34
Quantified Self connecté et Informatique & Libertés Synthèse des travaux du sous-groupe « Quantified Self », du groupe de travail « Données de santé » de l’AFCDP Novembre 2015 - version 10.3 finale AVERTISSEMENT : Les réflexions et discussions, qui ont conduit à ce document, traduisent des opinions personnelles qui ne sauraient engager les organismes d’appartenance des membres du groupe.

Quantified Self connecté et Informatique & Libertés

  • Upload
    dinhdat

  • View
    220

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Quantified Self connecté et Informatique & Libertés

Quantified Self connectéet Informatique & Libertés

Synthèse des travaux du sous-groupe « Quantified Self »,du groupe de travail « Données de santé » de l’AFCDP

Novembre 2015 - version 10.3 finale

AVERTISSEMENT : Les réflexions et discussions, qui ont conduit à ce document, traduisent des opinions personnellesqui ne sauraient engager les organismes d’appartenance des membres du groupe.

Page 2: Quantified Self connecté et Informatique & Libertés

À propos de l’AFCDP

L’ASSOCIATION FRANÇAISE DES CORRESPONDANTS À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

(AFCDP) a été créée dès 2004, dans le contexte de la modification de la Loi Informatique & Libertés qui a officialisé unnouveau métier, celui de « CORRESPONDANT À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL » (ou CIL,pour CORRESPONDANT INFORMATIQUE & LIBERTÉS).

L’AFCDP est certes l’association représentative des CIL, mais elle rassemble largement. Au-delà des professionnelsde la protection des données et des Correspondants désignés auprès de la CNIL, elle regroupe toutes les personnesintéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres– dans la diversité des profils de ses adhérents : CIL délégués à la protection des données, juristes et avocats,spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e- commerce, RSSI et expertsen sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.

L’AFCDP est à la fois un lieu privilégié où les professionnels de la protection de la vie privée peuvent échanger en touteconvivialité sur leurs pratiques professionnelles ; identifier et partager de bonnes pratiques ; contribuer à l’adoption derègles pertinentes et applicables par les différents législateurs, tant nationaux qu’européens.

L’AFCDP encourage la discussion et les échanges d’informations en matière de protection des données personnellesen vue de faciliter la communication entre ses membres et de promouvoir les meilleures pratiques. C’est dans lecadre du groupe de travail « Données de santé » de l’AFCDP, animé par SÉBASTIEN BRIOIS (ACSANTIS) et NICOLAS

SAMARCQ (LEXAGONE) que les auteurs du présent livre blanc ont pu échanger et coordonner leurs réflexions.

L’AFCDP entretient aussi un dialogue avec la CNIL et d’autres autorités concernées au niveau français et européenpar la protection des données personnelles.

En 2011, en compagnie de la GDD (Allemagne), la NGFG (Pays-Bas) et l’APEP (Espagne), l’AFCDP a fondé la CONFÉ-DÉRATION EUROPÉENNE DES ASSOCIATIONS DE DATA PRIVACY OFFICER, CEDPO. L’Irlande, la Pologne et l’Estonieont rejoint la confédération courant 2014. Cette confédération porte au niveau de Bruxelles la voix des professionnelsconcernés par le futur règlement européen sur les données.

Librement accessible sur le site www.afcdp.net : liste des membres, témoignages d’adhérents, abonnement à la lettregratuite et mensuelle « L’Actualité des données personnelles », Statuts et règlement intérieur, composition du Conseild’administration, communiqués de presse, Les bonnes raisons de désigner un CIL, Les idées fausses au sujet du CIL,Interview vidéo du « père » du CIL, etc.

Pour rejoindre l’AFCDP : www.afcdp.net/-Comment-adherer-

AFCDP QS - Synthèse - Page 2 / 34

Page 3: Quantified Self connecté et Informatique & Libertés

À propos des membres du groupe de travail

Le sous-groupe de travail « Quantified Self » (QS) a démarré ses activités en septembre 2012 avec quatre participants.Depuis, il s’est étoffé avec la participation des personnes qui suivent, toutes membres de l’AFCDP.

Sylvie BrunetAprès 25 ans d’expérience en informatique et gestion, Sylvie est Privacy Officer de Philipsen France depuis 3 ans. Elle contribue à la mise en œuvre de la réglementation Informatiqueet Libertés et assiste quotidiennement les opérationnels. Philips s’est fixé comme missiond’accompagner les évolutions dans la santé, de la prévention au traitement en passant parle diagnostic, tout en intégrant des solutions e-santé.

Laurent CaronLaurent est avocat indépendant au sein du Barreau de Paris. L’activité dominante de son ca-binet repose sur une expertise en droit des nouvelles technologies et en droit de la protectiondes données personnelles, appliquée notamment aux activités d’entreprises innovantes dansle domaine de la santé, du médico-social et de l’assurance. Maître Caron a été collaborateurde la direction juridique de la CNIL pendant plusieurs années.

Éric CharikaneÉric est consultant indépendant. Depuis plus de cinq ans, il accompagne des « jeunespousses » sur des projets innovants, dans des domaines variés comme la santé, le quantifiedself ou la biométrie. Il promeut le « Privacy by Design » (PbD) et son approche « gagnant-gagnant ». Pour le plaisir, il est aussi l’éditeur d’une application sur le règlement général pourla protection des données https://www.privagraph.eu/gdpr-ui/. . .

Florence Éon. Directrice du service juridique de l’ASIP Santé. Juriste experte en droit de lasanté, Florence EON a exercé cette fonction en établissement de santé, en cabinet d’avocats,et depuis 2012 au sein du Service Juridique de l’ASIP Santé. À ce titre, elle contribue à ladéfinition du cadre juridique des grands projets d’e-santé que mène l’agence : messageriesécurisée de santé (MSSanté), système d’information des SAMU-Centres 15 (SI-Samu),projets de télémédecine, annuaires et référentiels.

Leïla El HadjamLeïla est issue du Mastère « Informatique et Libertés » de l’ISEP et certifiée par l’InstitutEuropéen d’Administration Publique (EIPA). Après un parcours dans l’industrie pharmaceu-tique/matériel médical, les biotechs, l’immobilier d’entreprise, où elle a eu des fonctions enGouvernance et Gestion de l’information, Affaires Cliniques & Réglementaires, Compliance,elle participe à l’intégration des règles de protection de données personnelles au sein de pro-jets de recherche biomédicale à financements européens (médecine innovante en nutritionet gériatrie, santé connectée, coaching bien-être).

AFCDP QS - Synthèse - Page 3 / 34

Page 4: Quantified Self connecté et Informatique & Libertés

Bénédicte HeusslerBénédicte est docteur en Pharmacie, actuellement Chef de projet réglementaire études cli-niques chez Sanofi-aventis France. Elle est responsable des soumissions réglementairespour les études cliniques et épidémiologiques conduites en France par Sanofi et apporte sonexpertise réglementaire aux équipes cliniques, notamment concernant l’application de la loiInformatique et Libertés à la recherche médicale.

Pierre-Yves LasticPierre-Yves est le responsable mondial de la protection des données personnelles de Sanofi.Il a étudié la biologie, les langues et l’informatique en France et en Allemagne, et est titulaired’un doctorat ès sciences de l’université de Bayreuth. Après un premier poste universitaire,il a fait l’essentiel de sa carrière au sein de la R&D pharmaceutique, où il a occupé depuis25 ans différentes fonctions de management, en particulier en gestion de données, biosta-tistique, gestion des études cliniques, gestion de l’information et protection des données.Il exerce également plusieurs mandats au sein de différent consortiums : Chairman of theBoard of Directors of the Clinical Data Interchange Standards Consortium (CDISC), member

of the Board of Directors of the International Pharmaceutical Privacy Consortium (IPPC) et member of the ExecutiveAdvisory Board of Safe BioPharma. Enfin, il participe en tant qu’expert à plusieurs groupes de travail de l’Agence Eu-ropéenne du Médicament (EMA) et enseigne la gestion des données à l’European Centre of Pharmaceutical Medicine(ECPM) à Bâle.

Clara LeclaireClara est Privacy Officer au sein de l’équipe protection des données personnelles du groupeSanofi depuis novembre 2014. Elle a d’abord exercé en tant qu’avocat collaborateur dans ledépartement Informatique et Libertés d’un cabinet d’avocat parisien spécialisé en droit desnouvelles technologies.

Benoît LouvetBenoît est avocat au barreau de Paris depuis 1993. Spécialisé en droit des nouvelles tech-nologies, il intervient fréquemment sur des projets liés aux systèmes d’information de santéainsi que d’eSanté (protection des données de santé, télémédecine, hébergeur agréé, Quan-tified Self et objets connectés de santé, etc.). Il est dernièrement l’auteur d’une étude intitulée« Données de santé - Réflexions à propos du Quantified Self ».

Boris PaulinBoris est juriste et a exercé ses fonctions au sein de plusieurs groupes de société dans lesdomaines des nouvelles technologies et de la protection des données personnelles. Il estnotamment un des auteurs d’une étude portant sur la sécurité des objets connectés publiéepar l’INHESJ et le CIGREF.

AFCDP QS - Synthèse - Page 4 / 34

Page 5: Quantified Self connecté et Informatique & Libertés

Éric SoudyDepuis son diplôme d’Ingénieur Arts & Métiers de l’ENSAM en 1986, Eric travaille pour legroupe Cegedim, société de services informatiques pour le monde de la santé. Au coursde sa carrière Eric a tenu successivement les responsabilités de : Manager d’équipe dedéveloppement logiciel, Responsable Qualité et Sécurité IT et Direction de la Complianceau sein de l’Excellence Opérationnelle. Dans le cadre de cette dernière responsabilité il acoordonné plusieurs projets d’agrément d’hébergement de santé au sein du groupe Cegedimet contribué à la création et la gestion de l’association des Hébergeurs de données de santé

(AFHADS) comme trésorier.

