Avocate associée
Selon la Haute Autorité de la Santé (HAS), la santé mobile est entrée dans une « période de mutation en passant d’un modèle de logiciel « généraux », qui pouvaient accomplir plusieurs actions, à un modèle « d’Applis » ou d’objets connectés, qui sont des petits programmes répondant à des besoins spécifiques ou à des besoins de niches évolutifs très rapidement ».
En 2015, on estimait à 80% le nombre d’objets connectés présentant des failles de sécurité, soit 4 milliards d’appareils, et cela ne cesse d’augmenter puisqu’il y a de plus en plus d’entreprises se spécialisant dans les applications connectées.
C’est pourquoi, le législateur européen a promulgué dès 2016 le Règlement relatif à la protection des données personnelles des personnes physiques (le RGPD), tout en accordant une période de transition de deux ans pour se mettre en conformité (le RGPD entrera en vigueur le 25 mai prochain).
Fournisseurs et utilisateurs de santé mobile, vos applications et objets connectés sont-ils conformes au RGPD ? Pour le savoir, vérifiez que les trois principes fondamentaux posés par le RGPD sont respectés.
La protection et la sécurisation des données à caractère personnel de l’application ou de l’objet connecté doivent avoir été pensées dès l’origine (Privacy by design).
Notamment :
- le contenu initial de l’application ou de l’objet connecté doit être pertinent dans le contexte de la prestation fournie afin de minimiser la quantité de données collectées inutilement et pouvant donner lieu à une mise en cause pour collecte abusive de données personnelles ;
- le contenu généré par l’application ou l’objet connecté doit avoir fait l’objet d’une analyse d’impact (PIA), ou a minima d’une évaluation d’impact, sur la vie privée des futurs utilisateurs ;
- le processus de consentement de l’utilisateur pour l’importation de contenu depuis d’autres interfaces, périphériques ou applications doit avoir été préparé ;
- le contenu de l’application ou de l’objet connecté résultant d’une interprétation des données collectées doit être fiable et non
Dès la conception de l’application ou de l’objet connecté, les mesures techniques et organisationnelles nécessaires à la protection et à la sécurisation des données à caractère personnel, tant au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même, doivent être documentées.
Exemple de documentations :
- la méthodologie de protection et de sécurisation des données (chiffrement, anonymisation, pseudonymisation, etc.)
- le processus de collecte, de stockage, transfert et d’échanges de données,
- les mesures de maintien de l’intégrité et de l’authenticité des données.
Dans le respect du principe de transparence, cette documentation doit être mise à la disposition des utilisateurs et doit pouvoir faire l’objet d’une vérification par des experts externes.
La protection et la sécurisation des données à caractère personnel de l’application ou de l’objet connecté doivent être garanties par défaut (Privacy by default)
Concrètement :
- la protection et la sécurité des données doivent être maintenues lors des mises à jour ou des développements de l’application ou de l’objet connecté ;
- l’application ou l’objet connecté doit lui-même être maintenu en condition de sécurité et ne pas constituer une faille de sécurité pour des applications ou objets connectés tiers ;
- le personnel du fournisseur et ceux des utilisateurs doivent être sensibilisés aux bonnes pratiques de sécurité ;
- une évaluation régulière des failles et des vulnérabilités doit être réalisée afin d’être en mesure de déclarer toute violation de sécurité dans les 72h suivants la survenance d’un cas.
Société d’avocat au Barreau de Paris
