Applications mobiles en santé et protection des données personnelles : les questions à se poser

Le développement d’un application « santé » nécessite de prendre en considération la protection des données personnelles collectées. Quelques questions à se poser :

1. Champs d’application du RGPD et Loi Informatique et Libertés

Avant tout, il convient de vérifier si l’application mobile entre dans le champ d’application de la règlementation en matière de données personnelles.

• Le RGPD ne s’applique pas si l’application mobile enregistre et conserve les données personnelles exclusivement localement dans un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.
• A contrario, le RGPD s’applique si l’application propose des fonctionnalités permettant d’assurer un service à distance à son utilisateur ou qu’elle comporte une connexion extérieure. Une analyse d’impact devra être réalisée.

2. Les finalités d’une application mobile et la nature des données collectées

Ensuite, il faudra s’assurer que les données recueillies soient collectées pour des finalités déterminées, explicites et légitimes. Cela peut être, par exemple, pour assurer un suivi des patients, la télésurveillance, la téléconsultation, la téléexpertise (suivi des cas cliniques et avis des professionnels), etc…

L’identification de la ou les finalité(s) de l’application mobile devra être fait en amont de sa conception pour pouvoir éventuellement apprécier les données pertinentes à collecter.

Les données collectées peuvent être des données de santé c’est-à-dire des données dites « sensibles » au sens du RGPD. Par conséquent, ces données feront l’objet d’un régime juridique de protection renforcées par diverses règlementations. Les données collectées par l’application mobile devront être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

3. Le responsable de traitement

Il faudra déterminer qui est le responsable de traitement. En règle générale, c’est celui qui détermine les finalités et les moyens de l’application mobile.

4. Les mesures de sécurité

Le Responsable de traitement devra mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles. C’est au Responsable de traitement que revient la charge de s’assurer de la confidentialité et la sécurité des informations des utilisateurs de l’application mobile.

Si vous faites appel à des sous-traitants, il vous faudra contractualiser votre relation afin de déterminer les responsabilités et les obligations de chacun puisque le sous-traitant doit également veiller à la sécurité des données personnelles.

5. La durée de conservation 

Toutes les informations personnelles qui pourront être collectées, devront être conservées pour une durée limitée qui ne peut dépasser la durée nécessaire à la finalité du traitement. Il vous faudra alors, déterminer une durée de conservation uniforme.

6. Consentement préalable des utilisateurs

Le consentement de la personne devra être préalablement recueilli si et seulement si l’application mobile est une application de bien être c’est-à-dire pour mieux gérer sa santé, sa qualité de sommeil, etc..  En revanche, si l’application mobile est utilisée comme un outil de prise en charge sanitaire comme la télésurveillance médicale par exemple, alors le consentement préalable de l’utilisateur n’est pas nécessaire.

7. Les droits des personnes

Les utilisateurs de l’application mobile doivent toujours avoir la possibilité d’exercer de manière effective leur droits. Pour cela, vous allez devoir les informer qu’ils disposent : accès, rectification, limitation, opposition, suppression, portabilité et mort numérique. Cette information devra être suffisamment complète, claire et lisible.

Pour en savoir plus, vous trouverez un référentiel de bonnes pratiques sur les applications et les objets connectés en santé élaboré par la Haute Autorité de Santé en cliquant ici.