Initier un projet Big data, c’est se poser la question de nouvelles données à collecter, stocker et manipuler pour de nouveaux usages. Autant de besoins qui font peser des risques sur les données concernées et la conformité vis- à-vis des lois de protection des données à caractère personnel.
Données personnelles : le cadre réglementaire
Un cadre légal existe déjà et repose sur la Loi informatique et libertés du 6 janvier 1978, plus particulièrement l’article 34 qui impose aux responsables de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».
Ce cadre est en évolution. Un projet de règlement européen sur la protection des données devrait aboutir fin 2015, remettant au goût du jour la Directive européenne 95 / 46 relative à la protection des données.
Ces textes sont complétés par des réflexions du G29, groupe de travail des CNIL européennes émettant des opinions sur l’approche par les risques (Article 29 Data Protection Working Party).
Les principes de collecte, transmission, hébergement et traitement des données personnelles doivent suivre des exigences de protection légale très strictes : recueillir le consentement explicite; informer sur la finalité ; collecter uniquement les données liées et nécessaires à cette finalité ; détruire les données une fois la finalité atteinte ; respecter les droits à l’accès, la rectification et la suppression de ces données ; sécuriser la collecte, le transfert, l’hébergement et le traitement des données ; effectuer le traitement de façon loyale et licite.
Ceci donne un cadre légal aux démarches Big data avec un processus d’amélioration continue qui requiert parfois plusieurs itérations pour parvenir à un dispositif de protection de la vie privée acceptable. Il exige en outre une surveillance des évolutions dans le temps et des mises à jour régulières.
Pour faciliter la mise en œuvre concrète de ce cadre juridique, la CNIL a publié le 2 juillet 2015 une méthode pour mener une étude d’impacts sur la vie privée (EIVP). L’objectif est d’aider les responsables de traitement dans leur démarche de conformité, de leur permettre de justifier les mesures choisies et de montrer que les solutions ne portent pas atteinte à la vie privée.
Cette méthode est complétée par un guide d’outillage et par un guide de bonnes pratiques. Cette démarche de conformité se déroule en 4 étapes : délimitation et description du contexte du traitement considéré et de ses enjeux ; identification des mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée de manière proportionnée ; appréciation des risques sur la vie privée pour vérifier qu’ils sont convenablement traités; décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de traiter les risques, ou bien de réviser les étapes précédentes.
L’accès aux données de Santé
L’article 47 du projet de loi de Santé de Marisol Touraine a été adopté par les députés le 11 septembre 2015. Il prévoit la création d’un système national des données de santé (SNDS), grande base de données médicales centralisées accessible au public, afin de faciliter l’accès aux données médicales issues des divers organismes du secteur.
Suivant l’avis favorable de la CNIL à la création d’un numéro d’identification unique, condition sine qua non de la création d’une plateforme numérique unique, le Numéro d’Inscription au Répertoire National (NIR), plus communément appelé numéro de sécurité sociale, deviendra l’identifiant unique de santé.
Pour protéger la vie privée des patients et le secret médical, qui reste la principale critique apportée par le Syndicat des Médecins Libéraux à cet article, de nombreuses garanties ont été apportées par le législateur :
- Open data : les données agrégées et anonymisées ne contenant « ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse » seront accessibles à tous, gratuitement et sans restriction. La réutilisation de ces données sera autorisée si elle n’a « ni pour objet, ni pour effet, d’identifier les personnes concernées ».
- Données personnelles : les données rendant l’identification possible seront détenues par une structure distincte et ne pourront être utilisées que sur autorisation de la CNIL et de l’Institut National des Données de Santé (INDS) à des fins de recherche ou d’étude pour l’accomplissement de missions poursuivant un motif d’intérêt public uniquement. L’article 47 interdit expressément l’utilisation de ces données à des fins commerciales ou d’évolution des primes et contrats d’assurance.
En leur permettant d’analyser une population donnée, le Big data dans le domaine de la Santé permettrait aux médecins d’améliorer leurs pratiques de prévention et de soin en matière de maladies chroniques, ainsi que leur connaissance de maladies rares et / ou orphelines. Cependant, selon un sondage Odexa paru le 19 janvier 2015, un médecin sur deux considère que l’utilisation de la santé connectée menace le secret médical et 1/4 à 1/3 d’entre eux qu’elle porte atteinte à la liberté des patients. En effet, à l’heure actuelle, la donnée de santé est qualifiée de « sensible » par la loi « Informatique et libertés » et est par conséquent très protégée. Mais, bien qu’un projet de règlement européen prenant position sur le sujet soit en cours de rédaction, les données de santé et les données de bien-être ne sont toujours pas juridiquement différenciables. Or, si l’on prend l’exemple du « quantified self », les agissements de l’utilisateur sont enregistrés et peuvent être utilisés. Cette limite doit donc être clarifiée pour lever les réticences des médecins.
Un contrat de confiance pour anticiper les craintes
Citoyens et autorités de régulation des données à caractère personnel expriment des craintes régulièrement relayées par les médias. Maîtriser les risques autour du Big data revient à anticiper ces craintes en communiquant : sur les usages envisagés, la proposition de valeur au regard de ce partage de données, les compétences des équipes en charge des technologies concernées et les mesures de sécurité permettant de garantir la protection des données manipulées.
Il faut donner à l’assuré la maîtrise de ses données personnelles, l’informer sur celles qui seront collectées et l’usage qui en sera fait. Il convient ensuite de lui laisser la possibilité d’arbitrer en permanence sur le partage de celles-ci. Les informations demandées doivent être nécessaires à la réalisation de la finalité. L’objet est d’obtenir un consentement, puis détruire les données brutes pour ne conserver que la finalité. Il est également envisageable de se limiter aux données anonymisées qui s’avèrent suffisantes dans de nombreux cas. Enfin, un rapport de proportionnalité est impératif : le service proposé grâce à ces données partagées doit être à la hauteur du niveau d’intrusion ressenti.
Ce contrat de confiance pourrait être « géré » via l’espace client / adhérent, donnant à ce dernier la possibilité d’exprimer explicitement son accord ou désaccord avec un historique des décisions.
Tout cela permettra de gagner la confiance du client, de mieux le connaître et de passer du diagnostic à une position prescriptive.
La transparence sur les données utilisées ne fera pas entrave aux secrets de fabrication qui se logent de manière plus structurante sur les algorithmes et sur le volume de données manipulées