Rapport de la CNIL : quelles régulations autour du quantified self et des objets connectés ?
La CNIL se penche sur la question des objets connectés et de la m-santé en vue d’une réglementation pour accompagner l’évolution de ce marché qui devrait représenter 26 milliards de dollars à l’horizon 2017 et concerner près de 1,7 milliards d’utilisateurs. Elle a publié le 28 mai 2014 son deuxième cahier de l’innovation intitulé «Le corps, nouvel objet connecté » dont voici les grandes lignes.
La donnée de santé au cœur du business model des nouveaux acteurs
Withings, Fitbit, Runkeeper, Jawbone sont des acteurs connus des technophiles adeptes du Quantified self. Le principe est simple : à l’aide de capteurs connectés, l’utilisateur récupère des données liées à sa santé ou à ses performances sportives sur une application mobile et peut en voir la progression.
Au-delà de la vente de capteurs, le business model de ces nouveaux acteurs repose également sur la monétisation d’une donnée de santé qui intéresse plus d’un acteur. L’assurance pourrait par exemple envisager de transposer le modèle d’usage « pay as you drive » à l’assurance santé en faisant bénéficier de contrats plus avantageux des clients démontrant de l’exercice d’une activité sportive grâce aux outils de Quantified self.
Ce modèle économique autour de la donnée médicale pose des questions liées au caractère intime de ces données, à leur centralisation et sécurisation : autant de sujets qui sont identifiés dans le rapport comme des préoccupations majeures pour la CNIL.
Réglementer le marché sans le brider : un défi pour la CNIL
La CNIL, qui espère livrer en 2014 ses premières conclusions sur les modalités de régulation envisagées, dispose aujourd’hui d’un benchmark international des pratiques de régulation du marché de la « santé mobile ».
Il est question de faire un choix important : opter pour une définition claire de la notion de donnée médicale, en y intégrant ou pas les données liées au Quantified self, ou alors éviter de préciser cette notion pour laisser une marge de manœuvre au régulateur qui jugera selon les risques relatifs à chaque situation particulière.
Les États-Unis et la Corée du Sud distinguent dans les données de santé explicitement entre celles qui émanent de professionnels de santé et celles qui relèvent plus du bien-être et pour lesquelles la législation de ces pays impose une réglementation moins contraignante. C’est le cas des applications d’auto-surveillance en matière de nutrition, de poids, de diabète ou d’hypertension qui peuvent être commercialisées sans l’autorisation de l’autorité de régulation coréenne compétente, la KFDA.
Le rapport de la CNIL souligne toutefois la difficulté de mettre en œuvre cette distinction du fait que les données traitées dans les deux cas sont parfois les mêmes.
L’enjeu pour la CNIL est double : empêcher la divulgation d’informations sensibles qui puissent définir l’état de santé d’une personne et ainsi être un motif de discrimination tout en évitant d’aboutir à une sur-régulation trop contraignante qui briderait un marché prometteur