AFCDP QS - Synthèse - Page 5 / 34

Page 6: Quantified Self connecté et Informatique & Libertés

Table des matières

1. Introduction 8

2. Le contexte du Quantified Self connecté 92.1. Le dispositif de QS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.2. Les acteurs de l’écosystème de QS et les flux de données . . . . . . . . . . . . . . . . . . . . . . . . . 102.3. Les services en ligne associés au QS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3. Quantified Self connecté, données à caractère personnel et données de santé 133.1. Les données issues d’un dispositif de QS sont-elles des données à caractère personnel ? . . . . . . . . 133.2. Un dispositif de QS relève t-il de « l’exemption domestique » introduite par la loi I&L ? . . . . . . . . . . 13

3.2.1. L’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.2.2. Le fabricant/éditeur de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.3. Les données traitées dans le cadre d’un dispositif de QS doivent-elles être considérées comme desdonnées de santé ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

3.4. Une dispositif de QS peut-il être considéré comme un traitement relevant de la télémédecine ?1 . . . . . 213.5. Les communautés en ligne autour d’une application de QS ou d’une problématique de QS doivent-elles

être considérées comme des réseaux sociaux de santé ? . . . . . . . . . . . . . . . . . . . . . . . . . 24

4. Arbre de décision 25

A. Exemples de données de santé 26

B. Fiche « Télémédecine2 » 27B.1. Formalité CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27B.2. Formalité ARS (Agence Régionale de Santé) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27B.3. Objectif(s) poursuivi(s) [Finalité(s)] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27B.4. Données traitées en règle générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28B.5. Destinataires / personnes habilitées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28B.6. Remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28B.7. Conseils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29B.8. Conditions de mise en œuvre selon le Décret n°2010-12291 du 19 octobre 2010 . . . . . . . . . . . . . 29B.9. Rappel juridique - CSP (Code de la santé publique) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

C. Données brutes 30

D. Bibliographie non-exhaustive 32D.1. Livres blancs, verts, . . . e-santé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32D.2. Groupe de l’Article 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32D.3. Quantified Self, données de santé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32D.4. Réseaux sociaux de santé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

1Pour compléter voir également la fiche « Télémédecine » en ANNEXE B.2Cette fiche a été rédigée par le groupe constitué par : NICOLAS SAMARCQ ; PATRICK NICOLAZO ; FRÉDÉRIC VARNIEU ; DAPHNÉ JAYET ;

LATIFA BOUYAKOUB ; DAVID BLANDEAU ; ESTELLE FRANCESCHI.

AFCDP QS - Synthèse - Page 6 / 34

Page 7: Quantified Self connecté et Informatique & Libertés

Table des figures

1. Représentation d’un dispositif de QS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92. Ecosystème de QS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103. Acteurs de l’écosystème de QS et flux de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114. Les services de QS en ligne pour l’utilisateur et des tierces parties professionnelles . . . . . . . . . . . 125. La problématique multi-niveaux du QS, des données à caractère personnel et des données de santé . . 146. Les multiples rôles du fabricant/éditeurs de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157. Acteurs, flux de données et réglementation (cas du QS) . . . . . . . . . . . . . . . . . . . . . . . . . . 178. Acteurs, flux de données et réglementation (cas de la télémédecine) . . . . . . . . . . . . . . . . . . . 239. Les communautés de QS en ligne doivent-elles être considérées comme des réseaux sociaux de santé ? 2410. Arbre de décision par rapport aux formalités I&L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

AFCDP QS - Synthèse - Page 7 / 34

Page 8: Quantified Self connecté et Informatique & Libertés

1. Introduction

Présenté simplement, le QUANTIFIED SELF (QS) est la pratique qui consiste à se mesurer soi-même et à partagerses données en utilisant la technologie. C’est un mouvement qui a été lancé en Californie à partir de 2007 qui estgénéralement attribué à GARY WOLF et KEVIN KELLY, deux éditeurs du magazine américain WIRED, et dont la deviseest : « Connais-toi toi-même par les chiffres »3.

La « mesure de soi », qui consiste à quantifier son propre quotidien en mesurant toute sorte de paramètres personnelsafin d’en suivre l’évolution dans le temps, n’est cependant pas une pratique récente. Les pionniers ont commencé enutilisant tout simplement des calepins, des crayons et des feuilles de papiers millimétrés qu’ils ont ensuite complétésavec l’utilisation des premiers tableurs informatiques. Mais aujourd’hui, le mouvement du QS va beaucoup plus loin ; ils’est connecté. Il automatise le processus d’acquisition des données en tirant profit des technologies de l’informationet de la communication (TIC) modernes comme : les smartphones, les capteurs électroniques miniaturisés, internet,les liaisons sans fil . . . créant ainsi un véritable écosystème. Il démultiplie les capacités d’analyse, de croisement, devisualisation et de partage des données grâce au cloud computing, aux réseaux sociaux, au développement d’outilsspécifiques et à l’expérimentation organisée par les utilisateurs eux-mêmes.

Même si le QS peut s’appliquer à tous les domaines de la vie quotidienne et personnelle comme le budget, les deuxprincipaux sont, à l’évidence, la santé et la performance physique.

Pour la santé, « [i]l s’agit [par exemple] de mieux vivre avec une maladie chronique grâce à une auto-surveillance deson état de santé, une amélioration de sa nutrition, de son sommeil et une surveillance accrue de ses données vitales,à commencer par son poids »4. Tandis que, pour la performance physique, il s’agit de se comparer à d’autres et des’améliorer en se fixant des objectifs et en s’imposant des programmes pour les atteindre5.

Voici une liste non-exhaustive d’exemples d’applications proposée par « QSParis »6 :

• Auto-évalution

• Auto-diagnostic

• Préparation physique et sportive

• Expérimentation sur soi-même

• Gestion du comportement

• Suivi de sa position dans l’espace

• Lifelogging, lifecaching, lifestreaming

• . . .

À ce stade, il semble raisonnable de considérer les données issues du QS connecté comme des données se rapportantà la personne qui pratique la mesure et donc qu’il s’agit de données à caractère personnel (DCP). Or, en France et plusgénéralement en Europe ainsi que dans de nombreux autres pays du monde, qui dit données à caractère personneldit aussi réglementation spécifique relative à leur traitement. Qu’en est-il exactement dans le cas du QS connecté ?

La réponse à cette question est tout l’objectif de ce rapport.

Après avoir présenté le contexte « technique » du Quantified Self connecté, avec son dispositif type, ses acteurs,les flux de données, les services associés, ce document aborde la question du traitement des données à caractère

3Source : Emmanuel Gadenne, Le guide pratique du Quantified Self . Mieux gérer sa vie, sa santé, sa productivité. FYP éditions, juin 2012,Paris. http://www.fypeditions.com/le-guide-pratique-du-quantified-self-mieux-gerer-sa-vie-sa-sante-sa-productivite/

4Ibid. p 135Le même type de fonctionnement peut aussi se retrouver dans le cas du « bien-être », par exemple lorsqu’il s’agit d’améliorer sa condition

physique générale en pratiquant plus d’exercices.6Source : http://www.meetup.com/QSParis/

AFCDP QS - Synthèse - Page 8 / 34

Page 9: Quantified Self connecté et Informatique & Libertés

personnel et des réglementations applicables y compris dans le domaine de la santé. Il propose notamment un arbrede décision qui vise à aider les personnes en charge de la conformité Informatique et Libertés dans leurs réflexions.Enfin, une bibliographie succincte est jointe en annexe.

2. Le contexte du Quantified Self connecté

Pour le profane, le Quantified Self peut sembler simple ; mais avec les possibilités offertes avec la connexion à internet,ce n’est qu’une apparence dont cette section vise à révéler les multiples facettes.

2.1. Le dispositif de QS

La FIGURE : 1 tente de représenter ce que les membres du sous-groupe de travail considèrent comme un « dispositifde QS » actuel.

FIGURE 1 – Représentation d’un dispositif de QS

Un tel dispositif est généralement composé par un « système de mesure » – simple capteur ou équipement completet autonome – qui peut enregistrer un ou plusieurs paramètres simultanément comme le nombre de pas, les caloriesconsommées, la qualité du sommeil, etc. Il permet ou non d’afficher la valeur instantanée du ou des paramètresmesurés, comme le poids dans le cas d’un pèse personne.

Bien souvent, ce système est associé à un logiciel dédié qui permet de traiter les données mesurées pour, par exemple,les afficher sous la forme de graphiques ou combiner certaines valeurs entre elles afin d’en déduire d’autres informa-tions, comme l’évolution de l’indice de masse corporelle (IMC) qui est une fonction du poids, donnée par la formule :IMC = poids (kg) / (taille (m))2.

Alors qu’à l’origine, ce logiciel était destiné à un ordinateur, fixe ou portable, la tendance actuelle est plutôt de pri-vilégier les terminaux mobiles, smartphones, tablettes ou montre connectée, et de tirer profit leurs performances enaugmentation régulière. Ce logiciel (l’app) est en général « appairé » avec le système de mesure et la liaison s’effectuegrâce à un câble ou, de plus en plus fréquemment, grâce à une connexion sans fil, de type Wifi ou Bluetooth. Lefonctionnement peut différer selon que la connexion se fait en Wifi ou en Bluetooth. Dans le premier cas, le systèmede mesure utiliser une adresse « IP » et pourra être directement relié au réseau local du domicile de l’utilisateur etétant à même de transférer des données directement vers une (ou plusieurs) plate-forme en ligne. Tandis que dans lesecond, le système de mesure est obligé de passer par le terminal mobile qui pourra ensuite être paramétré pour sesynchroniser ou pas avec un (ou plusieurs) compte en ligne.

