Si les nouveaux objets médicaux connectés sont porteurs de progrès considérables en matière de prévention et de soin, on peut toutefois se demander ce que deviennent toutes ces données très personnelles et qui y a en réalité accès.
Le Défibrillateur Automatique Implantable : un objet connecté à surveiller
En France plus de 6 000 patients sont équipés chaque année d’un Défibrillateur Automatique Implantable ou DAI(1). Ce dispositif médical, mis au point en 1970 par le médecin israélien Michel Mirowski, est implanté sous la clavicule et relié au coeur par des électrodes (fils gainés). Il permet de détecter les problèmes de rythme cardiaque et de donner un choc électrique plus ou moins puissant selon l’alerte, afin de rétablir un rythme normal.
D’après plusieurs études, cet objet permettrait la réduction de moitié du risque de mortalité des insuffisants cardiaques à hauts risques par rapport aux patients qui ne suivent qu’un traitement médicamenteux. Un avantage indéniable dont il serait dommage de se priver.
La télésurveillance et l’utilisation des données
Mais cet objet présente une autre possibilité plus problématique : celle de la télésurveillance et de l’utilisation des données. Le rythme cardiaque est surveillé en continu et les résultats sont mémorisés et transmis vers un serveur, à échéance fixe ou à la détection d’un événement. Ceux-ci sont ensuite rendus accessibles en ligne aux « utilisateurs autorisés ».
En France, les données de santé sont très protégées et ne peuvent être utilisées à d’autres fins que ce pour quoi elles ont été recueillies. Mais la tentation est trop grande face à cette quantité immense de données très précieuses et certains ne se privent pas de les détourner, même au mépris de la loi. « Les médecins violent la loi 100 % du temps » affirmait même Arnaud Rosier, fondateur d’Implicity, startup spécialisée dans le suivi à distance des défibrillateurs(2).
Pour lui, les médecins utilisent très souvent ces données confidentielles à des fins de recherche, en violation de la loi française et des recommandations de la CNIL (Commission Nationale de l’Informatique et des Libertés). S’il est possible d’utiliser les données de télémédecine à des fins de recherche, celles-ci doivent d’abord être anonymisées et la CNIL doit donner son autorisation.
Le marché noir des données médicales
Cependant, ce n’est pas du côté des médecins que la plus grande crainte est à avoir mais bien plutôt des failles industrielles qui menacent réellement la confidentialité des données. En 2016 la Food and Drug Administration (FDA) américaine alertait déjà sur la vulnérabilité à des cyberattaques de certains systèmes de télécardiologie(3). Mais ceux qui convoitent le plus ces données sont les industriels eux-mêmes.
Un agrément indispensable dont certains industriels se passent
En effet, le marketing ou la revente à des tiers est un moyen de monétiser des données de télécardiologie. En France, en guise de garde-fou, un agrément technique est indispensable pour pouvoir distribuer des dispositifs médicaux manipulant des données de santé à caractère personnel : il faut ainsi être agréé « Hébergeurs de données de santé », et faire la démonstration auprès de l’ASIP Santé que la réglementation française en matière de protection des données personnelles est respectée.
Mais le sujet est complexe et les enjeux (financiers) considérables. Et le gardien du dogme en la matière, la CNIL, n’a manifestement pas le temps de faire toutes les vérifications nécessaires. Du coup, certains industriels se passent de l’agrément en question et parviennent néanmoins à se faire inscrire sur la liste des produits remboursés par la sécu par la Haute Autorité de Santé (HAS), faisant valoir l’intérêt du patient et le service médical rendu.
Nos données personnelles sont-elles bien protégées ?
Dans un contexte de pression gouvernementale en faveur de la télémédecine, les autorités en charge des diverses autorisations, CNIL en tête, ne sont donc pas trop regardantes sur l’utilisation finale de données personnelles laissées en accès libre aux industriels.
Sauf que le rythme cardiaque en dit beaucoup sur nous : notre activité, notre espérance de vie et même nos émotions. La vie de notre organe le plus intime et le plus précieux a déjà intégré le Big Data, nouvel or noir des grandes entreprises du numérique.
Véritable carburant de l’industrie de la publicité, les données personnelles sont bel et bien une nouvelle matière première qui génère un chiffre d’affaires en croissance exponentielle. En 2016, le marché du Big Data générait un chiffre d’affaire global de 130 milliards de dollars et selon l‘International Data Corporation, entreprise américaine de recherche en marketing et télécommunication, ce chiffre passera à 203 milliards en 2020(4).
Pour la Fédération Léo Lagrange, association de défense des consommateurs dont le président est le député LREM Yves Blein, « il faut bien admettre que le consommateur ne maîtrise pas la dissémination des données, en est rarement conscient, l’aspect « nouvelle technologie » et l’attrait du nouveau risquent de lui faire oublier l’autre côté du miroir : le non-respect de sa vie privée »(5).
Le progrès en termes de santé publique de ces nouveaux dispositifs de télémédecine est indiscutable, cependant nous sommes en droit de nous demander si la législation qui les protège est bien toujours appliquée. Nos données médicales personnelles valent beaucoup d’argent pour ceux qui savent les utiliser.
Prises en otage par la volonté politique d’accompagnement des entreprises et d’encouragement de la télémédecine, les autorités compétentes comme la CNIL et sa présidente Isabelle Falque-Pierrotin semblent relativement désarmées pour les protéger de la convoitise des grands groupes. Pour éviter que le Big Brother d’Orwell ne prenne le contrôle de nos vies et de nos données, il est temps que la CNIL réagisse et s’empare réellement de ces sujets.
Illustration bannière : Que deviennent les données transmises aux objets médicaux connectés ? – © HQuality
- http://www.jle.com/download/mca-274796-complications_du_defibrillateur_automatique_implantable–WrJtzX8AAQEAAEE5XHQAAAAA-a.pdf
- http://www.larevuedudigital.com/donnees-de-sante-et-recherche-les-medecins-violent-la-loi-100-du-temps/
- https://www.ticpharma.com/story.php?story=241
- https://www.journaldunet.com/solutions/expert/67484/l-or-noir-du-numerique–le-big-data-nous-livre-ses-secrets.shtml
- http://www.leolagrange-conso.org/la-sante-connectee/