pompidou à Paris et administrateur du site Automesure.com, se montre ainsi assez réservé : « Faut-il certifier les appareils capteurs pour les personnes à risque ? Oui. Les systèmes de suivi de la fréquence cardiaque d’un joggeur ? Non. Le problème, c’est que, bientôt, ce sera le même appareil bon marché qui fera ces deux mesures. Où placer le curseur ? » Le cabinet d’avocats Hogan Lovells a par ailleurs réalisé une étude sur la finalité de ces applications, en les classant du plus haut risque (celles utilisées par les professionnels de santé) au plus bas (les dispositifs de suivi du bien-être : nombre de pas, qualité du sommeil, etc.). « Chaque catégorie nécessite un niveau de régulation différent », note Winston Maxwell, partenaire du cabinet.

Des données possiblement utilisées comme Un moyen de pression

Enfin, l’Ordre des médecins préconise un contrôle des applications mobiles de santé pour s’assurer de leur fiabilité. Ainsi, la France suivra peut-être prochainement l’exemple du Royaume-Uni, dont le National Health Service a lancé, en mars 2013, le portail Health Apps Library qui fait le tri entre les bonnes et les mauvaises applications disponibles sur le marché. En attendant, on peut toujours consulter le portail développé par la société DMD Santé (gérée par un interne en psychiatrie) —www.dmdpost.com—  qui a pour objectif d’évaluer et de recommander les applications mobiles de santé sur le marché français.

De nombreux éditeurs de programmes —essentiellement américains— estiment qu’ils peuvent s’affranchir des règles de protection car les données ne sont pas nominatives. Or, nominatives ou pas, ces informations peuvent s’avérer extrêmement sensibles. Imaginons l’usage que banques, assureurs ou employeurs indélicats pourraient en faire : refus de crédit, hausse des primes, résiliation de contrats, recrutement, licenciements déguisés, placardisation… Connaître avec précision l’état de santé de personnalités, hommes politiques ou chefs d’entreprise, deviendrait ainsi un moyen de pression redoutable.

Pierre Desmarais, avocat spécialisé dans le droit de la santé, réclame donc une certification de ces systèmes. Selon lui, il existe un triptyque sûreté/sécurité/confidentialité. Sûreté : qui est responsable en cas d’erreur d’algorithme dans une application de suivi de grossesse ? Sécurité : il a été prouvé que les pacemakers sont piratables jusqu’à 90 mètres de distance. Confidentialité : les données sont hébergées dans le cloud, mais où se trouvent les serveurs ? Reste à déterminer qui de la Haute Autorité de santé, de l’Asip Santé ou de la CNIL sera compétent pour délivrer ces certificats. « Il faudrait instituer un guichet unique afin de répartir les domaines de compétences », avance Pierre Desmarais. Un besoin de régulation urgent, selon le Dr Laurent Alexandre, PDG de DNAVision et auteur de La Mort de la mort : Comment la technomédecine va bouleverser l’humanité (JC Lattès). Selon lui, les Etats et les organisations supranationales ont intérêt à se réveiller rapidement s’ils veulent protéger leurs citoyens des risques engendrés par ces nouvelles technologies.

A.L.

  • Scoop.it