AFCDP QS - Synthèse - Page 9 / 34

Page 10: Quantified Self connecté et Informatique & Libertés

FIGURE 2 – Ecosystème de QS

Enfin, en complément du dispositif de QS, les fabricants ont aussi de plus en plus tendance à proposer des servicesen ligne qui reprennent ou étendent les fonctionnalités du logiciel qui fonctionne en local. Ils créent ainsi un véritable« écosystème » dont une représentation est fournie avec la FIGURE : 2.

Ces services nécessitent d’une part la création d’un « compte » par l’utilisateur et d’autre part le transfert de tout oupartie des données contenues dans le système de mesure et/ou dans le logiciel dédié vers la plate-forme en ligne. Lacréation de ce compte est parfois même un préalable obligé pour utiliser le logiciel sur smartphone, tablette ou montreconnectée.

2.2. Les acteurs de l’écosystème de QS et les flux de données

Avec la connexion à internet du dispositif de QS, une multitude d’acteurs peuvent faire leur apparition dans l’écosys-tème de QS, comme tente de le représenter la FIGURE : 3. Pour l’utilisateur, certains sont « visibles » et facilement« identifiables », d’autres, comme les « tierces parties », le sont souvent (beaucoup) moins.

Petit tour d’horizon :

L’utilisateur Il mesure ses propres paramètres au moyen d’un dispositif de QS connecté, avec des mesures réaliséesde façon manuelle et ponctuelle et/ou automatique à intervalle plus ou moins court. Il peut être amené à se créerun ou plusieurs comptes sur des plate-formes en ligne pour en utiliser des services de gestion des donnéesmesurées et éventuellement de partage avec des tiers sur la même plate-forme ou sur d’autres comme desréseaux sociaux généralistes.

Le fabricant/éditeur de services de QS Il propose le dispositif de QS constitué d’un système de mesure auquelpeut être associé un logiciel spécifique (l’app) pour exploiter les données en local sur un smartphone, unetablette voire une montre connectée (et anciennement sur un ordinateur fixe ou portable). Il peut aussi offrirdes services en ligne complémentaires (stockage, visualisation, analyse de données, etc.) ainsi que l’accès àune communauté d’utilisateurs, la possibilité de partager tout ou partie des données avec des tierces parties(réseaux sociaux généralistes, professionnels de santé, partenaires, etc.) voire un coatching virtuel, etc. L’accèsà ces services en ligne – souvent gratuits – nécessite néanmoins de la part de l’utilisateur la création d’un comptesur la plate-forme du fabricant et le transfert des données issues de son dispositif de QS.

Le partenaire Il peut proposer un système de mesure complémentaire de celui du fabricant ou uniquement un serviceen ligne ou une combinaison des deux. Il peut recevoir des données à partir de la plate-forme du fabricant oubien en transmettre. Dans les deux cas, l’utilisateur doit également disposer d’un compte sur la plate-forme dupartenaire. Ensuite les deux plate-formes peuvent se synchroniser dans un sens ou dans l’autre en utilisant leurs

AFCDP QS - Synthèse - Page 10 / 34

Page 11: Quantified Self connecté et Informatique & Libertés

FIGURE 3 – Acteurs de l’écosystème de QS et flux de données

API (Application Programming Interface) respectives. Le transfert de données vers le compte sur la plate-formedu partenaire se fait (en théorie) à la seule discrétion de l’utilisateur qui peut (toujours en théorie) révoquer sonautorisation à tout moment.

La communauté dédiée Elle est constituée par d’autres utilisateurs du même dispositif de QS que l’utilisateur ou dumême service en ligne ou intéressés par une même thématique particulière. Tous ces utilisateurs peuvent parta-ger des données, des résultats d’analyse voire « discuter » sur des forums pour mieux comprendre leurs propresdonnées et contribuer ainsi à la création et à l’amélioration d’un savoir partagé. Ils peuvent aussi comparer leursperformances ou s’encourager lorsqu’il s’agit d’objectifs à atteindre.

Les communautés généralistes Il s’agit des réseaux sociaux généralistes auxquels l’utilisateur s’est librement ins-crit et sur lesquels il décide de partager tout ou partie des données qu’il mesure. Ces communautés ont d’autrescentres d’intérêt que le seul QS et les plate-formes qui les supportent ne proposent pas (encore) d’outils spéci-fiques pour le traitement des données mesurées.

Le professionnel de santé Il est en relation avec l’utilisateur qu’il peut avoir comme patient. Il peut être destinatairede données que l’utilisateur décide, de sa propre initiative, de lui adresser.

Les fournisseurs de fonctionnalités complémentaires Il s’agit le plus souvent de « prestataires techniques » –tierces parties – liés à la fourniture de fonctionnalités techniques pour les plate-formes en ligne ou les logi-ciels dédiés. L’utilisateur a rarement « conscience » de leur présence ou de leur implication dans la « chaîne »de transmission ou de traitement des données. Par exemple, dans le cas de la géolocalisation, ils vont fournir leservice de représentation cartographique. Dans d’autres cas, ils vont fournir des services complexes d’analyseet/ou de visualisation des données.

Le fabricant de terminal mobile Certains fabricants de terminaux mobiles proposent, directement intégré à leur sys-tème d’exploitation, des fonctionnalités pour la gestion des données relatives à la santé de l’utilisateur. C’est lecas par exemple d’Apple avec son application « HealthKit » et de Samsung avec « SAMI ».

Les autres tierces parties Il s’agit de toutes les autres parties prenantes qui pourraient (/ pourront) avoir accès auxdonnées de l’utilisateur. Elles dépendent en grande partie du modèle économique (et éventuellement technique)du fabricant, vente de « systèmes de mesure + app » uniquement ou utilisation des données à d’autres fins

AFCDP QS - Synthèse - Page 11 / 34

Page 12: Quantified Self connecté et Informatique & Libertés

comme le marketing, la recherche, etc. Dans ce cadre, elles sont donc amenées à évoluer (apparaître/disparaître)au cours du temps.

2.3. Les services en ligne associés au QS

De plus en plus, les services en ligne proposés par les fabricants font partie intégrante de l’application de QS dans unelogique de plate-forme et de valorisation des données des utilisateurs. Les fabricants rejoignent en cela les « pur-play »qui ne sont présents que sur internet.

Cependant ces services tendent à viser deux populations distinctes :

• les utilisateurs, avec une offre autour de l’analyse, de la représentation et du croisement de leurs propres don-nées ;

• des « tierces parties » professionnels, avec une offre de type data-mining, machine learning, analyses statis-tiques, recherche, big-data ou autres avec des données qui peuvent être vendues après avoir été plus ou moinsbien anonymisées ou pas du tout.

C’est ce que tente de représenter la FIGURE : 4.

Les services en ligne sont appelés à évoluer rapidement et constamment, du fait des technologies disponibles maisaussi des modèles économiques.

FIGURE 4 – Les services de QS en ligne pour l’utilisateur et des tierces parties professionnelles

AFCDP QS - Synthèse - Page 12 / 34

Page 13: Quantified Self connecté et Informatique & Libertés

3. Quantified Self connecté, données à caractère personnel et données de santé

La FIGURE : 5 tente de représenter la problématique multi-niveaux entre le Quantified Self connecté, les donnéesà caractère personnel et les données de santé que le groupe a abordé durant son travail. Chacune des questionsreprésentées est brièvement introduite ci-dessous puis détaillée dans les sections correspondantes qui suivent.

La première question qui se pose avec l’utilisation d’un dispositif de QS concerne les données qui en sont issues. Cesdonnées sont-elles, ou non, des données à caractère personnel ?

La réponse à cette question préalable est indispensable car dès lors qu’un traitement implique des DCP, les dispositionsde la loi Informatique & Libertés doivent être appliquées. Mais il y a bien sûr des exceptions, comme « l’exemptiondomestique », dans le cas des activités exclusivement personnelles. Une seconde étape de l’analyse a donc consistéà s’interroger sur la possibilité, ou non, qu’un dispositif de QS entre dans le cadre de cette exemption.

Ensuite, dans le cas où la loi I&L est effectivement applicable, une troisième question a concerné la nature même desdonnées objets du traitement : doivent-elles être considérées comme des données de santé ? Dans l’affirmative, quelssont les critères qui permettent de qualifier ce nouveau statut ?

Dans le cas de données de santé, la suite logique de la réflexion concerne leur stockage. Doit-il s’inscrire dans le cadreplus contraignant et spécifique de « l’hébergement des données de santé » ?

Dans une cinquième étape, le groupe s’est demandé si un dispositif de QS pourrait, ou non, être assimilé à un trai-tement relevant de la télémédecine et de son cadre réglementaire lui aussi spécifique ? Et, dans l’affirmative, quelsseraient alors les critères permettant de qualifier ce statut ?

Dans une sixième étape, l’attention du groupe s’est portée sur la question de la réutilisation des données issues d’undispositif de QS.

Enfin, en complément de toutes ces questions, le groupe a effleuré la problématique des communautés en ligne autourdes dispositifs de QS ou d’une thématique particulière. Ces communautés doivent-elles être considérées comme desréseaux sociaux de santé (RSS) ? Et, dans l’affirmative, quelles sont alors les implications de ce nouveau statut ?

3.1. Les données issues d’un dispositif de QS sont-elles des données à caractère personnel ?

Pour mémoire, l’article 2 paragraphe 2 de la loi Informatique & Libertés (I&L)7 définit une donnée à caractère personnelcomme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ouindirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

À première vue, le QS étant « la pratique de la mesure de soi », il semblerait logique que toutes les données qui ensont issues soient des DCP. Pourtant, dans l’exemple d’une famille disposant d’un pèse-personne capable d’enregis-trer plusieurs mesures, si plusieurs personnes utilisent ce même pèse-personne sans que les différentes mesurespuissent être associées à l’un ou l’autre des membres de cette famille, alors ces données peuvent plus difficilementêtre considérées comme des DCP au sens de la définition qui a été rappelée dans le paragraphe précédent. En effet,comment, en l’état, remonter à la personne à qui correspond une mesure ? Comment l’identifier ?

