Pierre Desmarais

Le règlement relatif à la protection des données personnelles entre en application le 25 mai 2018. Les entreprises s’y préparent petit-à-petit. Mais vous, êtes-vous prêts à faire valoir vos droits ? Savez-vous à quels défis le texte doit répondre ?

Le 25 mai prochain, entrera en application le désormais célèbre Règlement relatif à la Protection des Données (RGPD). « Célèbre » est probablement un abus de langage car la renommée de ce nouveau texte n’est en fait l’apanage que des professionnels des secteurs du droit et de l’informatique. Revenons donc un peu sur l’origine de ce texte, les enjeux auxquels il est censé faire face et, surtout, la façon dont le législateur européen entend répondre aux défis de la révolution numérique.

Une préoccupation ancienne.

La protection des données personnelles est un sujet déjà ancien, en France, puisqu’elle a suscité l’intervention du Parlement en 1977. A l’époque, le gouvernement espérait pouvoir mettre en place un fichage général de la population grâce au numéro de sécurité sociale. De la sorte, les autorités auraient pu prendre connaissance du casier judiciaire, des dépenses d’assurance maladie, des déclarations d’impôt, etc. de tout individu en tapant 13 chiffres sur son clavier. Apprenant l’existence de ce projet « SAFARI », Le Monde avait alors dénoncé une « chasse aux Français ». S’en est suivi la mise en place d’un groupe de réflexion au Parlement français qui a abouti à la publication de loi Informatique et Libertés, le 6 janvier 1978.

Ce texte ne vous parle pas ? Jetez un œil aux petites lignes en bas de page, la prochaine fois que vous vous inscrivez sur un site internet. Vous devriez normalement voir une référence à cette loi, vous indiquant la raison pour laquelle vos nom, prénom, adresse email et autres informations vous sont demandés, mais également et surtout, vos droits.

Un droit anachronique.

1978… Dire que l’informatique a évolué depuis serait une coquette lapalissade. Rassurez-vous, le législateur a su actualiser le texte pour tenir compte des évolutions progressives de la technologie.

Malgré cette veille, le dernier grand texte européen, avant le RGPD, date de 1995 et il a été transposé en France le 6 août 2004. J’insiste sur la date. A l’époque, Facebook a six mois. Twitter n’apparaitra qu’un an et demi plus tard, Instagram plus de six ans après et Snapchat sept ! Autant dire que le droit de la protection des données est aujourd’hui un peu « dépassé » - pour ne pas dire totalement hors du coup – au plan technologique.

L’archaïsme se ressent également au niveau du champ d’application géographique du droit. Aujourd’hui, même si l’Union européenne est intervenue en 1995, le droit de la protection des données reste un droit national. Chaque pays membre a sa propre loi et l’applique comme il le souhaite, contraignant toutes les entreprises à se conformer à la loi applicable aux personnes concernées par les données. Une telle façon de faire est totalement irrationnelle à l’heure où l’économie numérique ne connaît plus de frontières.

La réponse à la mondialisation du numérique.

En 2012, la Commission européenne a donc décidé d’actualiser le droit de la protection des données et, surtout, de l’uniformiser dans toute l’Union.

A compter du 25 mai 2018, vous bénéficierez donc des mêmes droits dans pratiquement tous les pays, et ce sans avoir à accomplir la moindre formalité. Imaginez. Dans pratiquement tous les pays. Lorsqu’un « GAFAM ¹ », un « BATX ² » ou un « NATU ³ » utilisera des informations qui vous concernent, il devra respecter le Règlement Général relatif à la Protection des Données. Magique.

Et si l’une de ces fameuses entreprises décidait de s’en abstenir ? Des sanctions pourraient alors être prises, sanctions pouvant par exemple atteindre 20 000 000 d’euros ! et il n’y a pas d’erreur dans le nombre de zéros. Mieux, l’amende pourra dépasser ce montant astronomique pour atteindre jusqu’à 4% du chiffre d’affaires mondial du contrevenant. Si on prend le chiffre d’affaires de Google en 2016 – soit 89,46 milliards de dollars – cela représenterait « juste » 3 578 400 000 de dollars. Une somme astronomique, donc.

