Dans le cadre de ses travaux d’innovation et de prospective, la CNIL s’est penchée sur les enjeux éthiques et de protection des données que soulèvent les nouvelles pratiques et les nouveaux services liés au corps, au bien-être et à la santé.
Nous voyons émerger de nouveaux usages dans la société avec la démocratisation des objets capteurs et capteurs connectés. Or en France les données de santé sont une catégorie de données particulières, considérées comme sensibles, qui ne peuvent pas être traitées de la même manière que les autres. Elles ne peuvent être collectées qu’avec le consentement des individus, et doivent faire l’objet d’une sécurisation renforcée en particulier lorsqu’elles sont utilisées dans un contexte médical… Cela nous a conduit à réfléchir à la nature réelle des données issues de ces capteurs. Doivent-elles être soumises à la même réglementation que les données traditionnelles de santé ?  Le nombre de pas, cycles du sommeil, rythme cardiaque, repas, calories dépensées ne sont pas nécessairement à proprement parler des données médicales, mais sont en revanche des indicateurs de l’activité et des comportements de l’utilisateur. Ces capteurs que l’on porte sur soi ou qui sont présents dans notre environnement en disent long sur le mode de vie d’une personne et peuvent éventuellement permettre d’inférer sur son état de santé actuel ou futur.

Certaines entreprises d’assurance utilisent-elles ces données ? Qu’en font-elles ?

Le rôle des assureurs et des mutuelles dans cet écosystème est particulièrement intéressant à observer. Ils ont en effet un intérêt direct à « subventionner » ces services et outils car ils doivent normalement permettre d’améliorer les comportements individuels des assurés. L’intérêt des assureurs peut être perçu comme légitime et plusieurs exemples dans le monde montrent leur engagement dans ce domaine : ainsi en France, Axa a annoncé en 2014 un partenariat avec Withings visant à récompenser certains assurés utilisant le podomètre connecté de la marque. Axa offrait le capteur en contrepartie de données sur l’activité de l’utilisateur, en l’occurrence son nombre de pas, qui était ensuite utilisé par l’assurance pour récompenser les personnes atteignant un certain seuil. Axa n’avait pas d’accès direct (en temps réel) aux données qui restaient la propriété de Withings. L’usage des données ainsi collectées par les assureurs n’est pas sans poser de questions. Voir l’article : Assisted reproductive technology : a brief history. Il s’agit d’une nouvelle logique de « usage-based insurance », dans le prolongement du « Pay as you drive » (payez selon votre conduite) qui permet à l’assuré de payer en fonction des kilomètres parcourus et dans une certaine mesure de son comportement de conduite. Pour le quantified self, on pourrait donc parler de « pay as you walk » que l’on pourrait décliner sur d’autres indicateurs comme le poids ou le sommeil par exemple. Certains acteurs comme Apple (via Healthkit) ou Samsung (via SAMI) ont des stratégies de plateforme et agrègent tellement de données qu’ils peuvent avoir une vue d’ensemble sur nos vies. Il y a donc une question éthique qui se pose : celle d’un risque de discrimination des utilisateurs sur la base de leur « bon » ou « mauvais » comportement ou de l’analyse algorithmique de données en apparence anodines collectées dans le cadre de l’internet des objets. De manière prosaïque, à l’ère du big data aucune donnée n’est réellement anodine, un monde dirigé par les données porte donc en lui un véritable choix de société.

En Europe nous n’en sommes qu’aux prémices, mais qu’en est-il outre-Atlantique où la pratique est plus répandue ?

Aux États-Unis, c’est une nouvelle fois le monde des mutuelles et des assurances qui est particulièrement actif au travers des programmes de « corporate wellness ». Si un employeur est en capacité de démontrer que ses employés sont en moyenne plutôt actifs, il a alors un élément pour mieux négocier son contrat. L’idée est donc moins d’enregistrer des données sur une personne précise, que de monter que ses employés bougent. Yahoo ! a par exemple équipé ses 11 000 salariés de bracelets connectés. Lire aussi : L’agriculture 2.0. C’est un contexte culturellement différent car la loi est plus ouverte concernant l’usage des données. On peut les échanger contre des tarifs avantageux. En Europe, on porterait une attention particulière sur la qualité du consentement des employés, qui peut poser question lorsqu’il intervient dans une relation de subordination employeur-employé. Un employé serait-il véritablement en position de pouvoir refuser un équipement de ce type ?

Peut-on imaginer que les entreprises européennes tendent demain vers ce modèle ?

Si l’on regarde en France, sur 100 euros dépensés en matière de santé, 97 euros sont utilisés de manière curative, et seulement 3 euros pour la prévention. Il est donc certain que les outils de prévention vont se développer, de manière opportuniste ou non. Cela représente un intérêt évident pour les acteurs publics et privés. Une fois équipés, les individus vont être incités à prendre soin de leur santé. Mais un système proche du système américain me semble encore lointain. On sait que les gens qui ont intérêt à partager leurs données sont ceux qui estiment être plus performants que la moyenne et qu’ils pourraient obtenir des avantages pour cette raison. Le risque, c’est que cela crée une pression sur les individus qui refusent de partager leurs données, qui seraient considérés comme suspects, comme s’ils avaient quelque chose à cacher alors même qu’ils voudraient simplement protéger leur intimité. Reste aussi la question de savoir si les individus savent réellement à quoi ils s’engagent. On a souvent tendance à sur-valoriser les avantages et gains immédiats (réductions, cadeaux,…) et à ne pas anticiper les effets potentiellement négatifs à long terme. Ils pourraient se rendre compte que c’est une boîte de Pandore qu’ils ont ouverte quand 10 ans plus tard, ils ne pourront plus courir aussi vite et se bouger autant. C’est pour cette raison que la qualité du consentement est cruciale. La manière dont il est recueilli est donc essentielle et nous militons pour qu’il soit plus clair, notamment par le design du service. On recommande par exemple aux services en ligne de proposer un tableau de bord du parcours de leurs données aux utilisateurs afin qu’ils aient une vue d’ensemble et qu’ils puissent voir où partent leurs données et agir dessus. Placer l’utilisateur en situation de contrôle de ses propres données est aujourd’hui une priorité !

Par Camille Gicquel