Le G29 vient de publier ses commentaires spécifiques sur le projet de code de conduite Privacy en santé mobile M-Santé.
Des commentaires spécifiques au code de conduite Privacy en santé mobile
Le G29 a rendu publique sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3) dans laquelle il livre ses « commentaires spécifiques » relatifs à sa conformité au regard de la directive de protection des données de 1995 et des exigences du RGPD.
Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), a pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile. Sa structure et son contenu ont fait l’objet de nos précédents commentaires (3).
Dans sa lettre, le G29 expose qu’en l’état, le projet de code de conduite qui lui est soumis ne remplit pas les niveaux d’exigence requis pour obtenir son approbation, et délivre l’ensemble des indications ou « commentaires spécifiques » permettant de l’approcher, notamment s’agissant des exigences du RGPD, et ce, dans le cadre d’une démarche collaborative entre la Commission européenne et le porteur du projet de code de conduite.
Code de conduite Privacy en santé mobile : suivi et gouvernance
Les premiers du G29 portent sur les organes de gouvernance proposés par le code, dans la mesure où ces organes pourront être agrées par l’autorité de contrôle compétente afin de contrôler son respect.
Le G29 considère que, selon RGPD, le code devrait définir les recours, mécanismes de résolution des litiges et sanctions associées, par exemple la publicité des violations du code et modalités d’information des autorités de contrôle nationales.
Il considère qu’il serait utile de préciser les modalités de suivi des organisations du secteur par l’organe de gouvernance : période de suivi, nombre d’applications contrôlées et modalités de leur évaluation.
Tant les garanties d’indépendance, de transparence, et d’impartialité de cet organe, sa composition et les modalités de fonctionnement devraient également être précisés, dans la mesure où celui-ci doit être dirigé par des associations et organisations relevant de l’écosystème de la santé mobile et ou la question de leurs contributions financières respectives doit être renseignée.
Le G29 approuve ensuite l’introduction d’une certification, au-delà d’une simple déclaration de conformité, tout en exigeant que son mécanisme soit précisé (transparence des informations, suivi et coûts) et en reconnaissant que le processus de certification doit faire l’objet de lignes directrices « nécessaires », de la part du G29 à l’avenir.
Lignes directrices à destination des responsables de traitement
Pour le G29, le recueil du consentement doit être clairement requis selon les exigences posées par le RGPD tout en rappelant plus explicitement les conditions de loyauté et de légalité des traitements.
La question du consentement devrait par ailleurs tenir compte des problématiques liées aux traitements de données détenues par des tiers, de conservation des données, du retrait du consentement, et de son recueil auprès de mineurs.
Le G29 encourage aussi la mise en avant des risques pouvant être associés à l’utilisation des applications de santé mobile, en particulier s’agissant du traitement de données particulièrement sensibles ou des données à caractère personnel de mineurs.
Principes relatifs à la protection des données
Les G29 observe que les principes suivants devraient être indiqués explicitement par le code :
- le caractère approprié des mesures de protection des données à caractère personnel ;
- la précision et la qualité des données, leur accessibilité, ainsi que les mesures de sécurité relatives à la conservation des données.
De façon générale, les grands principes devraient faire l’objet d’une plus grande contextualisation et d’exemples concrets.
En particulier le G29 observe que le projet de code ne précise pas si les principes d’ « acccountability » du RGPD (mise en œuvre d’un processus de mise en conformité et de sa preuve) et de sécurité des données sont des principes légaux impératifs ou de simples bonnes pratiques que les développeurs doivent observer.
Information, transparence et individus concernés
Le G29 estime que la distinction entre responsables de traitement et sous-traitants doit être effectuée afin de préciser les rôles et les obligations de chacun, car ces précisions devraient être portées à la connaissance de l’individu concerné en amont du traitement. A minima, comme l’impose le RGPD, l’identité et points de contact du responsable de traitement ainsi que le point de contact uniforme en cas de coresponsabilité dans le traitement doivent être précisés.
D’autre part, le G29 estime que le code ne précise pas la manière dont les individus peuvent exercer leurs droits et comment les responsables de traitement peuvent répondre aux demandes associées.
Le sujet du droit à la portabilité des données devrait quant à lui être traité en prenant en considération les lignes directrices publiées par le G29 sur le sujet.
Enfin, le G29 recommande de préciser les incidences des évolutions applicatives augmentant les champs des traitements, concernant leurs notifications aux utilisateurs.
Code de conduite Privacy en santé mobile : la sécurité
Le G29 estime que le code devrait détailler comment tenir compte de la mise en œuvre des principes de « privacy by design » et de « privacy by default » au cours du processus de développement des applications, et des durées de conservation des données.
Il souhaite que la notion d’anonymisation complète de jeux de données soit précisée dans le code, en tant que processus qui ne permet pas d’identification et irréversible, tout en sensibilisant les développeurs aux risques associés à la re-identification des individus.
Le G29 estime également que le cryptage de données doit être rapproché de la nécessité de pouvoir les communiquer, en toute sécurité, en recourant à un procédé d’authentification forte, en particulier si des tiers, comme des médecins, doivent pouvoir avoir accès aux données sur autorisation de leur patient.
Code de conduite Privacy en santé mobile : la publicité
Le G29 souhaite que le code précise les base légales selon lesquelles la prospection est autorisée dans le cadre de traitements, en particulier, au regard des dispositions du RGPD.
Transfert dans des pays tiers
Le G29 estime que le code devrait mentionner, par référence au RGPD, que lorsque les données font l’objet d’un transfert vers des autorités publiques ou privées établies dans un pays tiers, le pays de destination doit être indiqué.
Code de conduite Privacy en santé mobile : Principes généraux
Le G29 a en outre délivré un certain nombre de lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens, qui ont vocation à prendre une importance considérable sous l’empire du RGPD, en vigueur en mai 2018.
Ces lignes directrices fondamentales et générales, ainsi que le processus d’élaboration et la place des codes de conduites au sein de la nouvelle règlementation ont fait l’objet, de nos commentaires (4).
L’évolution du processus d’élaboration de ce code de conduite sur un mode collaboratif entre le porteur de projet et la Commission européenne doit être surveillé par les acteurs de la santé mobile dans la mesure où il vocation à préciser les modalités d’implémentation du RGPD dans ce secteur.
Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique
(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, RGPD et codes de conduite : Les exigences du G29, Alain-Bensoussan.com 8-6-2017.