Dans ce contexte, il semble donc raisonnable de considérer qu’une application de QS ne produit des DCP, ausens de la loi I&L, que dans le cas où les données mesurées peuvent être reliées précisément ou directementà un utilisateur. Par exemple, dans le cas où elles sont associées à un compte personnel ou si elles sont en-registrées sur un dispositif dont l’usage normal est considéré comme mono-utilisateur, comme un téléphoneportable.

3.2. Un dispositif de QS relève t-il de « l’exemption domestique » introduite par la loi I&L ?

L’article 2 de la loi I&L8 dispose dès son premier paragraphe qu’elle « s’applique aux traitements automatisés dedonnées à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel conte-

7Voir : http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/8Voir : http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/#Article2

AFCDP QS - Synthèse - Page 13 / 34

Page 14: Quantified Self connecté et Informatique & Libertés

FIGURE 5 – La problématique multi-niveaux du QS, des données à caractère personnel et des données de santé

nues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activitésexclusivement personnelles ».

Le considérant (12) de la « Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à laprotection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulationde ces données », qui a été transposée en droit national dans la loi I&L en 2004, donne, comme exemple d’activitésexclusivement personnelles, « la correspondance ou la tenue d’un répertoire d’adresses »9.

Avec ce cadre, deux cas principaux peuvent être considérés, celui de l’utilisateur et celui du fabricant/éditeur de ser-vices en ligne.

Par ailleurs, pour le groupe de l’Article 29 (ci-après G29)10, un dispositif qui ne transmet aucune données « à l’exté-rieur » doit être considéré comme un traitement relevant de l’exemption domestique.

3.2.1. L’utilisateur

Comme cela a déjà été mentionné, l’utilisateur collecte, de sa propre initiative, ses propres données qu’il traite, parexemple, au moyen de l’application dédiée fournie par le fabricant en utilisant son propre matériel, tablette ou smart-phone, par exemple. Dans ce contexte, il peut être considéré que le traitement est réalisé pour son propre compte.

Dans un autre cas de figure, le dispositif de mesure peut être partagé entre plusieurs utilisateurs et l’application dédiéepeut être utilisée par plusieurs membres d’une même famille. Il s’agit donc toujours d’une utilisation restreinte au cadrefamiliale.

Ces deux exemples peuvent, sans aucun doute, s’inscrire dans le cadre de l’exemption domestique de la loi I&L.9Voir : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri...

10Voir : 20150205_letter_art29...

AFCDP QS - Synthèse - Page 14 / 34

Page 15: Quantified Self connecté et Informatique & Libertés

En revanche, il en serait sûrement autrement, si l’utilisateur utilisait l’application de QS dans un cadre professionnel ousi l’utilisation de l’application de QS lui était imposée par exemple dans le cadre d’un contrat d’assurance ou autre.

Recommandations :

Tant que l’utilisateur utilise le dispositif de QS pour son propre compte et uniquement dans ce cadre, la CNIL formulenotamment les recommandations suivantes11 :

• utiliser, si possible, un pseudonyme pour partager des données ;

• ne pas automatiser le partage des données vers d’autres services (notamment vers les réseauxsociaux) ;

• ne publier des données qu’en direction de cercles de confiance ;

• effacer ou récupérer les données lorsqu’un service n’est plus utilisé.

3.2.2. Le fabricant/éditeur de services

Lorsque le fabricant complète son dispositif de mesure en proposant une plate-forme en ligne qui permet à chaqueutilisateur de s’y créer un compte pour, a minima, y stocker les données qu’il mesure et ensuite, selon les cas, y utiliserd’autres services complémentaires, la situation se complique un peu, car il peut alors jouer plusieurs rôles avec desobligations ou contraintes différentes.

Il peut endosser le rôle de responsable de traitement. Pour mémoire, rappelons que la loi I&L en donne à l’article 3paragraphe (1) la définition suivante : « [l]e responsable d’un traitement de données à caractère personnel est, saufdésignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autoritépublique, le service ou l’organisme qui détermine ses finalités et ses moyens. »

FIGURE 6 – Les multiples rôles du fabricant/éditeurs de services

Ainsi, comme le suggère la FIGURE : 6, le fabricant/éditeur de services peut jouer plusieurs rôles qui tendent à sesuperposer, ce qui complique d’autant l’analyse. Mais force est de constater que tous ne le placent pas comme « res-ponsable de traitement », loin de là :

gestionnaire de compte Pour pouvoir offrir le ou les services en ligne, le fabricant doit au préalable pouvoir gérer lescomptes des utilisateurs. À cette fin, il va collecter un minimum de données, souvent : nom, prénom, courriel,pseudo et, éventuellement, date de naissance. Il s’agit bien là d’un traitement de DCP qu’il met en œuvre pourson propre compte pour être en mesure de délivrer le ou les services.

11Voir : http://www.cnil.fr/linstitution/actualite/article/article/quantified-self...

AFCDP QS - Synthèse - Page 15 / 34

Page 16: Quantified Self connecté et Informatique & Libertés

Ü Dans ce cas, le fabricant est bien le responsable de traitement à qui incombe le respect des obligations de laloi I&L.

hébergeur L’hébergement des données mesurées par l’utilisateur sur une plate-forme en ligne pour lui permettrede les synchroniser entre plusieurs appareils est l’un des premiers services complémentaires offerts par lesfabricants. Cette fonction d’hébergement est a priori sous le contrôle de l’utilisateur qui peut décider de l’utiliserou pas et de cesser de l’utiliser à tout moment.Ü Si l’hébergement des données est uniquement réalisé au profit exclusif de l’utilisateur alors le fabricantintervient plus comme un « sous-traitant » que comme un responsable de traitement a part entière. Même si,objectivement, l’utilisateur n’a que peu de contrôle sur les moyens techniques mis en œuvre, il doit quand mêmeêtre considéré comme le « responsable de traitement ».

éditeur de services En général, le fabricant ne se contente pas d’héberger les données de l’utilisateur, il proposeaussi des services complémentaires qui vont de l’affichage d’un tableau de bord à des possibilités de partagevers d’autres éditeurs de services, des réseaux sociaux généralistes, etc. L’utilisation de ces services est commedans le cas de l’hébergement, laissé à la discrétion de l’utilisateur.Ü Comme précédemment, si les services proposés sont uniquement au bénéfice exclusif de l’utilisateur alorsle fabricant intervient plus comme un « sous-traitant » que comme un responsable de traitement a part entière.Même si, objectivement, l’utilisateur n’a que peu de contrôle sur les moyens techniques mis en œuvre, il doitêtre, ici aussi, considéré comme le « responsable de traitement ».

éditeur de réseau social En permettant à ses utilisateurs d’interagir entre eux, de comparer leurs résultats, de parta-ger des informations, etc. le fabricant tend aussi à proposer un service de type « réseau social ». Les utilisateurspeuvent publier tout type d’informations dans un format non-structuré, y compris des données personnellesconcernant d’autres utilisateurs.Ü Ici, le fabricant doit être considéré comme le responsable de traitement pour la partie gestion du service.

Pour synthétiser, la Figure 7 représente des acteurs possibles dans l’écosystème de QS ainsi que des flux de donnéespossibles entre eux et les réglementations qui peuvent s’appliquer.

3.3. Les données traitées dans le cadre d’un dispositif de QS doivent-elles être considérées commedes données de santé ?

Définir ce qu’est ou n’est pas une « donnée de santé » est une tâche malaisée !

En complément de l’analyse déjà publiée dans le premier livrable du groupe de travail « Données de santé » del’AFCDP : « Le CIL et des données personnelles de santé - Comment appréhender les traitements intégrant desdonnées de santé ? », dans sa version de mai 2012, le considérant (26) de la « Proposition de règlement du Parlementeuropéen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractèrepersonnel et à la libre circulation de ces données (règlement général sur la protection des données) », publiée enjanvier 2012, propose une longue définition des données de santé :

« Les données à caractère personnel concernant la santé devraient comprendre, en particulier,l’ensemble des données se rapportant à l’état de santé d’une personne concernée ; les informationsrelatives à l’enregistrement du patient pour la prestation de services de santé ; les informations relativesaux paiements ou à l’éligibilité du patient à des soins de santé ; un numéro ou un symbole attribué à unpatient, ou des informations détaillées le concernant, destinés à l’identifier de manière univoque à des finsmédicales ; toute information relative au patient recueillie dans le cadre de la prestation de services desanté audit patient ; des informations obtenues lors d’un contrôle ou de l’examen d’un organe ou d’unesubstance corporelle, y compris des échantillons biologiques ; l’identification d’une personne en tant queprestataire de soins de santé au patient ; ou toute information concernant, par exemple, une maladie, unhandicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique oubiomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’unmédecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’une épreuvediagnostique in vitro. »

AFCDP QS - Synthèse - Page 16 / 34

Page 17: Quantified Self connecté et Informatique & Libertés

FIGURE 7 – Acteurs, flux de données et réglementation (cas du QS)

Cette définition est ensuite très écourtée dans l’article 4 point (12) :

« ’données concernant la santé’ : toute information relative à la santé physique ou mentale d’unepersonne, ou à la prestation de services de santé à cette personne ; »ab.

aL’ASIP Santé reprend cette même définition dans l’article en ligne « le cadre juridique du partage d’informations dans lesdomaines sanitaires et médico-social : état des lieux et perspectives » (voir : http://esante.gouv.fr/tribunes/le-cadre-juridique...).

bIl faut également noter que cette définition à été amendée par le Conseil européen dans son texte publié en juin 2015 (voir :http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/fr/pdf) « ’données concernant la santé’ : toute donnée relativeà la santé physique ou mentale d’une personne physique qui révèle des informations sur l’état de santé de ladite personne ; » quiintroduit la notion plus large de « révélation ».

