Sur les objets connectés et les données de santé, nous avons l'habitude de faire un petit propos liminaire. Nous identifions différents degrés de risque, d'identification et de même de classification de ces données. Je prends l'exemple d'un bracelet servant à suivre votre jogging. Si vous avez juste un parcours sur une journée, cela reste une donnée de bien-être assez classique. À partir du moment où vous aurez l'historique des courses sur une année, on pourra voir les moments où vous n'êtes pas allé courir, peut-être parce que vous étiez malade, et inférer éventuellement des données de santé. Si le dispositif fait en plus le suivi du poids ou d'autres éléments diététiques liés au parcours sportif, ce sont clairement des données de santé au regard du RGPD. Un gradient supplémentaire est la notion de donnée médicale, par exemple si l'objet connecté est prescrit ou recommandé par un médecin afin de suivre son patient.
Autour de ces objets connectés, il y a donc tout un gradient de données plus ou moins sensibles, plus ou moins identifiables qui révèlent des choses plus ou moins intimes sur la personne. Notre laboratoire effectue un suivi assez régulier des « bonnes pratiques », en décortiquant quelques objets. Régulièrement, à la Station F, nous faisons également des interventions auprès des start-up qui nous posent les mêmes questions que vous, afin de savoir dans quelle classe de données ils vont se loger, s'ils ont des obligations par rapport à l'hébergement des données de santé, etc.
Le principe cardinal est qu'il ne faut stocker que des données strictement pertinentes. La pertinence des données est l'une des bases de notre loi Informatique et Libertés. Toutes ces données sont-elles nécessaires pour rendre le service promis à l'utilisateur ? L'utilisateur est-il conscient que ses données vont être collectées afin de lui rendre ce service ? La pertinence des données et l'information de l'utilisateur sont souvent un peu malmenées par les objets connectés, parce qu'il n'y a pas d'interface ou parce que l'on doit juste ouvrir et installer la boîte. Avec les industriels, nous réfléchissons à trouver les moyens d'informer les personnes via l'application, des indicateurs, des voyants qui s'allument, au moment où les données sont collectées.