Qui n’a jamais téléchargé une application mobile sur son smartphone ? Avec un taux d’équipement en France estimé à 27,7 millions de personnes, pas grand monde.
Qui a déjà lu les conditions générales d’une plateforme de téléchargement avant de le faire ?
Qui s’est interrogé quant aux relations contractuelles qui se nouaient en appuyant sur les boutons « Acheter » ou « Télécharger » ?
Aucune estimation n’existe sur ces deux dernières questions. Mais une chose est certaine, la réponse est la même. Pas grand monde !
Pourtant, en matière de m-santé, l’impact est littéralement colossal.
En pratique, trois contrats seront nécessaires à la distribution d’applications de m-santé sur une plateforme de téléchargement. Le premier sera passé entre l’éditeur de l’application et la plateforme. Le deuxième, entre la plateforme et le mobinaute. Et le dernier, entre l’éditeur de l’application et le mobinaute. Oui, dans la pratique on « voit » rarement le dernier, mais cela ne l’empêche pas d’exister.
Pourquoi un schéma aussi complexe? Très simplement parce que la plateforme se rémunère sur les téléchargements et les achats in-app. Pour ce faire, elle doit être propriétaire du mobinaute et ainsi s’assurer une visibilité sur les transactions commerciales qui seront passées. Juridiquement, cela se traduit par une clause dans les contrats plateforme – éditeur indiquant que les mobinautes sont les clients de la plateforme et que leur identité ne sera pas révélée à l’éditeur.
A ce stade, vous devriez logiquement commencer à voir où se situe le problème. Pardon, les problèmes.
Voyons aujourd’hui le premier de ces problèmes.
La plateforme propose des applications dédiées à la santé en général ou à une pathologie en particulier. Chaque fois qu’un mobinaute télécharge une application de m-santé, la plateforme apprend quelque chose sur l’état de santé du mobinaute. Rien de vraiment utile lorsqu’il s’agit d’une application générique. En revanche, s’il s’agit d’une application dédiée à une pathologie, comme le diabète, on peut raisonnablement considérer qu’un clic sur le bouton « Télécharger » signifie « je suis diabétique ».
Le téléchargement permet donc bel et bien d’inférer une donnée de santé.
Bien, imaginez maintenant que notre application de m-santé soit éditée par un laboratoire pharmaceutique, un fabricant de dispositifs médicaux ou un établissement de santé. Les trois sont soumis sinon au secret professionnel, à tout le moins à l’obligation de confidentialité des données de santé. Mais en l’occurrence, n’est-on pas en présence d’une violation de ces obligations ?
Dans un schéma de distribution classique, la réponse serait négative. La plateforme serait un sous-traitant. Elle devrait exercer son activité au nom et pour le compte de l’éditeur et, en Union européenne, elle se verrait interdire toute utilisation personnelle des données ainsi collectées.
Sauf qu’en l’occurrence, en se bombardant propriétaire des mobinautes, la plateforme échappe à ce montage. Ce faisant, elle n’exerce plus pour le compte de l’éditeur. Une violation de l’obligation de confidentialité serait donc envisageable.
Gênant.
Plus embêtant encore. La plateforme n’étant pas sous-traitant, elle utilise donc librement les données de santé ainsi collectées. De les utiliser dans un but autre que la finalité de l’application de m-santé, évidemment.
Embêtant.
Pire. Vous connaissez une plateforme d’applications mobiles qui exercer son activité en Union Européenne ? Aucune. En principe, elles sont toutes régies par la législation américaine. Législation américaine qui n’est pas vraiment protectrice des données à caractère personnel.
Embarrassant.
Résumons.
Le mobinaute est le client de la plateforme.
La plateforme utilise librement les données de santé inférées à partir du nom et de la destination de l’application de m-santé.
Cette utilisation se fait en dehors de l’Union Européenne, dans un cadre juridique vraisemblablement moins protecteur des données à caractère personnel.
Concilier m-santé et confidentialité des données de santé est donc délicat. Des solutions juridico-pratiques existent, évidemment.
Mais empêcher l’exploitation commerciale des données de santé filtrant vers la plateforme relève de la gageure.
Voilà peut-être de quoi relativiser (oserais-je ajouter « considérablement » ?) la question du traitement de données de santé par des sociétés commerciales installées sur le territoire français, non ?