Pourquoi avoir prévu des sanctions financières aussi colossales ? Parce que le RGPD est extrêmement contraignant et protecteur des personnes.

Quels sont vos droits ?

Face à l’usage déraisonné des données personnelles par un nombre toujours croissant d’organisations et à la récente avalanche de failles de sécurité, le législateur européen impose le respect de principes fondamentaux. La collecte de données ne peut ainsi intervenir que dans un but clairement déterminé, dont les personnes doivent être informées. Pour atteindre cet objectif, seules pourront être utilisées les données strictement nécessaires. Et une fois qu’il aura été atteint, elles devront simplement être effacées. Pendant toute la durée de l’opération, le responsable devra veiller à la sécurité et à la confidentialité des données.

Et qui sera juge du respect de ces règles ? Vous. Vous et tous les autres utilisateurs, clients, usagers. Le RGPD vous autorise en effet à demander des comptes quant à l’utilisation des données vous concernant. Pour ce faire, vous pouvez ainsi demander à prendre connaissance de ces informations, à les rectifier si elles ne sont plus à jour, à les effacer si vous ne souhaitez pas qu’elles soient utilisées. Mieux. Vous estimez que la collecte ou l’usage des données est illicite ou vous avez besoin qu’un tiers les tienne à votre disposition le temps de faire valoir vos droits ? Le 25 mai prochain, il suffira de demander.

Dans la vie quotidienne, ce genre de situation ne se présente pas tous les jours, me direz-vous. Certes. Peut-être vous arrive-t-il plus fréquemment de vous dire que vous voudriez bien changer de modèle de smartphone. Mais vous ne le faites pas, parce que la « migration » devrait se traduire par la renonciation aux données stockées dans le « Cloud » ? et bien dans deux mois, vous pourrez demander à l’éditeur du système d’exploitation non seulement de vous remettre vos données, mais également de les « pousser » vers votre nouveau système.

Magique pour les utilisateurs. Infernal pour les industriels. D’où l’application du RGPD à ceux installés en dehors de l’Union – dans le cas contraire, il suffirait d’expatrier vos données pour échapper à la réglementation – et le montant colossal des sanctions financières.

Voilà pour le droit. Dans la pratique, ne vous attendez pas à quelque chose de brutal, le 25 mai. La transition vers le RGPD devrait se faire progressivement, sur toute l’année. Le temps pour vous de vous approprier vos droits pour savoir comment les faire valoir.

---

Consultez les autres articles et vidéos de notre dossier RGPD :

• Faire rimer numérique et éthique : mission impossible ?

• Le droit à la portabilité des données : les subtilités d’un nouveau pouvoir

• RGPD : le nouveau bouclier européen de nos données personnelles

---

¹ Acronyme des géants du web, Google, Apple, Facebook, Amazon et Microsoft.

² Désigne les acteurs chinois les plus puissants du domaine des nouvelles technologies : Baidu (Le Google chinois) ; Alibaba (équivalent partiel d’Amazon) ; Tencent (un peu équivalent de Facebook avec notamment Wechat) ; Xiaomi (constructeur équivalent d’Apple) – source : Définitions Marketing

³ Acronyme regroupant les quatre grandes entreprises emblématiques de la « disruption » numérique : Netflix, Airbnb, Tesla et Uber – source : nouvelobs.com

La circulation de nos données de santé est un enjeu majeur qui impose de considérer avec attention la manière dont ces informations sensibles sont collectées, stockées, utilisées. Analyse avec Pierre Desmarais, avocat au Barreau de Paris.

Santé & internet, un marché de 308 milliards.

