La FTC (Federal Trade commission) se questionne sur la sécurité entourant les données personnelles sur la santé récoltées par les applications d’Apple et plus particulièrement la future AppleWatch.
La FTC demande à Apple des détails quant aux mesures prises pour éviter la communication des ces données à des tiers sans le consentement des utilisateurs. Les données récoltées seront stockées sur la plateforme HealthKit et le point 27.5 des lignes directrices de ce dernier stipule: “Apps that share user data acquired via the HealthKit API with third parties without user consent will be rejected”.
Du fait de l’émergence sur le marché de plusieurs applications et technlogies ayant un lien avec le domaine de la santé la FTC est préoccupé par la manière dont ces dispositifs et les compagnies derrière ceux-ci vont protéger les données recueillies pour que celles-ci ne se retrouvent pas aux mains de tiers.
Le 07 mai dernier, la FTC a organisé un séminaire sur les données personnelles sur la santé générées et contrôlées par les consommateurs. L’agence a découvert que les 12 applications de santé et de fitness inspectées avaient partagé leurs données avec 76 autres compagnies, dont des agences de publicité.
Et même si ces données sont généralement rendues anonymes avant leur communication, il n’est pas difficile de ré-identifier l’information personnelle en la combinant à d’autres.
Aux États-Unis c’est la « privacy rule » du Health Insurance Protability and Acountability Act (HIPAA) qui s’appliquerait. Cette règle réglmente l’utilisation et la divulgation des renseignements sur la santé protégés (« Protected Health Information », (PHI)) détenus par certaines entités citées par la loi (« covered entities »), par exemple les médecins ou les hôpitaux. Une application mobile serait soumise au HIPPA si elle est utilisée pour enregistrer et partager, des renseignements sur la santé de l’utilisateur, avec entité elle-même soumise à la Loi c’est-à-dire les professionnels de la santé et leurs partenaires.
Au Canada, la Cour suprême (R. c. DYMENT [1988] 2 R.C.S. 417) a établi un lien important entre le droit à la vie privée et la protection des renseignements personnels, lien qui pourrait engendrer une protection constitutionnelle relativement à la divulgation et à l’usage ultérieur de ces renseignements.
Sur le plan législatif et au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique aux entreprises du secteur privé, sauf dans les provinces qui ont adopté une loi essentiellement similaire dans le domaine de la protection de la vie privée comme le Québec, la Colombie-Britannique et l’Alberta.
La LPRPDE tout en contenant une définition propre au« renseignement personnel sur la santé » à l’article 2(1) exclut ce dernier du champ d’application de sa partie 1 : « Protection des renseignements personnels dans le secteur privé » (article 30 (1.1)).
Cinq provinces ont adopté une loi spécifique relative à la collecte, l’utilisation et la divulgation des renseignements personnels sur la santé, l’Alberta, le Manitoba, l’Ontario, la Saskatchewan et la Colombie-Britannique.
Mais ces lois s’appliqueraient-elles aux renseignements collectés par les applications mobiles de santé et/ou de fitness?
Par exemple, la loi de l’Ontario (Personal Health Information Protection Act) ne s’applique pas à toute information médicale mais seulement celle collectée par un « health information custodian » qui est défini à l’article 3. À la lecture de cet article on comprend qu’une société comme Apple n’est pas un gardien au sens de la loi donc les données collectées et stockées sur le HealthKit n’y seraient pas soumises.
Au Québec, nous retrouvons la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), qui vise à encadrer « l’exercice des droits conférés par les articles 35 à 40 du Code civil en matière de protection des renseignements personnels, des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil.» (LPRPSP; art. 1 al.1).
Cette Loi est technologiquement neutre c’est-à-dire qu’elle s’applique sans égard au support sur lequel le renseignement est fourni ou consigné (LPRPSP; art. 1 al. 2)
Même si cette loi n’est pas spécifique aux données personnelles sur la santé, elle pourrait s’appliquer en la matière.
Concernant la nécessité d’obtenir le consentement de l’utilisateur afin que ses informations puissent être communiquées à des tiers nous pouvons nous référer aux articles 6, 12, 13, et 15 combinés de la LPRPSP.
Le consentement de la personne concernée est essentiel avant toute divulgation ou aliénation à un tiers.
Selon la Cour suprême : « Le patient reste propriétaire des renseignements personnels alors même que le médecin est propriétaire du dossier » (MCINERNEY c. MACDONALD, [1992] 2 R.C.S. 138).
Les informations personnelles sur la santé sont très sensibles car elle peuvent être utilisées pour exclure des personnes du bénéfice de certains services (assurances, prêts bancaires), voire d’accéder à certains emplois.
La particularité de l’information sur la santé justifie le besoin de lois spécifiques pour la protection de ce type d’information, qui doivent compléter les lois à portée générale sur la protection des renseignements personnels.
Mais ces lois spécifiques doivent intégrer le nouvel acteur sur la scène de la santé, les applications mobiles, et encadrer la collecte faite par ces derniers des renseignements personnels de santé.