En complément, il semble aussi intéressant de noter les éléments de définition fournis par la CNIL dans la « Fiche n°7 :Le traitement de données relatives à la santé » du « Pack de conformité - Logement social » dans son édition de juillet201412 dans lesquels il est indiqué :

12Voir : http://www.cnil.fr/.../Packs/Logement_social/PackConf_LOGEMENT_SOCIAL_web.pdf

AFCDP QS - Synthèse - Page 17 / 34

Page 18: Quantified Self connecté et Informatique & Libertés

Qu’entend-on par « données relatives à la santé » ?

Toute information permettant d’identifier la nature d’une affection, d’un handicap ou d’une déficience(catégorie ou codification) doit être considérée comme une donnée de santé.

En revanche, quand le degré de généralité d’une mention (« hôpital », « établissement spécialisé », «présence d’un handicap (oui/non) ») ne révèle pas la pathologie de la personne concernée, et ne portepas atteinte à sa vie privée, il ne s’agit pas d’une donnée de santé.

Les paramètres mesurés dans le cadre d’une application de QS sont multiples : poids, taille, distance parcourue àpieds, en courant, fréquence cardiaque, temps de sommeil, tension, glycémie, etc. Parmi ceux-ci beaucoup relèventdes activités de la vie quotidienne et visent notamment à améliorer l’hygiène de vie voire des performances sportives.Dans ce cadre, il s’agit de données à caractère personnel souvent considérées comme relatives au « bien-être13 » del’utilisateur.

Cependant, cette catégorisation n’est malheureusement pas absolue et beaucoup parmi les paramètres précédents– si ce n’est tous – peuvent aussi fournir des informations sur l’état de santé de l’utilisateur et par conséquent êtreaussi considérés comme des « données de santé ». Cette dernière remarque peut s’avérer d’autant plus juste que lespossibilités d’agrégation, de croisement de données et de durée de collecte sont importants.

Comment discriminer ?

D’une façon générale, le groupe de travail considère qu’une même donnée pourra éventuellement être considéréecomme une donnée à caractère personnel relative au « bien-être » ou comme une « donnée de santé » en fonction deson contexte d’utilisation/d’interprétation et de ses destinataires selon qu’ils appartiennent au secteur médical ou paset qu’ils ont les connaissances nécessaires pour en tirer des informations sur l’état de santé de la personne concernée.Par exemple, une « fréquence cardiaque » sera une considérée comme une « simple » donnée à caractère personnelpar le sportif qui mesure ses propres performances ou comme une donnée de santé par le cardiologue qui le suit entant que patient.

De plus, la caractéristique « donnée de santé » pourra aussi être interrogée en fonction de la nature de l’appareilqui produit cette donnée et, éventuellement, du contexte de la mesure. En effet, pour qu’une donnée puisse êtreutilisable dans un contexte médical, le dispositif qui produit cette donnée doit répondre à des normes strictes encadréesnotamment par le code de la santé publique. Dans ce cadre, un dispositif répondant à ces normes sera « réputé »produire des données de santé même si celles-ci n’ont pas pour destinataire un professionnel de santé.

Il demeure donc que chaque situation doit être examinée au cas par cas dans les détails. Parmi les éléments utiles àcette analyse citons :

• la description précise de la ou des finalités de l’application de QS ;

• la description précise des données mesurées et des informations produites par l’application de QS ;

• la description précise des destinataires des données mesurées ;

• la description précise du contexte de la mesure ;

Pour approfondir cette analyse

Le G29 a publié, début février 2015, en réponse à une demande de la Commission européenne un document1415

présentant sa propre vision de la différence entre des données à caractère personnel relatives au « bien-être » et13Il faut noter que le « bien-être » n’est pas une catégorie de données personnelles ayant une existence « légale » dans les textes relatifs à

la protection des données personnelles. Elle ne nécessite donc aucune disposition particulière - autre que celles communes à n’importe quelleDCP - pour son traitement.

14Voir : 20150205_letter_art29...15Un résumé en français rédigé par Stéphanie Faber (membre de l’AFCDP) est également disponible.

Voir : http://larevue.squirepattonboggs.com/Donnees-de-sante-des-dispositifs-et-applications-le-point-de-vue-du-G29_a2544.html

AFCDP QS - Synthèse - Page 18 / 34

Page 19: Quantified Self connecté et Informatique & Libertés

des « données de santé » dans le cas de traitements réalisés par des applications pour terminaux mobiles (tablettes,smartphones, etc.). Cette analyse complète celle, plus générale sur les données « sensibles », publiée en avril 201116.

Dans son analyse, le G29 identifie plusieurs « sous-catégories » dans les données de santé :

les données médicales Il s’agit des données qui concernent l’état de santé physique ou mentale d’unepersonne produites par des professionnels de santé dans un contexte médical (par exemples, lesinformations relatives aux rendez-vous, aux diagnostics, aux traitements, l’historique d’un traitement,d’une hospitalisation, des informations sur des maladies, des handicaps) y compris toutes les don-nées produites des appareils ou des applications qu’ils soient ou non des « dispositifs médicaux ».Elles sont reconnues par tous les États membres comme des données de santé et ne font pas l’objetde discussion.

des données brutes Il s’agit de données brutes produites par des capteurs (considérés comme des dis-positifs médicaux ou non) qui par elles-mêmes ou combinées à d’autres permettent de déduire l’étatde santé d’une personne ou d’identifier des risques pour sa santéa.

des conclusions Il s’agit de conclusions sur l’état de santé d’une personne ou sur des risques pour sasanté que ces conclusions soient justes ou non, précises ou non, légitimes ou non.

aPour compléter voir l’Annexe C.

À l’autre extrême, le G29 considère que les données qui ne permettent pas en elle-mêmes de tirer des conclusionssur l’état de santé d’une personne ou sur les risques pour sa santé doivent être exclues du champ des données desanté. À titre d’exemple, il propose la mesure du nombre de pas lors d’une seule marche, la détermination du nombrede calories absorbées au cours d’un seul repas. Cependant, il attire aussi l’attention sur la nécessité de réaliser uneanalyse approfondie, au cas par cas, dès lors qu’un historique sur le long terme peut être réalisé, que des mesurespeuvent être combinées à d’autres afin d’en déduire de nouvelles informations. En effet, dans de telles situations, ilexiste un risque pour que ces données, « simples » données personnelles relatives au bien-être, basculent dans lechamp des données de santé.

L’annexe A propose des exemples de données de santé.

Tableau de synthèse

Le Tableau : 1 propose une grille d’analyse pour aider à identifier des applications de QS susceptibles de produire desdonnées qui pourraient être considérés comme des données de santé.

Quelles conséquences ?

Le basculement de la catégorie de données à caractère personnel relatives au « bien-être » à celle de « données desanté » n’est pas anodin car il entraîne avec lui des contraintes supplémentaires.

En effet, l’article 8 paragraphe I de la loi I&L dispose qu’ « [i]l est interdit de collecter ou de traiter des données àcaractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinionspolitiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santéou à la vie sexuelle de celles-ci. ».

Ainsi, les données de santé appartiennent à la catégorie des données dites « sensibles ». Leur traitement impose desprécautions particulières définies dans la loi I&L et nécessite, sauf exceptions, l’obtention d’une autorisation de la CNILen préalable à la mise en oeuvre du traitement.

L’hébergement des DCP relève t-il du cadre relatif à l’hébergement des données de santé ?

L’article L 1111-817 du Code de la santé publique dispose dans son premier paragraphe16Voir : http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2011_04_20_letter_artwp_mme_le_bail...17Voir : http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=...

AFCDP QS - Synthèse - Page 19 / 34

Page 20: Quantified Self connecté et Informatique & Libertés

Critère Type de données

Application de QS dont le ou les paramètres mesurés sontdirectement révélateurs de l’état de santé de la personneconcernée ou de risques pour sa santé.Application de QS mise en place dans un contexte médical.

Application de QS mise en place dans le cadre d’unprogramme d’éducation thérapeutique.Application de QS dont la ou les finalités visent à déduire desconclusions sur l’état de santé de la personne concernée oudes risques pour sa santé.Application de QS susceptible de produire par agrégation demultiple données un profil de la personne concernéerévélateur de son état de santé ou de risques pour sa santé.

Autres applications de QS

données à caractère personnel - données de santé - données

susceptibles de basculer dans le champ des données de santé

TABLE 1 – Grille d’analyse pour identifier des applications de QS susceptibles de traiter des données de santé

« [l]es professionnels de santé ou les établissements de santé ou la personne concernée peuventdéposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activitésde prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet.Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieuqu’avec le consentement exprès de la personne concernée. »

Dans ce cadre, les données de santé à caractère personnel (DSCP) ne peuvent être hébergées que par des profes-sionnels ayant reçu un agrément. Or d’après l’article précédent, toutes les DSCP ne sont pas concernées. Seules lesont, celles « recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins ». Ce qui n’estmanifestement pas le cas actuellement des DCP issues d’une application de QS. En conséquences, le fabricant/éditeurde services ne serait pas concerné et pourrait librement héberger des DSCP issues de ses dispositifs de mesure ouautre.

La recommandation de la CNIL à propos des coffre-forts numériques18, déjà évoquée, semble cependant suggérerune interprétation plus large que les seules DSCP « recueillies ou produites à l’occasion des activités de prévention,de diagnostic ou de soins ».

