Code de conduite européen « Privacy en santé mobile »
Le G29 a annoncé la publication prochaine de ses commentaires sur le code de conduite européen Privacy en santé mobile.
Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), élaboré sous l’égide de la Commission européenne, a notamment pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile.
Il a également vocation à permettre aux développeurs et plus largement aux différents acteurs économiques du secteur de la santé mobile de bénéficier d’un support à la mise en conformité au regard des exigences imposées par :
- la règlementation Informatique et Liberté en vigueur (Directive 95/46/CE du 24 octobre 1995) ;
- l’entrée en vigueur du Règlement Général à la Protection des Données (RGPD), au 25 mai 2018.
En effet, dans le cadre de son communiqué de presse en date du 10 avril 2017 sur la « plénière du G29 d’avril 2017 », la Cnil rappelle que le G29 a annoncé avoir pris position sur le code de conduite Privacy en santé mobile et la publication prochaine d’une lettre portant sur les premiers commentaires relatifs à la conformité du code de conduite avec les exigences précitées (1).
En l’état, le code est disponible à l’état de projet ou « Draft Code » sur le site de la Commission européenne (2).
Le G29 rappelle que les codes de conduite, qui ont vocation à prendre une place de plus en plus importante suite à l’entrée en vigueur du RGPD, peuvent faire l’objet d’un acte d’implémentation au sein de la règlementation européenne.
Une structure axée sur la mise en conformité au RGPD
Le projet de code de conduite est articulé autour des quatre parties suivantes :
- A propos ;
- Principales lignes directrices pour les développeurs d’applications ;
- Annexe I : Privacy Impact Assessement (PIA) / Etude d’impact ;
- Annexe II : Exemple de notice d’information (recueil du consentement).
Ses deux annexes sont destinées à devenir des outils pratiques de mise en œuvre de l’étude d’impact relative au traitement des données sensibles (de santé) et au recueil du consentement des utilisateurs, conformément au RGPD.
Les principales lignes directrices à destination des éditeurs/développeurs d’application du secteur s’articulent autour des thèmes suivants, en tenant principalement compte des impacts du RGPD :
- Consentement de l’utilisateur ;
- Limitation des finalités et minimisation des données ;
- Confidentialité par conception et par défaut ;
- Droits des personnes concernées et les exigences en matière d’information ;
- Conservation des données ;
- Publicité dans les applications mHealth ;
- Utilisation de données personnelles à des fins secondaires ;
- Divulgation de données à des tiers pour les opérations de traitement ;
- Transferts de données hors UE ;
- Violations et failles de sécurité ;
- Données recueillies auprès des enfants.
Privacy en santé mobile : lettre et commentaires du G29
Il convient de surveiller avec intérêt la publication à venir et annoncée des commentaires du G29 ayant vocation à préciser le projet de code de conduite, en particulier s’agissant des outils de mise en conformité qu’il propose, étude d’impact et notice d’information.
Ces commentaires devraient permettre sa mise à jour rapide et à l’avenir, son approbation par le G29.
En attendant, il demeure un outil important de support à la mise en conformité Informatique et Liberté des acteurs de la santé mobile.
Pour rappel, ce projet intervient suite à la publication, en France, d’un Référentiel de bonnes pratiques sur les applications et les objets connectés en santé par la Haute Autorité de Santé (HAS), en octobre 2016, qui s’inscrit lui aussi dans le respect du Règlement général européen sur la protection des données (RGPD) (3) .
Marguerite Brac de La Perrière
Labyod Benjamin-Victor
Département Santé numérique
(1) Communiqué de presse de la Cnil du 10-4-2017 .
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » ;
(3) M. Brac de La Perrière, « Objets connectés de santé : Référentiel de bonnes pratiques », Alain-Bensoussan.com, 19-12-2016 .