Le phénomène du quantified-self (“auto-mesure” ou “soi quantifié” en français) est en pleine expansion depuis sa création dans le milieu des années 2000. Le mouvement prend de l’ampleur avec le développement des objets connectés puis la crise sanitaire.

Le quantified-self s’entend comme le fait de mesurer et comparer avec d’autres nutrition, exercice physique, sommeil, humeur, etc.

“Reposant de plus en plus sur l’utilisation de capteurs corporels connectés – bracelets, podomètres, balances, tensiomètres, etc. – et d’applications sur mobiles, ces pratiques volontaires d’auto-quantification se caractérisent par des modes de capture des données de plus en plus automatisés, et par le partage et la circulation de volumes considérables de données personnelles.” (1)

La qualification de donnée de santé, à l’origine d’exigences légales et techniques strictes

Le quantified-self consiste pour les utilisateurs à renseigner, enregistrer et analyser des informations relatives à leurs habitudes de vie et à leur état de santé ou de bien-être. Légalement, les données à caractère personnel traitées sont donc considérées comme sensibles et relèvent d’un régime juridique plus contraignant. À tel point que, par principe, le traitement de données de santé est interdit. Comme chaque principe a ses exceptions, il reste possible de traiter des données de santé, notamment issues du quantified-self, à la condition de recueillir le consentement spécifique de l’utilisateur. Cela implique d’être capable de démontrer, à tout moment, que l’utilisateur a donné son consentement. (2)

Plus les données sont sensibles, plus leur traitement doit être encadré et protégé car il présente un risque pour les droits et libertés fondamentaux des utilisateurs (notamment, le droit fondamental au respect de la vie privée).

Le consentement, condition indispensable au succès de tout projet de quantified-self

Le deuxième paragraphe de l’article 9 du RGPD pose les exceptions qui autorisent le traitement de catégories particulières de données à caractère personnel dont relèvent les données de santé. Parmi ces exceptions, une seule s’applique au quantified-self : lorsque “la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques”.

Comment recueillir le consentement des personnes ?

Pour que la démarche soit fructueuse, il faut respecter deux règles cumulatives : les exigences légales et les exigences de l’UX (user experience ou expérience utilisateur en français).

Les exigences légales relatives au recueil du consentement au traitement de données de santé

Le paragraphe 11 de l’article 4 et l’article 7 du RGPD posent les conditions de validité du consentement.

Le consentement est défini comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.

Lorsque des données de santé sont en jeu, s’ajoute la condition selon laquelle le consentement doit être explicite.

Le consentement libre n’est ni contraint, ni forcé.

Par exemple : le consentement au traitement de l’adresse email de l’utilisateur pour l’envoi d’une newsletter ne peut pas être obligatoire pour accéder au service. Dans ce cas, le consentement n’est pas libre.

Cela explique la condition de spécificité du consentement. L’utilisateur d’une solution de quantified-self doit pouvoir choisir les situations dans lesquelles ses données seront traitées, indépendamment les unes des autres.

Par exemple : le fait pour l’utilisateur de s’inscrire sur une plateforme ne veut pas dire qu’il souhaite recevoir sa newsletter. Il doit pouvoir choisir librement les finalités pour lesquelles ses données seront utilisées.

L’exigence du consentement éclairé impose au responsable de traitement d’être transparent avec l’utilisateur de sa solution de quantified-self. Cela implique de lui donner un certain nombre d’informations en amont, qui sont définies par l’article 13 du RGPD.

Un consentement univoque résulte d’un acte positif clair. Cela veut dire que le consentement ne peut pas consister à décocher une case (c’est de l’opt-out) ni à laisser une case cochée à l’avance. Selon la CNIL, cette exigence exclut également les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts) et l’inaction de la part de l’utilisateur : le silence ne vaut pas acceptation. Si l’utilisateur ne dit pas oui, c’est que c’est non !

Le premier paragraphe de l’article 7 du RGPD pose que lorsque la base légale d’une activité de traitement de donnée personnelle est le consentement, le responsable de traitement (3) doit être avoir la capacité de démontrer, à tout moment (et surtout au moment du contrôle de la CNIL) qu’il dispose bien du consentement des utilisateurs dont il traite les données personnelles.

Selon la CNIL pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :

  • prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles,
  • demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données,
  • recueillir le consentement en deux étapes : envoi d’un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement.

Des solutions existent pour aider les responsables de traitement à répondre à cette obligation qui emporte, elle aussi, de nombreuses exigences. Ces solutions permettent, notamment, de générer des reçus de consentement horodatés et de les signer : cela permet de bénéficier d’une source de temps fiable, de garantir l’intégrité de chaque consentement et, a fortiori, de leur donner une forte valeur probante.

Enfin, le troisième paragraphe de l’article 7 du RGPD pose, très clairement, les deux conditions suivantes : “La personne concernée a le droit de retirer son consentement à tout moment. […] Il est aussi simple de retirer que de donner son consentement.” Évidemment, le retrait du consentement de l’utilisateur ne rend pas illicite les traitements effectués jusqu’alors. En revanche, cela vaut immédiatement et a pour effet d’arrêter ces mêmes traitements qui ne peuvent plus continuer, étant dépourvus de base légale.

