Fin mai 2014, la CNIL a publié un Cahier IP sur le thème du corps comme nouvel objet connecté, en se focalisant sur les données personnelles de santé issues des applications et objets de quantified self.
Ce phénomène actuel est défini par la CNIL dans sa publication comme la « quantification de soi. Sous cette expression quelque peu sibylline, sont visées des pratiques variées mais qui ont toutes pour point commun pour leurs adeptes, de mesurer et de comparer avec d’autres des variables relatives à notre mode de vie : nutrition, exercice physique, sommeil, mais aussi pourquoi pas son humeur, etc. »
Les données sont capturées automatiquement par des objets connectés puis traitées en masse. Le développement de cette pratique appelle à la vigilance des utilisateurs vis-à-vis du devenir de leurs données. Ces dernières étant liées à la santé de l’individu, elles ont un caractère sensible. Il n’existe aucune définition de « donnée sensible » mais elles sont énumérées exhaustivement.
La Commission met en avant le décalage entre les politiques de confidentialité présentées et la réalité des pratiques. Il passe trop souvent inaperçu à cause du manque de vigilance et de connaissance des utilisateurs au sujet des données personnelles.
Un mouvement de « client empowerment », donnant ainsi plus de pouvoir et de contrôle au client, permettrait un rééquilibrage de la relation usager/collecteur de données. En effet, la voix des clients est trop souvent négligée par les entreprises. Cet « empowerment » peut aussi permettre la patrimonialisation des données avec le consentement direct du client, ce qui serait très favorable aux courtiers en données.
Bien que la CNIL ne le mentionne pas dans son rapport, une autre solution pour la protection des données des usagers serait d’imposer le concept de « privacy by design » dès la conception des objets connectés. Ce concept propose de faire de la protection de la vie privée de l’utilisateur une caractéristique majeure de l’objet. Ainsi, par défaut, les données recueillies ne seront pas extensivement partagées ou revendues.
Les lois françaises et européennes étant très protectrices des données personnelles, en particulier des données sensibles, la vigilance est de rigueur lors de la collecte de ces données.
Dreyfus vous accompagne en auditant vos collectes de données et vous aide à mettre en place des politiques de confidentialité conformes aux règlementations française et européenne.