Ainsi, le point (3) « Formalités préalables à la mise en œuvre d’un service de coffre-fort numérique » fait apparaître laproposition suivante :

« [l]a Commission nationale de l’informatique et des libertés considère, par conséquent, que lesfournisseurs de coffres-forts numériques ne peuvent proposer à leurs utilisateurs de stocker des donnéesrelatives à la santé s’ils ne sont pas agréés à cet effet. Elle en déduit que la mise en avant du stockage detelles données ou son organisation, y compris la simple création par défaut d’un dossier ”santé” par lefournisseur, nécessite impérativement l’obtention préalable de l’agrément ministériel précité. »

Cette analyse laisse donc supposer que la CNIL considère que toutes les DSCP nécessitent de disposer d’un agrémentpour leur hébergement. Si elle était confirmée, cette analyse aurait pour conséquences d’imposer au fabricant/éditeurde services dont les dispositifs de mesure produisent des DSCP de passer par un hébergeur agréé ou de se faireeux-mêmes agréer en tant qu’hébergeur de DSCP.

18Voir : http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000028048730...

AFCDP QS - Synthèse - Page 20 / 34

Page 21: Quantified Self connecté et Informatique & Libertés

3.4. Une dispositif de QS peut-il être considéré comme un traitement relevant de la télémédecine ?19

La télémédecine est un acte médical, qui présente comme caractéristique d’être réalisé à distance et de nécessiterl’utilisation de dispositif technologique, fourni par un prestataire, encore appelé « tiers technologique ».

L’article premier du « Décret n° 2010-1229 du 19 octobre 2010 relatif à la télémédecine20 » donne les définitionssuivantes :

« Art.R. 6316-1.-Relèvent de la télémédecine définie à l’article L. 6316-1 les actes médicaux, réalisés àdistance, au moyen d’un dispositif utilisant les technologies de l’information et de la communication.Constituent des actes de télémédecine :

« 1° La téléconsultation, qui a pour objet de permettre à un professionnel médical de donner uneconsultation à distance à un patient. Un professionnel de santé peut être présent auprès du patient et, lecas échéant, assister le professionnel médical au cours de la téléconsultation. Les psychologuesmentionnés à l’article 44 de la loi n° 85-772 du 25 juillet 1985 portant diverses dispositions d’ordre socialpeuvent également être présents auprès du patient ;

« 2° La téléexpertise, qui a pour objet de permettre à un professionnel médical de solliciter à distancel’avis d’un ou de plusieurs professionnels médicaux en raison de leurs formations ou de leurscompétences particulières, sur la base des informations médicales liées à la prise en charge d’un patient ;

« 3° La télésurveillance médicale, qui a pour objet de permettre à un professionnel médicald’interpréter à distance les données nécessaires au suivi médical d’un patient et, le cas échéant,de prendre des décisions relatives à la prise en charge de ce patient. L’enregistrement et latransmission des données peuvent être automatisés ou réalisés par le patient lui-même ou par unprofessionnel de santé ;

« 4° La téléassistance médicale, qui a pour objet de permettre à un professionnel médical d’assister àdistance un autre professionnel de santé au cours de la réalisation d’un acte ;

« 5° La réponse médicale qui est apportée dans le cadre de la régulation médicale mentionnée à l’articleL. 6311-2 et au troisième alinéa de l’article L. 6314-1. »

Parmi les cinq catégories d’actes de télémédecine présentés ci-dessus dans l’Art.R. 6316-1, les actes dits de « té-lésurveillance » conduisent à s’interroger sur l’application éventuelle des règles relatives à la télémédecine à ce quisemble être une simple activité de bien-être à l’aide d’un objet connecté.

La télésurveillance médicale est définie à l’article précité comme l’activité ayant « pour objet de permettre à un pro-fessionnel médical d’interpréter à distance les données nécessaires au suivi médical d’un patient et, le cas échéant,de prendre des décisions relatives à la prise en charge de ce patient. L’enregistrement et la transmission des donnéespeuvent être automatisés ou réalisés par le patient lui-même ou par un professionnel de santé. »

Comme cela a été rappelé plus haut, le « Quantified Self » est « la pratique qui consiste à se mesurer soi-même et àpartager ses données en utilisant la technologie ». Dans la télésurveillance comme dans le Quantified Self, l’individupeut être amené à réaliser lui-même la collecte de données de santé le concernant. Toutefois, dès lors que ces donnéesseront transmises par lui-même ou de façon automatisée à un professionnel médical qui devra les interpréter à desfins de prise en charge médicale, il appartient à ce professionnel de s’interroger sur le respect des règles précises quiencadrent ce type d’activité. En effet, un objet connecté de Quantified Self n’est pas a priori destiné à être utilisé àdes fins de suivi médical et n’est donc pas tenu de respecter les dispositions législatives qui s’appliquent aux actes detélémédecine.

S’il s’inscrit dans le cadre d’une activité de télésurveillance au sens qui vient d’être rappelé, le cadre juridique de latélémédecine impose le respect de règles relatives notamment à la sécurité des dispositifs technologiques utilisés etde l’environnement dans lequel ils sont mis en œuvre.

19Pour compléter voir également la fiche « Télémédecine » en ANNEXE B.20Voir : http://www.legifrance.gouv.fr/affichTexte.do?...

AFCDP QS - Synthèse - Page 21 / 34

Page 22: Quantified Self connecté et Informatique & Libertés

Il appartient ainsi au(x) professionnel(s) médical(aux) qui participent à l’acte de télémédecine de veiller au respect desmesures de sécurité exigées par la réglementation au titre desquelles figurent l’identification du patient et l’authenti-fication des professionnels de santé intervenant dans l’acte (article R6316-3 du CSP ). Les professionnels de santéqui accèdent à l’application de télésurveillance médicale doivent utiliser une carte de professionnel de santé (CPS) outout autre dispositif équivalent. S’agissant des patients, des moyens d’authentification de même niveau doivent êtremis en œuvre afin de préserver la sécurité des données de santé. Le patient devra donc se voir délivrer des moyensd’authentification forte pour accéder à l’application de télésurveillance.

Le dispositif technologique utilisé pour réaliser l’acte de télésurveillance doit également être conforme aux dispositionsde l’article L. 1111-8 du code de la santé publique relatif aux modalités d’hébergement des données de santé àcaractère personnel et être respectueux des référentiels de sécurité et d’interopérabilité également visés par l’alinéa 4de ce même article.

Il est enfin de la responsabilité du médecin d’apprécier la qualité des données de santé transmises. Il lui appartient desélectionner parmi les données télétransmises celles qui lui paraissent pertinentes.

Le parallèle avec la téléexpertise en radiologie peut être fait : si en cas de transmission d’image pour une téléexpertiseradiologique, la prise d’image est mal effectuée et les informations cliniques nécessaires à l’interprétation de l’imagenon recueillies, le médecin téléradiologue requis et le médecin requérant peuvent voir leurs responsabilités engagéessi cette insuffisance de qualité est la cause d’une erreur. Mais les médecins pourront exercer un recours à l’encontredu fabricant du matériel dommageable.

Si la responsabilité médicale ne saurait être engagée par une défaillance due à un tiers technologique, encore faut-ilque le tiers technologique ait lui-même conçu le dispositif comme pouvant être utilisé à des fins médicales. A cetégard, on rappellera la définition d’un dispositif médical fixée à l’article L. 5211-1 du code de la santé publique : «On entend par dispositif médical tout instrument, appareil, équipement, matière, produit, à l’exception des produitsd’origine humaine, ou autre article utilisé seul ou en association, y compris les accessoires et logiciels nécessaires aubon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l’homme à des fins médicales et dont l’actionprincipale voulue n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, maisdont la fonction peut être assistée par de tels moyens. Constitue également un dispositif médical le logiciel destiné parle fabricant à être utilisé spécifiquement à des fins diagnostiques ou thérapeutiques. »

La mise sur le marché des dispositifs médicaux est subordonnée à un marquage CE préalable qui est sous la respon-sabilité de leur fabricant. Pour apposer ce marquage CE, il appartient au fabricant de soumettre les dispositifs à uneprocédure d’évaluation de conformité aux exigences essentielles décrites dans les directives européennes applicables.Ces dispositions européennes ont été transposées en droit français dans le Code de la Santé Publique.

En conclusion, face à des données collectées et transmises à distance via un objet connecté, par le patient lui-même, ilest essentiel que le médecin ait les moyens de s’assurer de la fiabilité des données et de la qualité du dispositif utilisé.

Comme le rappelle le document de la Direction Générale de l’Organisation des Soins, relatif à la « Télémédecine etaux responsabilités juridiques engagées », du 18/05/2012, les médecins ont l’obligation d’utiliser un matériel fiable etcertifié. L’obligation de moyens à laquelle est tenu chaque médecin englobe la parfaite connaissance du maniementdes matériels utilisés en télémédecine et leurs indications.

La Figure 8 représente des acteurs concernés par un acte de télémédecine ainsi que des flux de données possiblesentre eux et les réglementations qui peuvent s’appliquer.

AFCDP QS - Synthèse - Page 22 / 34

Page 23: Quantified Self connecté et Informatique & Libertés

FIGURE 8 – Acteurs, flux de données et réglementation (cas de la télémédecine)

AFCDP QS - Synthèse - Page 23 / 34

Page 24: Quantified Self connecté et Informatique & Libertés

3.5. Les communautés en ligne autour d’une application de QS ou d’une problématique de QSdoivent-elles être considérées comme des réseaux sociaux de santé ?

La FIGURE : 9 propose une représentation, simple, des communautés de QS en ligne.

FIGURE 9 – Les communautés de QS en ligne doivent-elles être considérées comme des réseaux sociaux de santé ?

AFCDP QS - Synthèse - Page 24 / 34

Page 25: Quantified Self connecté et Informatique & Libertés

4. Arbre de décision

L’arbre de décision de la FIGURE 10 vise à présenter de façon synthétique les principales règles à respecter en matièrede réglementation relative à la protection des données personnelles et des patients, le cas échéant.

