Quantified-self et données de santé, innover dans le recueil du consentement

Le phénomène du quantified-self (“auto-mesure” ou “soi quantifié” en français) est en pleine expansion depuis sa création dans le milieu des années 2000. Le mouvement prend de l’ampleur avec le développement des objets connectés puis la crise sanitaire.
Le quantified-self s’entend comme le fait de mesurer et comparer avec d’autres nutrition, exercice physique, sommeil, humeur, etc.
“Reposant de plus en plus sur l’utilisation de capteurs corporels connectés – bracelets, podomètres, balances, tensiomètres, etc. – et d’applications sur mobiles, ces pratiques volontaires d’auto-quantification se caractérisent par des modes de capture des données de plus en plus automatisés, et par le partage et la circulation de volumes considérables de données personnelles.” #1
La qualification de donnée de santé, à l’origine d’exigences légales et techniques strictes
Le quantified-self consiste pour les utilisateurs à renseigner, enregistrer et analyser des informations relatives à leurs habitudes de vie et à leur état de santé ou de bien-être. Légalement, les données à caractère personnel traitées sont donc considérées comme sensibles et relèvent d’un régime juridique plus contraignant. À tel point que, par principe, le traitement de données de santé est interdit. Comme chaque principe a ses exceptions, il reste possible de traiter des données de santé, notamment issues du quantified-self, à la condition de recueillir le consentement spécifique de l’utilisateur. Cela implique d’être capable de démontrer, à tout moment, que l’utilisateur a donné son consentement. #2
Plus les données sont sensibles, plus leur traitement doit être encadré et protégé car il présente un risque pour les droits et libertés fondamentaux des utilisateurs (notamment, le droit fondamental au respect de la vie privée).
Le consentement, condition indispensable au succès de tout projet de quantified-self
Le deuxième paragraphe de l’article 9 du RGPD pose les exceptions qui autorisent le traitement de catégories particulières de données à caractère personnel dont relèvent les données de santé. Parmi ces exceptions, une seule s’applique au quantified-self : lorsque “la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques”.
Comment recueillir le consentement des personnes ?
Pour que la démarche soit fructueuse, il faut respecter deux règles cumulatives : les exigences légales et les exigences de l’UX (user experience ou expérience utilisateur en français).
Les exigences légales relatives au recueil du consentement au traitement de données de santé
Le paragraphe 11 de l’article 4 et l’article 7 du RGPD posent les conditions de validité du consentement.
Le consentement est défini comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.
Lorsque des données de santé sont en jeu, s’ajoute la condition selon laquelle le consentement doit être explicite.
Le consentement libre n’est ni contraint, ni forcé.
Par exemple : le consentement au traitement de l’adresse email de l’utilisateur pour l’envoi d’une newsletter ne peut pas être obligatoire pour accéder au service. Dans ce cas, le consentement n’est pas libre.
Cela explique la condition de spécificité du consentement. L’utilisateur d’une solution de quantified-self doit pouvoir choisir les situations dans lesquelles ses données seront traitées, indépendamment les unes des autres.
Par exemple : le fait pour l’utilisateur de s’inscrire sur une plateforme ne veut pas dire qu’il souhaite recevoir sa newsletter. Il doit pouvoir choisir librement les finalités pour lesquelles ses données seront utilisées.
L’exigence du consentement éclairé impose au responsable de traitement d’être transparent avec l’utilisateur de sa solution de quantified-self. Cela implique de lui donner un certain nombre d’informations en amont, qui sont définies par l’article 13 du RGPD.
Un consentement univoque résulte d’un acte positif clair. Cela veut dire que le consentement ne peut pas consister à décocher une case (c’est de l’opt-out) ni à laisser une case cochée à l’avance. Selon la CNIL, cette exigence exclut également les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts) et l’inaction de la part de l’utilisateur : le silence ne vaut pas acceptation. Si l’utilisateur ne dit pas oui, c’est que c’est non !
Le premier paragraphe de l’article 7 du RGPD pose que lorsque la base légale d’une activité de traitement de donnée personnelle est le consentement, le responsable de traitement #3 doit avoir la capacité de démontrer, à tout moment (et surtout au moment du contrôle de la CNIL) qu’il dispose bien du consentement des utilisateurs dont il traite les données personnelles.
Selon la CNIL pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :
- prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles,
- demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données,
- recueillir le consentement en deux étapes : envoi d’un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement.
Des solutions existent pour aider les responsables de traitement à répondre à cette obligation qui emporte, elle aussi, de nombreuses exigences. Ces solutions permettent, notamment, de générer des reçus de consentement horodatés et de les signer : cela permet de bénéficier d’une source de temps fiable, de garantir l’intégrité de chaque consentement et, a fortiori, de leur donner une forte valeur probante.
Enfin, le troisième paragraphe de l’article 7 du RGPD pose, très clairement, les deux conditions suivantes : “La personne concernée a le droit de retirer son consentement à tout moment. […] Il est aussi simple de retirer que de donner son consentement.” Évidemment, le retrait du consentement de l’utilisateur ne rend pas illicite les traitements effectués jusqu’alors. En revanche, cela vaut immédiatement et a pour effet d’arrêter ces mêmes traitements qui ne peuvent plus continuer, étant dépourvus de base légale.
Une bonne pratique de plus en plus observée consiste à mettre à disposition de la personne concernée un espace personnel dédié (parfois appelé “Privacy Center”) depuis lequel elle peut consulter les consentements qu’elle a donnés et, le cas échéant, les modifier. Ces espaces permettent aussi d’ajuster certaines préférences (canal d’information préféré ou autre) en temps réel. La conformité et le droit à l’auto-détermination informationnelle n’échappent pas à l’exigence d’instantanéité des utilisateurs !
Le consentement peut être recueilli par tout moyen, y compris au format papier. R