Depuis quelques années, les géants du Web multiplient les acquisitions de sociétés traitant, directement ou indirectement, des données à caractère personnel relatives à la santé (plus communément appelées des « données de santé »). Et pour cause, le marché de l’e-santé serait évalué à 308 milliards de dollars. Et encore ne parle-t-on là que du marché officiel. Sur le darkweb circuleraient déjà des millions de données de santé, dont la valeur est difficilement estimable, même si l’on sait qu’un numéro de sécurité sociale américain vaut, à lui seul, quelques centaines de dollars.

Qui fait attention à ses données de santé ?

Pour autant, les internautes font relativement peu de cas de leurs données de santé. Les requêtes sur les moteurs de recherche – qui extrapolent pour en déduire des informations sur l’état de santé – sont légions, les messages sur les réseaux sociaux ne se comptent plus et certains hébergeurs sont obligés de stipuler dans leurs conditions générales qu’ils refusent que leur service soit utilisé pour conserver des données de santé. Interrogez vos proches, vos amis, vos collègues, la plupart vous répondront qu’ils n’ont de toute façon rien à cacher. Rien à cacher ? Dans la vie quotidienne, exposeraient-ils vraiment la totalité de leurs données de santé à toute personne, de leur conjoint à un illustre inconnu rencontré sur le quai d’une gare ?

Mais qu’est-ce qu’une donnée de santé, au juste ?

Les juges européens ont défini la notion de donnée relative à la santé comme toute information relative à l’état de santé passé, présent et futur, physique ou psychique d’une personne. Un règlement européen, applicable à compter du 25 mai 2018, va jusqu’à préciser que l’origine de la donnée n’influe en aucun cas sur son régime juridique. L’information confiée à votre médecin reçoit la même qualification que celle que vous pourriez publier sur un réseau social pour dire que vous avez un rhume.

L’affaire à l’origine de la définition de la donnée de santé est à cet égard particulièrement éloquente. Une association indique sur son site internet qu’une bénévole ne pourra pas participer à une réunion, celle-ci ne pouvant pas se déplacer du fait d’une entorse. L’information est d’une banalité affligeante, non ? Pourtant, la personne concernée a porté l’affaire devant les tribunaux qui, in fine, ont considéré que même banale, une information sur l’état de santé d’une personne est une donnée à caractère personnel relative à la santé devant être protégée.

Une interprétation aussi large est une nécessité.

La définition donnée par les juges européens conduit à considérer que le simple fait de se déclarer en bonne santé est une donnée de santé. Peu importe, contrairement à ce qu’avaient estimé les juges français, que l’information soit neutre ou imprécise. Si elle est relative à l’état de santé, elle doit être protégée. La position européenne peut sembler extrême, mais elle permet d’avoir un régime uniforme pour toutes les informations relatives à l’état de santé. Un exemple ? L’Indice de Masse Corporel (IMC). Imaginez le casse-tête d’une compagnie d’assurance calculant l’IMC de ses assurés. Elle ne devrait considérer que les IMC trop faibles ou trop élevés comme des données de santé et ces considérations pourraient varier au fil du temps, l’IMC étant rarement un indice stable. Difficilement gérable, non ? Un autre exemple, les gribouillis décorant le premier bout de papier à portée de main, lors de longs entretiens téléphoniques ? Un psychiatre ne pourrait-il pas en tirer quelques conclusions ?

Le régime juridique applicable aux données de santé doit être identique pour toutes les informations relatives à l’état de santé, indifféremment du degré de précision ou de gravité afin de garantir prévisibilité juridique pour les entreprises traitant des données et sécurité juridique pour les personnes concernées. On évite en effet de la sorte qu’une entreprise puisse jouer avec la qualification applicable aux données pour écarter le régime spécifique aux données de santé.

Un régime juridique d’exception pour les données de santé.

Les données de santé sont considérées comme sensibles et font donc l’objet d’un régime juridique d’exception. En principe, il est interdit à toute personne d’en collecter. Ce n’est que par exception que cette collecte est autorisée soit par la personne concernée elle-même, soit du fait de la profession de la personne les collectant. On ne peut en effet pas sérieusement imaginer qu’un hôpital se voit refuser la possibilité de collecter des données de santé, si ? En pratique, ce régime juridique ne s’avère pas trop contraignant. Les données de santé peuvent être recueillies et traitées, dès lors que l’objectif de l’auteur de ce recueil et de ce traitement est légitime et exprès.