Une bonne pratique de plus en plus observée consiste à mettre à disposition de la personne concernée un espace personnel dédié (parfois appelé “Privacy Center”) depuis lequel elle peut consulter les consentements qu’elle a donnés et, le cas échéant, les modifier. Ces espaces permettent aussi d’ajuster certaines préférences (canal d’information préféré ou autre) en temps réel. La conformité et le droit à l’auto-détermination informationnelle n’échappent pas à l’exigence d’instantanéité des utilisateurs !

Le consentement peut être recueilli par tout moyen, y compris au format papier. Recueillir le consentement dans un format dématérialisé permet d’optimiser son exploitation. Une base de consentement bien gérée permet de connaître, en temps réel, les activités de traitement possibles en fonction des consentements accordés pour les finalités déterminées. Ces fonctionnalités permettent de répondre encore plus instantanément aux demandes d’exercice de droit des personnes. L’expérience utilisateur est grandie et les démarches du responsable de traitement sont allégées en termes d’intégration et de maintenance.

Langage Juridique Clair, Legal Design et Privacy Icons au service du “Privacy UX”

Les conditions de recueil du consentement étant posées, comment faire pour que ce moment ne se transforme pas en frein à l’inscription ?
Il arrive que des organismes soient réfractaires à la mise en place d’un recueil du consentement conforme aux exigences légales, souvent jugées trop lourdes. Peur d’un rejet de la part de l’utilisateur, les concurrents ne le font pas non plus…

Dans le domaine du quantified-self plus qu’ailleurs, un consentement conforme est gage d’une relation confiance avec l’utilisateur, qui sera enclin à partager plus de données, notamment de santé. Cet effet est renforcé par un UX de qualité : l’inscription à la solution de quantified-self et le consentement aux traitements de données qui vont être effectués est la première étape de l’onboarding de l’utilisateur sur le service. La première impression doit être bonne.

Comme son nom l’indique, le langage juridique clair est simple et facilement compréhensible. Attention toutefois, s’exprimer en langage clair n’est pas inné !

Pour qu’un texte soit en langage juridique clair, il faut que l’utilisateur trouve facilement l’information recherchée, puisse le lire rapidement, le comprendre correctement et en mémorise les messages clés. Utiliser le langage clair au moment du recueil du consentement permet de répondre aux exigences posées par le paragraphe 2 de l’article 7 du RGPD. Surtout, cela n’empêche pas d’avoir une politique de confidentialité ou des conditions générales d’utilisation rédigées dans un langage juridique parfait. Plusieurs niveaux d’information sont possibles !

Comme le langage juridique clair, le Legal Design vise à rendre le droit plus accessible grâce à un processus de création autour du sujet abordé. Illustrations, icônes et schémas sont utilisés pour améliorer la lisibilité et la compréhension. Concernant le recueil du consentement, une bonne pratique est d’utiliser des Privacy Icons, spécifiques aux sujets liés à la protection des données à caractère personnel.

L’ultime conseil en matière d’UX, consiste à ne demander son consentement à l’utilisateur que lorsque cela s’avère nécessaire. Le laisser s’inscrire sur la solution de quantified-self sans que cela implique un traitement immédiat de ses données de santé est une bonne pratique qui lui permet de naviguer sur l’outil, pour en prendre connaissance, appréhender son contenu et ses avantages, sans risque pour sa vie privée. Son consentement au traitement de ses données de santé peut ne lui être demandé que lorsqu’il souhaitera utiliser l’outil.

Par exemple : dans une application de suivi des performances de course à pieds, le partage de la localisation n’est nécessaire que pendant la course.

Enjeux juridiques, éthiques et économiques liés au consentement

Le consentement est l’une des parties les plus visibles de la conformité. D’autant plus, c’est un passage obligé pour l’utilisateur d’outils de quantified-self, qui est de plus en plus sensible à la manière dont sont traitées ses données personnelles. Cela veut dire qu’un mauvais UX de l’onboarding et du recueil du consentement peut atteindre l’image du responsable de traitement.

Les pratique énoncées plus haut ne permettent pas seulement d’éviter la sanction en cas de non-respect. Elles présentent l’avantage de laisser leur libre-arbitre aux utilisateurs sur le sort réservé à leurs données. En plus de garantir le respect de leur vie privée, les données recueillies sont plus précises et le lien de confiance renforcé. L’UX est différenciante et le résultat est un avantage concurrentiel certain.

En traitant des données personnelles de santé, les obligations sont nombreuses et il n’est pas toujours aisé de trouver la bonne méthode pour se mettre en conformité et parvenir au résultat attendu. Le sujet du recueil du consentement au traitement des données de santé dans le cadre de l’utilisation d’outils de bien-être ou de quantified-self est aussi important pour les utilisateurs que pour les éditeurs de ces solutions. Il est nécessaire d’élaborer des biens communs, référentiels et des standards sur ces sujets à partir de cas d’usage concrets pour compléter le droit et garantir la pérennité des solutions innovantes.

Ce n’est pas sur tous les sujets que les enjeux éthiques et économiques sont alignés. En déployant les moyens appropriés, ils peuvent l’être sur la gestion des consentements.

Article d’Anaïs PERSON pour fair&smart


1 –  “Cahiers IP, Innovation et Prospective” n°2 : Le corps, nouvel objet connecté”, CNIL, Printemps 2014 

2 – Article 7, 1. du RGPD 

3 – Selon l’article 4 du RGPD, l’organisme qui détermine les finalités et les moyens du traitement. En l’espèce, l’éditeur de l’outil de quantified-self