Des données sensibles car... difficiles à cerner

Lorsqu’on collecte des données de santé, elles sont stockées chez des hébergeurs spécialisés qui savent comment les gérer. La législation autour de la communication de ces données est donc très stricte, mais elle est confrontée à des problèmes de définition. Au niveau Européen, il y a déjà eu des tentatives de définition mais c’est très large, d’où l’utilité de la CNIL qui étudie les demandes au cas par cas.

En somme, la limite entre donnée personnelle et donne de santé est fine en plus d’être floue. Par exemple, le poids ne définit pas l’état de santé à priori ! Si quelqu’un nous dit au téléphone qu’il fait 64kg, on ne saura pas lui dire s'il est en bonne santé ou non (il peut s’agir d’un enfant de 5 ans en obésité morbide ou bien d’un Apollon). Tandis que s’il dit faire 250 kg, on peut se faire une idée. Sans qu’il soit question de la nature de la donnée (dans les deux cas il s’agit du poids), la valeur de la donnée (64kg ou 250kg) peut la faire passer de donnée personnelle à donnée de santé. Il est possible, en combinant les données personnelles (taille, âge…) de faire une estimation de l’état de santé de quelqu’un.

Un autre critère pour déterminer si une donnée est une donnée de santé ou non, d’après l’expert de la CNIL, est l’exploitation de la donnée. Si le traitement conduit la donnée à être prise en charge par un personnel de santé, c’est une donnée de santé. Mais il existe une autre subtilité : si l’information provient d’un tensiomètre ludique, on ne la considèrera pas comme donnée de santé.

D’après l’expert de la CNIL que nous avons rencontré, pour que le traitement des données soit autorisé pour un assureur, les données de l’utilisateur doivent être traitées par un algorithme qui ne doit pas permettre de profiler l’utilisateur, ni son niveau de santé.

En somme les complémentaires santé ne bénéficieront pas du soutien des médecins pour ce qui est du partage de données. Seule solution : obtenir des adhérents leur consentement et la transmission par eux-mêmes de leurs données personnelles. Pour ne pas enfreindre la loi, Generali a créé une filiale indépendante - Generali Vitality GmbH -  basée en Allemagne et chargée de gérer les données récoltées auprès des salariés qui souscrivent au programme.

"Generali nous a assuré qu'il n'y aurait pas de remontée d'informations de la filiale vers l'assurance."

Sophie Nerbonne, directrice de la conformité à la Commission nationale de l’informatique et des libertés (CNIL). ^[0]

Ce qui nous amène à une deuxième grande question : Jusqu’où les assurés sont-ils prêts à aller ?

• Des réticences à partager ses données de peur d’être espionné →

Références :