Journal de l'économie

Envoyer à un ami
Version imprimable

Pourquoi la CNIL ferme-t-elle les yeux sur les errements de la télémédecine ?





Le 26 Mai 2018, par Mathieu Fourdan

La CNIL (Commission Nationale de l’Informatique et des Libertés) a pour mission de contrôler et sanctionner les entreprises qui ne respectent pas la réglementation sur la confidentialité des données personnelles. Pourtant, elle semble bien avoir démissionné de sa mission face aux errements de certains industriels de la télémédecine qui, pour certains, contreviennent ouvertement à la loi française.


Le rôle de la CNIL
 
Dans les années 70, le développement de l’informatique a obligé le législateur à s’adapter aux nouveaux risques potentiels d’atteinte à la vie privée. En 1974, le gouvernement avait pour projet d’identifier tous les citoyens par un numéro et d’interconnecter tous les fichiers de l’administration. Le projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), rendu possible grâce aux nouvelles capacités informatiques, posa de nouvelles questions éthiques et juridiques.
 
C’est dans ce contexte que la loi du 6 janvier 1978 créa la CNIL qui devait être une autorité indépendante de l’exécutif et qui devait réunir des membres représentatifs de différentes institutions françaises comme l’Assemblée Nationale, le Sénat, le Conseil d’Etat, la Cour de Cassation, la Cour des comptes, etc. Sa mission fondamentale est de protéger les citoyens d’abus éventuels d’entreprises ou de l’Etat dans la collecte et le traitement d’informations personnelles.
 
Or, en matière de collecte de données personnelles, la médecine est évidemment très surveillée, d’autant plus dans un contexte de développement de la télémédecine. En effet, qui dit télémédecine, dit transmissions de données entre un patient et un médecin, avec nécessairement au milieu des industriels des objets connectés ou des logiciels de traitement de données qui ont vite compris la valeur des informations passant entre leurs mains. Face à ces défis nouveaux, la CNIL, dirigée depuis 2011 par Isabelle Falque-Pierrotin, semble plus préoccupée de ne pas faire fuir les industriels que de protéger les citoyens.
 
Les errements de la télémédecine
 
La télémédecine, dont le développement est fortement encouragé par le nouveau gouvernement, ne consiste pas seulement dans la possibilité de faire des téléconsultations et d’ainsi rendre possible à des personnes isolées d’avoir l’avis de spécialistes. La connectivité a aussi envahi les appareils médicaux et de plus en plus de Français se font implanter des pacemakers ou des défibrillateurs cardiaques connectés. Ceux-ci collectent des informations en permanence afin de les transmettre au médecin traitant mais la collecte et le stockage des ces informations médicales sensibles pose de nombreuses questions relatives à la confidentialité ou à la cybercriminalité.
 
Certains défibrillateurs automatiques implantables (DAI) récoltent tellement d’informations que celles-ci doivent être traitées et triées pour ne pas saturer le médecin d’informations inutiles. Ce traitement ne peut pas être automatique et certains industriels font faire ce tri par des techniciens qui ne sont pas médecins. Pourtant la loi française est claire : « la communication de données médicales individuelles […] ne peut se faire que sous l’autorité et en présence d’un médecin. » Ainsi, le système Home Monitoring de la multinationale Biotronik qui a besoin que ces données soient consultées par des « techniciens soumis à confidentialité » ne respecte pas la réglementation en vigueur aujourd’hui.
 
Les fabricants peuvent avoir d’autres raisons d’accéder aux données des patients, notamment pour mettre en place une analyse statistique à grande échelle de type « big data » à des fins de recherche. Mais c’est là prendre un raccourci vis-à-vis de la loi qui permet pourtant d’utiliser ces données pour la recherche à condition que celles-ci soient anonymisées à « bref délai ». Cette anonymisation à bref délai implique que dans les minutes qui suivent la collecte des informations, il devienne impossible de savoir à qui elles appartiennent. Quoi qu’il en soit le protocole d’anonymisation et le traitement des données doit être autorisé par la CNIL, or la même société Biotronik a effectué par exemple une étude sur la télécardiologie en 2007 qui n’a pas fait l’objet d’une telle autorisation. La CNIL n’est pas seul en cause dans ces affaires. Par exemple, pour pouvoir normalement être distribué et remboursé par la sécurité sociale, les dispositifs connectées qui exploitent et transmettent des données de santé doivent avoir un agrément HADS (Hébergeurs agréés de données de santé), délivrés par l’ASIP Santé avec l’accord de la CNIL. Or certaines entreprises ont vu leurs produits pris en charge par ls sécurité sociale des années avant de disposer de cet agrément. Pour être sur la liste des produits remboursés, ces dispositifs ont donc forcément eu l’aval de la Haute autorité de santé (HAS) qui a autorisé le remboursement de produits qui ne respectaient pas la réglementation. Mais dans tous les cas, la CNIL aurait du alerter, même a posteriori, sur ces problématiques.  
 
Pourquoi la CNIL ne fait-elle rien ?
 
Il s’agit là de violations claires de la réglementation française en vigueur aujourd’hui et on peut se demander pourquoi la CNIL ne réagit-elle pas. Il semble que depuis quelque temps celle-ci préfère rassurer les industriels que protéger les citoyens. Sophie Nerbonne, directrice de la conformité à la CNIL, lançait en janvier 2017 un message clair aux fabricants : « Hésiter à se lancer dans le traitement des données par peur d’une sanction, revient à avoir une vision passéiste de la Cnil ! »
 
Les autres pays comme les Etats-Unis, moins scrupuleux que la France sur les questions de confidentialité, ont une réelle longueur d’avance en termes de développement technologique en télémédecine. L’enjeu aujourd’hui en France est de permettre à des entreprises françaises de se développer sans être trop ralenti par une réglementation qui serait trop stricte. Cependant on est en droit de se demander si la CNIL, censée être indépendante, joue bien son rôle de contrôle et de protection en affichant une complicité avec des industriels peu soucieux de la loi. Valérie Peugeot, chercheuse en sciences sociales et membre de la CNIL, disait encore récemment lors d’une conférence sur la e-santé : « le travail de la CNIL est d’abord d’aider à être en conformité, plus que sanctionner […] la sanction est là pour être agitée mais non utilisée. »
 
Si la CNIL a renoncé à sa mission de contrôle et de sanction, la télémédecine, qui représente par ailleurs un progrès considérable en termes de santé publique, pourrait bien être le nouveau cheval de Troie de l’invasion de la vie privée et du business de la « Big Data. »




Nouveau commentaire :
Facebook Twitter

Le JDE promeut la liberté d'expression, dans le respect des personnes et des opinions. La rédaction du JDE se réserve le droit de supprimer, sans préavis, tout commentaire à caractère insultant, diffamatoire, péremptoire, ou commercial.

France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising








Les entretiens du JDE

Les entretiens du JDE

La crise des gilets jaunes analysée par Eric Delbecque

Les gilets jaunes sont-ils populistes ? par Francois-Bernard Huyghe

Christian Aghroum : Gilets jaunes et mobilisation numérique

Philippe Schleiter: "faire réussir des choses extraordinaires par des gens ordinaires"

Gilles Imbert, groupe Interconstruction : « Les promoteurs indépendants sont obligés, plus que les autres, de tenir leurs engagements »

Loïk Le Floch-Prigent : « En finir avec le dérèglement industriel »

Florent Skrabacz, CEO de Shadline : « L’invisibilité des données est la clé de la résilience numérique »

Général Soubelet : « Traitons les vrais problèmes, ne poussons pas les Français à la révolte »









Rss
Twitter
Facebook