FIGURE 10 – Arbre de décision par rapport aux formalités I&L

AFCDP QS - Synthèse - Page 25 / 34

Page 26: Quantified Self connecté et Informatique & Libertés

A. Exemples de données de santé

Les exemples ci-dessous sont fournis par le G29 dans son document de février 201521. Ils sont issus de la Directive de95, des législations nationales des pays membres, de décisions de justice ou d’autorités de protection des données :

• indication de jambe cassée ;

• indication de port de lunettes ou de lentilles de contact correctrices ;

• données relatives aux capacités intellectuelles (QI) ou émotionnelles ;

• données sur les habitudes de fumeur ou sur la consommation de boissons (alcoolisées) ;

• données sur les allergies transmises à des tiers publics (écoles) ou privés (compagnies aériennes) ;

• données sur les conditions de santé transmises en cas d’urgence (enfant en camp de vacances qui a del’asthme) ;

• appartenance à un groupe de patients (cancer) ;

• appartenance à un groupe d’entraide ou de soutient relatif à l’état de santé (alcooliques anonymes, weightwatchers) ;

• mention d’une maladie dans un contexte d’emplois ;

• données relatives à la santé dans un contexte administratif (présence dans un foyer d’une personne atteinted’une maladie spécifique) ;

• achat de produits, d’appareils ou de services de santé ;

• questionnaires ou tests permettant de déduire un état de santé ;

• etc.

21« Annex - health data in apps and devices », voir : http://ec.europa.eu/justice/.../20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf

AFCDP QS - Synthèse - Page 26 / 34

Page 27: Quantified Self connecté et Informatique & Libertés

B. Fiche « Télémédecine22 »

B.1. Formalité CNIL

Pour des données et fichiers sensibles ou à risque, la loi a prévu des formalités particulières d’autorisation et non plusde simple déclaration.

Les données enregistrées dans le cadre de la télémédecine sont sensibles, car en relation avec la santé des personnes,externalisées parfois et surtout partagées.

Les demandes d’autorisation auprès de la CNIL dans le cadre d’un projet de télémédecine se fondent donc sur l’article25-I 1° de la loi Informatique et Libertés : traitement de données « sensibles » de l’article 8 justifié par l’intérêt public.

B.2. Formalité ARS (Agence Régionale de Santé)

L’activité de télémédecine et son organisation doivent faire l’objet :

• soit d’un programme national défini par arrêté des ministres chargés de la santé, des personnes âgées, despersonnes handicapées et de l’assurance maladie (il n’en n’existe pas à ce jour) ;

• soit d’une inscription dans l’un des contrats pluriannuels d’objectifs et de moyens (CPOM) ou l’un des contratsayant pour objet d’améliorer la qualité et la coordination des soins, qui doit être conclu entre l’Agence Régionalede Santé (ARS) et les établissements de santé ou encore les organismes concourant aux soins (...) ;

• soit d’un contrat particulier signé entre le directeur général de l’ARS et le professionnel de santé libéral ou toutorganisme concourant à cette activité.

B.3. Objectif(s) poursuivi(s) [Finalité(s)]

Pour la France, le décret télémédecine n°2010-1229 du 19 octobre 2010 délimite et encadre les cinq actes de télémé-decine que sont :

• la téléconsultation ;

• la téléexpertise ;

• la télésurveillance médicale ;

• la téléassistance médicale ;

• la téléassistance de régulation (comme pour le centre 15).

Quelques exemples de finalités pour les traitements de télémédecine :

• améliorer la prise en charge des patients par une aide au diagnostic à distance sur la base d’un télédos-sier (téléexpertise) ;

• éviter les transferts non justifiés de patients, mesurer le degré d’urgence d’un transfert, mieux préparer l’accueildes patients transférés (téléexpertise, téléconsultation) ;

• permettre d’accélérer la prise en charge ou d’augmenter le nombre de patients gérés par l’utilisation de la télé-radiologie et de la téléimagerie (téléexpertise) ;

• suivre des patients sous anticoagulant (télésurveillance pouvant aboutir à une téléconsultation) ;

• aider les urgences orthopédiques en accélérant la prise en charge et l’orientation (téléconsultation, téléexper-tise, téléassistance) ;

• suivre des patients diabétiques (télésurveillance pouvant aboutir à une téléconsultation) ;22Cette fiche a été rédigée par le groupe constitué par : NICOLAS SAMARCQ ; PATRICK NICOLAZO ; FRÉDÉRIC VARNIEU ; DAPHNÉ JAYET ;

LATIFA BOUYAKOUB ; DAVID BLANDEAU ; ESTELLE FRANCESCHI.

AFCDP QS - Synthèse - Page 27 / 34

Page 28: Quantified Self connecté et Informatique & Libertés

• prendre en charge, en urgence, des accidents vasculaire cérébral (ou présomption) des résidents d’une maisonde retraite, accompagnés de leur gérontologue, qui téléconsultent un spécialiste à l’hôpital (cardiologue, der-matologue. . .), sans avoir à se déplacer (téléconsultation), ou le gérontologue en l’absence du patient sollicitel’éclairage d’un spécialiste (téléexpertise) ;

• réaliser des RCP (réunions de concertation pluridisciplinaire) en cancérologie par exemple par, planification desréunions, vidéoconférence éventuelle, diffusion du compte-rendu (téléexpertise) ;

• créer des télédossiers de cardiologie sur un certains bassin géographique (téléexpertise, téléconsultation) ;

• . . .

B.4. Données traitées en règle générale

Au niveau des patients :

• Identité ;

• NIR (pour calculer l’INS-C) / INS-C (si enregistrement avec la carte vitale) ;

• Historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectuéset tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le professionnelde santé. Les données exigées à l’article R. 6316-4 du code de la santé publique :

– compte rendu de la réalisation de l’acte ;

– actes et prescriptions médicamenteuses effectués ;

– identité des professionnels de santé participants à l’acte ;

– date et heure de l’acte ;

– le cas échéant, les incidents techniques survenus au cours de l’acte.

Au niveau des professionnels de santé :

• identité ;

• numéro RPPS (si connexion avec une carte CPS) ;

• agenda partagé des disponibilités ;

• données de connexion aux télédossiers.

B.5. Destinataires / personnes habilitées

• Professionnels de santé et secrétaires médicales (équipes de télémédecine) ;

• Médecin DIM en établissement de santé ;

• Administrateur(s) techniques de la plateforme de télémédecine (et/ou système d’information en établissementde santé et médico-social).

B.6. Remarques

• Les actes de télémédecine et l’éventuel hébergement des données sont réalisés avec le consentement libre etéclairé de la personne ;

• Les professionnels participant à un acte de télémédecine peuvent, sauf opposition de la personne dûment infor-mée, échanger des informations relatives à cette personne, notamment par le biais des technologies de l’infor-mation et de la communication.

AFCDP QS - Synthèse - Page 28 / 34

Page 29: Quantified Self connecté et Informatique & Libertés

B.7. Conseils

• Mettre en place des mesures techniques et organisationnelles qui garantissent :

– l’information et le consentement du patient (exemple : lettre remise au patient) ;

– l’intégrité des données ;

– la traçabilité des accès et des actions (authentification des utilisateurs, horodatage, nature/actions effec-tuées sur les données et documents) ;

– l’auditabilité des traces afin de détecter des comportements déviants ou anormaux ;

• Entreposer les données de santé chez un hébergeur agréé données de santé si celles-ci sont partagées entredifférentes structures juridiques, sauf lorsque le responsable du traitement des actes de télémédecine hébergeles informations pour un partage temporaire (le temps de la réalisation de l’acte de télémédecine).

B.8. Conditions de mise en œuvre selon le Décret n°2010-12291 du 19 octobre 2010

La télémédecine, comme toutes les actions médicale, doit respecter les principes de droit de l’exercice médical et dudroit des patients, des règles de compétences et de coopérations entre professionnels de santé, du financement desstructures et professionnels de santé et des structures médico-sociales, et des échanges informatisés de données desanté.

B.9. Rappel juridique - CSP (Code de la santé publique)

Définition de la télémédecine (article r. 6316-1 du csp)

Relèvent de la télémédecine définie à l’article L. 6316-1 les actes médicaux, réalisés à distance, au moyen d’undispositif utilisant les technologies de l’information et de la communication. Constituent des actes de téléméde-cine :

1. La téléconsultation, qui a pour objet de permettre à un professionnel médical de donner une consultation àdistance à un patient. Un professionnel de santé peut être présent auprès du patient et, le cas échéant, assisterle professionnel médical au cours de la téléconsultation. Les psychologues mentionnés à l’article 44 de la loi n°85-772 du 25 juillet 1985 portant diverses dispositions d’ordre social peuvent également être présents auprès dupatient ;

2. La téléexpertise, qui a pour objet de permettre à un professionnel médical de solliciter à distance l’avis d’un oude plusieurs professionnels médicaux en raison de leurs formations ou de leurs compétences particulières, surla base des informations médicales liées à la prise en charge d’un patient ;

3. La télésurveillance médicale, qui a pour objet de permettre à un professionnel médical d’interpréter à distanceles données nécessaires au suivi médical d’un patient et, le cas échéant, de prendre des décisions relatives àla prise en charge de ce patient. L’enregistrement et la transmission des données peuvent être automatisés ouréalisés par le patient lui-même ou par un professionnel de santé ;

4. La téléassistance médicale, qui a pour objet de permettre à un professionnel médical d’assister à distance unautre professionnel de santé au cours de la réalisation d’un acte ;

5. La réponse médicale qui est apportée dans le cadre de la régulation médicale mentionnée à l’article L. 6311-2et au troisième alinéa de l’article L. 6314-1.

AFCDP QS - Synthèse - Page 29 / 34

Page 30: Quantified Self connecté et Informatique & Libertés

C. Données brutes

Les « données brutes » ou « raw data », en anglais, peuvent être définies comme des données directement issuesd’un appareil de mesure. Ces données peuvent être, par exemple, obtenues à partir des mouvements captés par unaccéléromètre.

