Les instruments classiques de la protection des données souffrent bien souvent d’ineffectivité. Face à la montée en puissance de services numériques fondés sur une exploitation des données et traces d’usage à large échelle, les individus rencontrent des difficultés pour faire valoir leurs droits. La réalité du consentement est ainsi mise à l’épreuve de conditions générales d’utilisation (CGU) illisibles, interminables et rarement intelligibles. Le sort des données collectées par le service est tout aussi opaque pour l’utilisateur, comme le sont les moyens mis en oeuvre pour assurer leur protection. Cette situation est aggravée par le caractère extrêmement sensible des données de santé, prises dans une acception large, lesquelles ont vocation à décupler de volume à court et moyen termes à mesure que se développent les pratiques du quantified self. Ces données nourrissent par ailleurs l’intérêt grandissant de nombreux tiers comme certains géants du numérique, professionnels de l’assurance, de la banque, hackers mal intentionnés (cf. encadré), etc.
Le marché noir de la donnée de santé
D’après Lynne A. Dunbrack, Research Vice President à l'institut IDC Health Insights et auteur du rapport 2014 sur les cybermenaces dans le secteur de la santé, les cyberattaques contre le secteur de la santé vont augmenter et gagner en
sophistication" dans les deux ans à venir. "Puisque les autres industries développent des stratégies plus efficaces pour contrer les cyberattaques, les criminels vont élargir leur horizon pour viser des cibles plus vulnérables", affirme le rapport. La revue MIT Tech Review souligne la faiblesse des établissements de santé en matière de
protection des données de leurs patients. Dans le même temps, la valeur des données de santé "a dépassé sur le marché noir la valeur des numéros de sécurité sociale ou de cartes bancaires", souligne l’Institut. Les motivations de ces cyberattaques sont de plusieurs natures : l'espionnage industriel, le chantage ou encore la revente d'informations sanitaires aux compagnies d'assurances complémentaires et aux laboratoires.
Sources : http://sante.lefigaro.fr/actualite/2015/02/13/23393-donnees-sante-attirent-hackers, http://www.directhopital.com/Cybersecurite--les-etablissements-de-sante-particulierement-exposes-NS_1598.html
Il est parfois avancé que conférer aux individus un droit de propriété sur leurs données personnelles (et notamment leurs données de santé) constituerait le meilleur moyen de rééquilibrer les pouvoirs avec les entités collectrices. Une nouvelle fois, le Conseil national du numérique invite à exclure cette option :
● parce qu’en plus de nier les rapports de fort à faible29, elle renvoie à l’individu la responsabilité de gérer et protéger seul ses données ;
● parce qu’elle ne pourrait que générer des revenus anecdotiques pour les usagers et susciter à l’inverse un marché de la gestion protectrice des données numériques ;
● parce qu’elle déboucherait à un renforcement des inégalités entre citoyens en capacité de gérer, protéger et monétiser leurs données et ceux qui, par manque de littératie, de temps, d’argent ou autre, abandonneraient ces fonctions au marché.
Ainsi, plutôt que les droits patrimoniaux, ce sont les droits de la personnalité qui doivent servir de fondement à la protection des données à caractère personnel. Cela suppose que le consentement ne puisse être absolu, que l’on ne puisse aliéner ses données de santé en toutes circonstances, comme l’on dispose d’une chose. Il s’agit, fondamentalement, de protéger l’intérêt de la personne et par ricochet, l’intérêt de la société dans son ensemble. Comme le souligne d’ailleurs
29 employeur/salarié, entreprise/consommateur, Etat/usager, assureur/assuré etc.
Antoinette Rouvroy30, “un acte de renonciation à un droit comme la vie privée n’est pas qu’un self-regarding act: il a aussi un impact sur la société car la divulgation volontaire par certains d’informations personnelles dans des contextes compétitifs comme celui de l’emploi ou de l’assurance oblige tous les autres à divulguer eux aussi des informations du même type sous peine de subir un désavantage compétitif ou de voir leur refus de divulgation interprété - par l’employeur, par l’assureur - comme un indice de mauvais risque”. Au regard de la sensibilité de certaines données personnelles, en particulier les données de santé qui touchent profondément à l’intime, il est nécessaire de trouver des équilibres plus viables.
Le principe d’autodétermination informationnelle, dégagé pour la première fois par la Cour constitutionnelle allemande en 1983, vise à renouveler le sens donné à la protection des données à caractère personnel. Repositionner le curseur de la protection des données sur la liberté des individus, sans pour autant basculer sur des logiques patrimoniales. Ce principe implique en préalable un renforcement de la protection conférée à l’individu, pour qu’il soit en mesure de s’opposer à ce qu’elles soient divulguées ou rendues accessibles à des tiers non autorisés. Mais plus encore, l’autodétermination vise à passer d’une posture uniquement défensive, de protection des données personnelles à une posture plus offensive de maîtrise, de contrôle et plus encore de capacité pour l’utilisateur à mobiliser et utiliser ses données pour ses propres finalités. Il ne s’agit plus de penser la protection des données personnelles comme une fin en soi, mais plutôt comme un outil essentiel au libre développement des personnes.
Dans un environnement numérique caractérisé par d’importantes asymétries de pouvoir, ce droit à l’autodétermination implique ainsi que les individus puissent non seulement se servir utilement des principes de la loi de 1978 (droit d’accès, de rectification, effacement), mais plus encore qu’ils puissent précisément décider du sort réservé à leurs données, choisir avec quels services ils souhaitent les partager et quelle utilisation en est faite. L’autodétermination informationnelle en santé s’articule ainsi autour de trois grands principes : protection, maîtrise et usages.
30 Antoinette Rouvroy, docteur en sciences juridiques de l'Institut universitaire européen (Florence, 2006), est chercheuse qualifiée du FNRS au centre de Recherche en Information, droit et Société (CRIDS) de l’Université de Namur. Elle s’intéresse depuis 2000, aux rapports entre le droit, les modes de construction et de du risque, les sciences et technologies, et la gouvernementalité néolibérale. Source : http://directory.unamur.be/staff/arouvroy