Vers la simplification du cadre juridique du «Quantified Self»
Quantified Self – Le cadre juridique actuel du Quantified Self est composé d’une superposition de réglementations spécifiques. Pour prendre en compte l’émergence imminente d’un droit du « Quantified Self », la Cnil fait des propositions de simplification.
Le « Quantified Self » où « quantification de soi » se définit comme l’utilisation des moyens de mesurer et de comparer les variables relatives à notre mode de vie : nutrition, efforts physiques, poids, sommeil, etc.
Il repose sur l’utilisation d’une grande variété d’objets connectés et de capteurs : bracelet, brosse à dent, e-cigarette, balance, podomètre, tensiomètre, plus généralement des applications permettant la production, la captation, l’analyse et le partage de ses données personnelles.
En matière de santé, ces objets sont qualifiés par la loi de dispositifs médicaux dès lors qu’ils sont destinés par le fabricant à être utilisés chez l’homme à des fins médicales (1). Il en va de même des logiciels et applications destinés par le fabricant à des fins diagnostiques ou thérapeutiques (2).
Les règlementations relatives aux dispositifs médicaux (3) d’une part, et à la protection des données à caractère personnel d’autre part, s’imposent aux entreprises innovantes dans ce secteur en plein essor.
La mise sur le marché des dispositifs médicaux suppose une certification préalable (marquage CE) exigeant une conformité aux exigences essentielles concernant la sécurité des patients, des utilisateurs et des tiers. Cette certification doit être fondée sur des données cliniques ou des investigations cliniques généralement onéreuses (4).
S’agissant des traitements de données opérés dans ce cadre, s’ils portent sur des données de santé dites « sensibles », ils doivent présenter des garanties particulières en matière de sécurité et de confidentialité (5).
En particulier, l’hébergement de ces données doit être réalisé par un hébergeur agrée (6). La Cnil a donc proposé plusieurs axes de régulation simplifiée (7).
Pour plus de sécurité juridique, la notion de données personnelle de santé pourrait être précisément définie. Les données de santé pourraient être distinguées des données générées dans le cadre du « Quantified Self ».
La définition d’une nouvelle nomenclature des données personnelles de santé selon leurs risques, en fonction de la gravité des pathologies et de la possibilité de compiler plusieurs catégories de données, lui paraît plus délicate à mener.
Par soucis de simplification, pourrait être élaboré un cadre global, propre aux dispositifs du « Quantified Self », incluant les usages médicaux et non médicaux. Il s’agirait ainsi d’assurer tout à la fois protection des données personnelles, sécurité sanitaire, bioéthique et protection sociale.
Un « guichet unique » s’appuyant sur les compétences des autorités existantes pourrait être créé : ministre de la santé ou « consortium » regroupant l’ASIP (Agence des Systèmes d’Informations Partagées de santé), l’ANSM (Agence Nationale de Sécurité du Médicament).
Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique
(1) Art. L. 5211-1 du CSP.
(2) Ibid.
(3) Directive 93/42/CEE, art. L.5211-4 du CSP
(4) Art. L.5211-4 du CSP
(5) Art. 8 de la loi du 6-1-1978
(6) Art. L.1111-8 du CSP
(7) CNIL, cahiers IP n°2, Le corps nouvel objet connecté, partie 3.