Comme le souligne le G29, ces données sont au coeur du Quantified Self :

« Apparently insignificant data originally collected through a device (e.g. the accelerometer and thegyroscope of a smartphone) can then be used to infer other information with a totally different meaning(e.g. the individual’s driving habits). This possibility to derive inferences from such “raw” information mustbe combined with the classical risks analysed in relation to sensor fusion, a phenomenon which iswell-known in computer science. »

Ainsi, chaque appareil va mesurer son environnement. Ces mesures vont produire ces données « brutes » qui devrontensuite faire l’objet d’un traitement plus ou moins complexe pour obtenir des données lisibles et compréhensibles quipourront être considérées ou pas comme des données à caractère personnelles. C’est données vont constituer des« métriques mesurables ».

Il convient toutefois de bien comprendre ce qu’est vraiment une « donnée brute ». En effet, c’est notamment la précisiond’un capteur qui va en déterminer la qualité et la finesse. Par exemple, une mesure réalisée à une fréquence de10Hz pourra être considérée comme un agrégat ou un échantillonage d’un signal obtenu à une fréquence supérieure(250Hz). Ce choix est fondamental car il détermine d’une part le « poids » de la donnée en terme de stockage et detransmission et d’autre part, la « finesse » de la mesure et donc la capacité ou non à identifier variations de petitesamplitudes.

Nature des données brutes

En elle-même, une « donnée brute » n’est pas une donnée directement lisible, c’est une donnée binaire. Un parallèlepeut, par exemple, être réalisé avec le code « code-machine » en informatique. Toutefois, alors que ce dernier permetà la machine de réaliser une action, la donnée brute est un code qui permet de mesurer une action ; l’action étantun préalable. Il en découle un mouvement ascendant de la donnée permettant, au moyen de traitements adaptés de« créer » une donnée lisible et susceptible de fournir une information exploitable.

Ainsi, les produits de QS vont, en général, mesurer un mouvement, et produire une série de données brutes. Celles-civont ensuite être analysées et comparées à des valeurs de références ou « constantes utiles ». Le traitement (donnéesbrutes + constantes utiles) va permettre de déterminer des « métriques mesurables ».

Ces constantes utiles sont des données, de quelque nature, permettant de réaliser une analyse des données bruteset de leur donner du sens. Ces constantes utiles peuvent être analysées comme des « clef » des données brutes. Il endécoule un lien intrinsèque entre leur nature et le statut de la informations obtenues à partir du traitement des donnéesbrutes.

Ainsi un traitement de données brutes peut être considéré selon deux critères :

• La réalisation d’une métrique mesurable sans traitement entre constantes utiles et données brutes : c’est notam-ment le cas du nombre de « pas », qui est « juste » le résultat d’une interprétation d’une donnée au moyen d’unalgorithme interne.

• La réalisation d’une métrique mesurable au moyen d’un traitement entre constantes utiles et données brutes :c’est notamment le cas lorsque le nombre de pas est utilisé en combinaison du poids, de l’âge et de la taille del’utilisateur afin de déterminer une distance parcourue ou le nombre de calories brûlées.

Dans les deux cas de figure, il n’est, à ce stade du traitement, pas utile de faire usage de données directementidentifiantes afin d’obtenir des « métriques mesurables ». Ainsi, le fabriquant de produits du QS peut faire le choixde limiter les données qu’il intègre au produit afin de ne pas permettre l’identification de l’utilisateur au travers desdonnées présentes dans le produit. Ce choix réduisant de facto les conséquences et risques attachés à une perte deproduit : les données présentes sur le produit ne permettent pas l’identification de l’utilisateur.

AFCDP QS - Synthèse - Page 30 / 34

Page 31: Quantified Self connecté et Informatique & Libertés

Conclusion

Une donnée brute ne peut être considérée comme une donnée à caractère personnelle qu’à partir du moment ou elleest couplée avec des « constantes utiles » permettant l’identification (directe ou indirecte) d’un utilisateur.

AFCDP QS - Synthèse - Page 31 / 34

Page 32: Quantified Self connecté et Informatique & Libertés

D. Bibliographie non-exhaustive

D.1. Livres blancs, verts, . . . e-santé

• Fondation de l’avenir, État des lieux de l’innovation en santé numérique, Mars 2015,en ligne, http://www.fondationdelavenir.org/documents/2015_etat_lieux_sante_numerique.pdf

• CNOM23, Livre blanc santé connectée, Janvier 2015,en ligne, http://www.conseil-national.medecin.fr/sites/default/files/medecins-sante-connectee.pdf

• Withings, Livre blanc de la santé connectée, Septembre 2014,en ligne, http://www2.withings.com/fr/fr/health-institute/download/white-paper-on-connected-health-by-withings

• CNIL, Cahier IP N°02 : Le corps, nouvel objet connecté, Mai 2014,en ligne, http://www.automesure.com/library/pdf/CNIL_CAHIERS_IP2_WEB2.pdf

• Commission Européenne, Livre vert sur la santé mobile, Avril 2014,en ligne, http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=5187Document préparatoire (en anglais), en ligne, http://ec.europa.eu/information_society/.../5146

• CATEL, Préconisations e-santé 2014, Mars 2014,en ligne, http://www.catel.pro/documents/LivreBlanc/livre-blanc-version-completeV2.pdf

• APSSIS24, Vade-mecum des objets connectés, Mars 2014,en ligne, http://www.automesure.com/library/pdf/VM-Objets-Connectes.pdf

• . . .

D.2. Groupe de l’Article 29

• Opinion 8/2014 on the Recent Developments on the Internet of Things (en anglais), Septembre 2014,en ligne, http://ec.europa.eu/justice/data-protection/article-29/documentation/.../wp223_en.pdf

• Avis 02/2013 sur les applications destinées aux dispositif s intelligents, Février 2013,en ligne, http://ec.europa.eu/justice/data-protection/.../2013/wp202_fr.pdf

D.3. Quantified Self, données de santé

• « TIC et données de santé : pour un cadre juridique en phase avec les évolutions technologiques et les besoinsdu système de santé », JEANNE BOSSI et FLORENCE EON, in Correspondant informatique et libertés bien plusqu’un métier, AFCDP, Mars 2015

• Expertises des systèmes d’information, N°401, BENOÎT LOUVET, Données de santé réflexions à propos du Quan-tified Self, Avril 2015

• La semaine juridique, N°23, CAROLINE LAVERDET, Les enjeux juridiques de l’Internet des objets, Juin 2014,en ligne, http://web.lexisnexis.fr/newsletters/avocats/09_2014/pdf11.pdf

• 20Minutes.fr, L’avenir de la santé est dans le Quantified Self, Janvier 2014,en ligne, http://www.20minutes.fr/magazine/secoacher/donnees-objets/steve-dean...

• Les Clefs de demain, LeMonde.fr, Le Quantified Self séduit les professionnels de la santé, Décembre 2013,en ligne, http://lesclesdedemain.lemonde.fr/sante/le-quantified-self...

• Club Digital Santé, Quantified Self et santé, une révolution en marche ?, Octobre 2013,en ligne, http://club-digital-sante.fr/2013/10/17/quantified-self...

23Conseil National de l’Ordre des Médecins24Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé

AFCDP QS - Synthèse - Page 32 / 34

Page 33: Quantified Self connecté et Informatique & Libertés

• Hopital.fr, « Quantified self », la e-santé de demain ?, Octobre 2013,en ligne http://www.hopital.fr/Hopitaux/Actualites/Actualites-medicales/Quantified-self...

• LesEchos.fr, Quantified Self et Big data – Santé 3.0 : sommes-nous prêts ?, Octobre 2013,en ligne, http://lecercle.lesechos.fr/economie-societe/social/sante/221182007/quantified-self...

• InternetActu Blog LeMonde, Puissances et limites de la mise en chiffres de soi, Septembre 2013,en ligne http://internetactu.blog.lemonde.fr/2013/09/06/puissance-et-limites...

• Asip Santé, Quantified self, la e-santé de demain ?, Le Mag, n°9 Septembre 2013en ligne, http://esante.gouv.fr/the-mag-issue-9/quantified-self-la-e-sante-de-demain

• CNIL, Lettre innovation et prospective, n°5 Juillet 2013http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/LettreIP_5.pdf

• SanteConnecte.fr, Quelques questions à un spécialiste français du Quantified Self, Mai 2013,en ligne, http://www.santeconnectee.fr/blog/2013/05/15/quelques-questions...

• CNIL, Quantified Self : comment mieux se connaître grâce à ses données, Novembre 2012,en ligne, http://www.cnil.fr/linstitution/actualite/article/article/quantified-self...

• InternetActu, Quantified Self (1/3) : Mettre l’informatique au service du corps, Décembre 2011,en ligne http://www.internetactu.net/2011/12/01/quantified-self-13...

• InternetActu, Quantified Self (2/3) : Des outils au service de soi, Décembre 2011,en ligne http://www.internetactu.net/2011/12/08/quantified-self-23...

• InternetActu, Quantified Self (3/3) : Les tabous de la mesure, Décembre 2011,en ligne http://www.internetactu.net/2011/12/15/quantified-self-33...

• . . .

D.4. Réseaux sociaux de santé

• hcsmeu.fr, Liste : http://hcsmeufr.wikispaces.com/Reseaux+sociaux...

• IntelligenceScientifiqueEtVeille, Réseaux sociaux de Santé, Septembre 2011en ligne, https://intelligencescientifique.wordpress.com/2011/09/21/reseaux-sociaux...

• CGIET, Les conditions de création de valeur des logiciels sociaux en santé et autonomie, mai 2011, Rapport,en ligne, http://www.cgeiet.economie.gouv.fr/Rapports/2010_45_CGIET...

AFCDP QS - Synthèse - Page 33 / 34

Page 34: Quantified Self connecté et Informatique & Libertés