Un besoin de sécurité renforcée.

Ce qui s’avère plus contraignant en revanche, ce sont les mesures de sécurité devant être mises en place pour traiter des données de santé. Si toute personne collectant des données personnelles doit en assurer la sécurité, la loi indique clairement que cette obligation est plus prégnante pour des données de santé.

Pourquoi ce renforcement de la sécurité ? Parce que la santé touche à l’intimité de la personne ? Parce que tout ce qui touche à la santé doit être strictement confidentiel ? En fait, deux justifications sont envisageables. La première consiste à dire que dès lors qu’il n’existe qu’un seul régime juridique pour toutes les informations relatives à la santé, le niveau de sécurité applicable au dossier médical et aux informations aussi banales qu’une entorse de la cheville doit être identique. Une sorte de transposition de l’adage « Qui vole un œuf, vole un bœuf ». La seconde repose sur une vision peut-être trop noire de la société.

Il s’agirait dans cette hypothèse de se prémunir contre une utilisation déviante de données apparemment anodines pour la personne qu’elle concerne. Une photographie montrant un lobe d’oreille pourrait ainsi devenir une donnée de santé, et plus précisément une information sur la présence ou l’absence d’un gène.

Sécurité, c’est-à-dire ?

Comment la personne recueillant des données de santé peut-elle en assurer la sécurité ? Suffit-il qu’elle en assure la confidentialité ? Non, la confidentialité est un élément important de la sécurité, mais elle ne suffit pas. La loi Informatique et Libertés considère ainsi que la sécurité inclut l’obligation d’empêcher la déformation ou l’endommagement des données.

Assurer la sécurité de données, c’est donc les tenir secrètes, mais également assurer leur intégrité et leur disponibilité et être en mesure de tracer toute manipulation de ces données.

La complémentarité de ces quatre éléments (Disponibilité, confidentialité, intégrité et preuve) est particulièrement évidente en présence de données de santé. N’auraient ainsi aucun intérêt pour un professionnel de santé des données non disponibles ou corrompues, volontairement ou non, ou des données dont la confidentialité ne serait pas assurée ou dont on ne pourrait retracer les accès et modifications.

Concrètement, quelles mesures sont prises ?

Les mesures de sécurité peuvent être :

• Physiques : verrouiller le local où sont conservées les données de santé paraît une bonne idée, non ?
• Logiques : il s’agit ici de la mise en place de mots de passe forts – c’est-à-dire ceux s’avérant casse-pieds à mémoriser, car ils doivent contenir des majuscules et caractères spéciaux – ou du chiffrement des communications, sur internet (le petit « s » que vous pouvez voir après le « http » d’un site internet).
• Organisationnelles : les personnes pouvant accéder à vos données doivent avoir signé un accord de confidentialité et, fréquemment, cet accès doit se faire en présence d’un professionnel médical, garant du respect de la confidentialité des données de santé.

En France, des mesures encore plus spécifiques existent. C’est ainsi que les informations de santé produites ou recueillies par des professionnels ou établissements de santé ne peuvent être hébergées que par des prestataires agréés par le Ministre de la Santé. L’objectif de cet agrément – relativement difficile à obtenir – est de s’assurer que les mesures prises par l’hébergeur assurent un degré maximal de sécurité.

Que retenir de tout ça ?

Evidemment, il ne s’agit pas de sombrer dans une forme de paranoïa technologique. Ecrire sur un réseau social qu’on a un rhume ne prête a priori pas à conséquence.

Pour autant, mieux vaut faire preuve de bon sens et ne mettre sur internet que des données que l’on sait peu sensibles et dont on ne craint pas l’éventuelle divulgation. Dans le cas contraire, vérifiez au préalable les mesures de sécurité proposées par la personne souhaitant recueillir vos données de santé !