La Commission nationale de l'informatique et des libertés (CNIL) vient de publier la cinquième lettre "Innovation et Prospective" (Lettre IP) qui met l'accent sur le quantified self ou l'auto-mesure de soi via des applications qui permettent notamment
- d'analyser des données concernant "la nutrition (régime alimentaire, compteur de
calories, suivi du poids), l'exercice physique, la surveillance d'un
facteur à risque et la qualité du sommeil" (Lettre IP, p. 2);
- de "surveiller à distance les patients hors des lieux de soins traditionnels" (Lettre IP, p. 2);
- "d'améliorer son niveau de bien-être en se fixant des objectifs où la dynamique communautaire en ligne est mobilisée comme une source de motivation (au travers du partage des données, des objectifs, des efforts ...)" (Lettre IP, p. 2)
étant entendu que "le dénominateur commun [de ces applications est] que ce qui est mesuré est relié au mode de vie" (Lettre IP, p. 2).
Dès lors, la CNIL précise qu'en ce qui concerne les applications visant le bien-être ou la santé,
" les enjeux en termes de protection des données sont différents selon que les initiatives proviennent de/ou sont encadrées par les acteurs "traditionnels" du monde de la santé [...] ou décidées par les individus eux-mêmes. Dans le premier cas, le déploiement de solutions ou dispositifs nouveaux est encadré et a vocation à s'insérer par exemple dans les procédures d'agrément existantes (des matériels médicaux, des hébergeurs de données de santé ...). Les domaines de vigilance concernent alors la sécurité, l'effectivité des droits des patients ...
Dans le deuxième cas de figure, plusieurs séries de questions se posent:
- Le statut des données: une caractéristique essentielle des pratiques de quantification est qu’elles produisent des données qui se situent sur une frontière floue entre le bien-être et la santé.
Or, les données de santé – traditionnellement considérées comme sensibles – font l’objet d'une réglementation renforcée. Quid des données de bien-être? Ces données sont aussi susceptibles de révéler la vie intime, y compris pour les moins sensibles d’entre elles a priori: elles peuvent par exemple renseigner sur les heures de lever et de coucher (suivi de sommeil), sur les lieux fréquentés (géolocalisation des activités sportives), voire estimer un risque cardio-vasculaire (données liées au poids).
- La centralisation de ces données: où sont-elles hébergées? Comment sont-elles sécurisées? Sont-elles cédées? Ces questions sont d’autant plus importantes que les utilisateurs peuvent avoir l’impression d’établir un rapport direct avec leurs données puisqu’ils en sont à l’origine. Or, la relation entre les utilisateurs et leurs données se fait par l'intermédiaire de l’entreprise qui produit le capteur ou édite l’application. Les données transitent d’abord par ses serveurs avant d’être visualisables et exploitables par l’utilisateur. Faut-il imaginer un nouveau cadre de régulation ?
- Enfin, des interrogations éthiques apparaissent quant au caractère normatif de la pratique de l’auto-mesure. Le quantified self pourrait-il demain s'imposer à chacun comme certaines pratiques d’assureurs américains semblent le présager? À l’avenir, va-t-il devenir suspect de ne pas s’auto-mesurer?"
(Source: Lettre IP, p. 3)
Comme le souligne la CNIL, "cette 5° lettre IP est l'occasion de dresser un premier état des lieux. D'autres publications suivront. Ces premiers travaux confirment que la quantification de soi semble bien correspondre à un mouvement citoyen de fond de contrôle de ses données mais qu'en ce domaine aussi, la donnée personnelle est au coeur de ces nouveaux modèles d'affaires" (Lettre IP, p. 1).
À suivre donc ...
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS,