E-santé : le RGPD est-il un obstacle aux initiatives françaises ?

A l’heure où le RGPD pointe le bout de son nez (rappelons qu’il entrera en vigueur le 25 mai prochain), la société Withings, spécialisée dans la e-santé et les objets connectés devrait faire son retour sous pavillon Français.

Reprise par la presse généraliste, cette nouvelle semble être accueillie avec fierté bien qu’elle reste au stade de l’annonce par l’un des cofondateurs de la société cédée à Nokia en 2016, Eric Carreel. Mais l’avenir de l’activité des objets connectés en santé reste suspendu à la bonne application du RGPD.

Le marché des objets connectés en e-santé toujours attractif

Bien que Nokia semble avoir éprouvé les plus grandes difficultés à dégager du chiffre d’affaires de son activité e-santé après le rachat de Withings (seulement 52 millions d’euros de chiffre d’affaires en 2017), le français Eric Carreel semble convaincu que les opportunités offertes par le marché sont encore nombreuses.

La santé connectée, le quantified self et la capacité de l’individu à auto-gérer son mode de vie sont effectivement des sujets dont l’attractivité auprès du public a cru ces dernières années. Mais la société va devoir faire avec la nouvelle réglementation sur les données personnelles (le RGPD) qui impose une mise en conformité sans dérogations possibles.

Le risque du RGPD sur les activités de e-santé

Le Règlement général pour la protection des données impose des contraintes strictes concernant le traitement des données personnelles.

L’objectif affiché du texte est de permettre aux individus d’avoir un maximum de contrôle et de connaissances sur les traitements dont leurs données personnelles font l’objet.

La protection des données est d’autant plus grand lorsqu’il s’agit de données relatives à la santé de l’individu : or, un tel traitement est, par principe, interdit par l’article 8 de la loi relative à l’informatique et aux libertés. Seules des exceptions précises et prévues par la loi permettent de traiter des données de santé.

L’activité de e-santé traite, par nature, des données de santé directement liées aux individus qui utilisent des objets connectés personnalisés : elles sont donc identifiantes. Elles devraient alors faire l’objet d’un procédé destiné à les rendre anonymes et non réidentifiantes pour pouvoir être traitées.

A ce titre, le principe de privacy by design (protection de la vie privée dès la conception du produit) doit être respecté par les fabricants de produits et logiciels destinés à la e-santé.

En amont de cela, toute entreprise amenée à réaliser un traitement de données de santé doit réaliser une analyse d’impact spécialement prévue par l’article 35 du RGPD.

Ce ne sont que de maigres exemples du durcissement des mesures qui entourent les traitements de données de santé.

Le marché de la e-santé est peut-être prometteur, mais la réglementation qui l’entoure, très contraignante, poussera les entreprises du secteur, dont fait partie Withings, à investir dans une mise en conformité parfaite. Rappelons que si la CNIL contrôle et sanctionne une entreprise, l’amende infligée peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Achetée par Nokia en 2016 pour 170 millions d’euros, le coût éventuel du rachat de l’activité par Eric Carreel n’est pas encore connu.

L’opération devrait être finalisée avant la fin du mois de juin 2018.

Testez vos connaissances du RGPD en répondant à nos questionnaires et facilitez votre mise en conformité avec notre guide spécial RGPD : les bons conseils pour réussir.

mm
A propos Leo Guittet 160 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

1 commentaire sur E-santé : le RGPD est-il un obstacle aux initiatives françaises ?

  1. Si ca peut aider certains lecteurs, j’ai réglé la problématique de consentement de mon côté en utilisant l’outil Axeptio.
    C’est un module Prestashop (et WordPress je crois) qui propose une case à cocher configurable

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Crédit d’impôt des pros : gare à l’obligation de déclarer en ligne

Une nouvelle obligation incombe aux professionnels qui bénéficient d'un crédit d'impôt ou d'une réduction d'impôt dans le cadre de leur...

Fermer