La CNIL fait jaser à l’étranger

La CNIL ne s’attendait pas forcément à défrayer la chronique à l’étranger, mais l’instance de protection de la vie privée et des données des citoyens français s'est récemment fait critiquer par un site participatif anglo-saxon (*).

Deux raisons à cela, pourtant a priori opposées : son rigorisme à l’encontre de certaines entreprises étrangères, habituées à des législations plus souples en matière de gestion des données, et son relatif laxisme vis-à-vis d’autres acteurs économiques, particulièrement dans le domaine de la santé.

Peu de choses en apparence à côté de l’affaire Cambridge Analytica/Facebook. Mais ces affaires ont récemment illustré une problématique de plus en plus prégnante pour nos sociétés hyper connectées : l’information et l’accès à l’information sont bien le pétrole du XXIe siècle : Big data, médias, entreprises, recherches académiques… tout le monde veut ces fameuses données qui disent bien mieux qui nous sommes que tout ce dont un publicitaire ou un commercial pouvait rêver il y a encore quelques décennies.

Et le domaine de la santé n’échappe pas à la règle : assurances, retraites, soins… dans un contexte de vieillissement de la population dans les pays développés, les enjeux financiers liés aux données de santé sont tout simplement vertigineux, particulièrement dans un contexte de percée des objets de santé dits connectés : reliés au corps humain ou même implantés directement sous la peau, ces objets transmettent des informations de suivi et d’alerte à votre médecin. Or, ces informations valent leur pesant d’or, mais elles sont strictement confidentielles au regard de la loi française, et protégées par le secret médical. Et en la matière, la législation française sur la protection des données personnelles et individuelles est l’une des plus strictes au monde.

C’est d’ailleurs sur ce premier point que la CNIL se fait interpeller. L’une des critiques portées au gendarme de la protection des données est somme toute assez habituelle, particulièrement de la part de pays anglo-saxons, très orientés "pro-business" : la France est un pays de règlements rigoristes et pointilleux, qui nuisent à la bonne marche des affaires (surtout celles des entreprises anglo-saxonnes…). Sur la question de la protection des données, la CNIL fait donc figure d’épouvantail. En effet, s’il reste possible d’utiliser à des fins commerciales des données de santé, comme celles par exemple de porteurs de pacemakers ou de défibrillateurs connectés, cela ne peut se faire qu’à plusieurs conditions strictes, incluant le chiffrement des données et leur anonymisation le plus en aval possible sur la chaîne de transmission. Considérées de l’autre côté de la Manche ou de l’Atlantique, ces contraintes, pour louables que soient les intentions, sont surtout vues comme un coût supplémentaire en R&D et en technologies de protection des données. Surtout, les industriels de produits de santé n’apprécient guère qu’on limite leur accès à des données représentant un véritable pactole à la revente.

C’est sur ce second point que la CNIL se fait également étriller, selon la même logique qui veut que, par exemple, les limitations légales sur l’achat d’armes à feu n’aient jamais empêché les gangsters de s’en procurer. Pour résumer, la CNIL ne serait de toute façon d’aucune efficacité avec ceux qui ont décidé de ne pas jouer le jeu : elle ne serait répressive qu’avec ceux qui respectent la loi. Sont clairement mises en cause les capacités de contrôle et de sanction de la CNIL, vis-à-vis d’industriels de produits de santé pour certains peu enclins à respecter la loi. Le second grief à l’encontre de la CNIL est donc plus inattendu, et risque de faire tomber de sa chaise Alexandre Linden, responsable du département santé (assurances maladie/recherche/e-santé) au sein de la CNIL : certains industriels passeraient ainsi outre leurs obligations légales en matière de protection des données de santé, en toute conscience.

Deux motifs les pousseraient à agir en ce sens : nécessités industrielles et absence de responsabilité. Dans le premier cas, les industriels concernés invoquent les nécessités d’amélioration des produits et les impératifs de la recherche, pour justifier la conservation d’un accès à des données non anonymisées. Dans le second cas, nettement moins assumé publiquement, les industriels profitent des "opportunités" de la législation française : la protection des données médicales relève principalement de la responsabilité des médecins en France. En clair, tout en se donnant bonne conscience derrière le paravent des nécessités de la recherche, certains industriels de la santé connectés comptent bien, en cas de problème, se dédouaner sur le dos des médecins français, premiers responsables de la protection des données des patients en droit français.

Et le risque qu’un problème survienne est réel. En matière de santé connectée, un certain nombre de produits présentent encore d’importantes failles de sécurité. Qu’il s’agisse d’une pompe à insuline automatique ou d’un défibrillateur automatique implanté (DAI), les données renvoyées au médecin-traitant pour le suivi transitent, dans la majorité des cas, par les serveurs de l’industriel concerné. Problème : ces données ne sont pas toujours anonymisées ou chiffrées à cette étape. Elles sont donc récupérables et utilisables non seulement par l’industriel, qui propose bien souvent ses services pour le traitement des données, mais également par des tiers encore moins bien intentionnés : l .

Alors que la télémédecine commence enfin à prendre son essor, il ne faudrait pas que les espérances qu’elle suscite soient douchées par des problèmes de vols de données, ou de piratages des systèmes implantés. Toute technologie nouvelle a forcément ses détracteurs, mais l’inaction de la CNIL sur ce dossier serait de nature à leur donner de très solides arguments pour freiner le progrès et les avancées médicales considérables que la télémédecine représente.

(*) ‘The CNIL, a symbol of France’s arrogance and toothlessness’, News Participation, 06/04/2018