iconnographie : https://www.apssis.com/tribune-ssi/88/les-objets-connectes-risques-generaux-et-risques-particuliers.htm
"Serons-nous capables de choisir les éléments de la technologie qui améliorent la qualité de vie et d'éviter ceux qui la détériorent ?" Divid Baltimore
"Dans le passé, pour vivre dans des sociétés d'une complexité croissante, il nous fallait accroître notre humanité, maintenant, il nous suffit d'accroître la technologie." Edward Bond
"Maintenant Nous sommes tous connectés par Internet, comme des neurones dans un cerveau géant." Stephen Hawking
Article rédigé par : Léa Lepoix, Doctorante en Droit de la Santé - Université de Lorraine, Nancy
Aujourd’hui chacun de nous utilise au moins une fois par jour un objet connecté, et parfois sans même nous en rendre compte. Si nous avons une perception générale des objets connectés, ceux ci ne sont pas juridiquement définis. Ainsi, il n’existe pas encore de définition en droit français de ce qu’est un objet connecté. Les juristes n’ont d’autre solution que d’utiliser les définitions technologiques. Selon l’avocat BENSOUSSAN l’objet connecté est « un instrument, appareil, équipement, matière, produit ou autre article utilisé seul ou en association y compris les accessoires et logiciels comprenant les applications mobiles dotées ou en relation avec des capteurs et des systèmes de connectivité communiquant via un réseau, qui permet de collecter, stocker, transmettre et traiter des données issues du monde physique ».
Le recours massif aux objets connectés « suscite des interrogations tant sur le plan de la santé publique que de la protection des libertés individuelles et des réponses apportées à ces individuelles et des réponses apportées à ces interrogations dépendra sans doute le succès de leur développement industriel et économique » (Allaert François-André, Mazen Noël-Jean, Legrand Louis et al., « Les enjeux de la sécurité des objets connectés et applications de santé », Journal de gestion et d'économie médicales, 2016/5-6 (Vol. 34), p. 311-319). A cela s’ajoute une difficulté terminologique : « A l’heure actuelle, il n’existe aucune définition légale de l’objet connecté en santé. En adoptant une approche technique, l’OC peut se définir comme « un instrument, appareil, équipement, matière, produit ou autre article utilisé seul ou en association, y compris les accessoires et logiciels, doté de capteurs et de systèmes de connectivité communiquant via un réseau » (ROQUES (Morgane), LE CORRE (Frédéric), Rial (Emmanuelle), « Objets connectés et quantification du soi : éléments de réflexion pour un cadre juridique adapté », RGDM, n° 66, 2018, p. 157-172.)
Nous verrons dans une première partie que le cadre juridique est encore inadapté à la révolution numérique en santé (partie I) mais que les dangers viennent aussi de la pratique (partie II).
https://www.macsf.fr/responsabilite-professionnelle/Actes-de-soins-et-technique-medicale/objets-connectes-comment-prescrire-sans-risque
Partie I : un cadre juridique encore inadapté
Le dispositif médical, contrairement à l’objet connecté possède une définition juridique et dont d’un cadre légal d’application.
Le régime du dispositif médical est composé de deux critères cumulatifs : la finalité médicale et l’action exercée dans ou sur le corps humain.
Un dispositif médical doit être destiné par le fabricant à être utilisé chez l’homme à des fins, notamment, de diagnostic, de prévention, de contrôle, de traitement ou d’atténuation d’une maladie, ainsi que de diagnostic, de contrôle, de traitement, d’atténuation ou de compensation d’une blessure ou d’un handicap. Il s’agit de la finalité médicale : « un logiciel qui procède au recoupement des données propres du patient avec les médicaments que le médecin envisage de prescrire […] poursuit en conséquence une finalité spécifiquement médicale, ce qui en fait un dispositif médical ».
De plus, l’action exercée « dans ou sur le corps humain d’un dispositif médical ne peut être obtenue exclusivement par des moyens pharmacologiques ou immunologiques ni par métabolisme n’implique pas qu’un produit doive agir dans ou sur le corps humain pour pouvoir être qualifié de dispositif médical »
Le dispositif médical est un instrument, matériel ou non ; l’action de ce dispositif médical doit résulter au moins en partie de l’instrument. Il n’est donc pas nécessaire qu’un produit soit administré en plus de l’action du dispositif médical pour que celui-ci soit qualifié juridiquement de dispositif médical: une simple fonctionnalité suffit.
Afin d’éviter d’être soumis à la certification, les fabricants évoquent des fins d’agrément ou de loisir et non médicales, ce qui les délient autant de l’obligation de certification que des normes relatives à la protection des données privées.
En effet, depuis l’instauration du Règlement Général de protection des données (RGDP) , les données personnelles sont protégées : elles ne peuvent ni faire l’objet de collecte ni de traitement.
Une donnée personnelle est : « toute information se rapportant à une personne physique identifiée ou identifiable ».
https://bonne-assurance.com/memoires/comment-les-assureurs-peuvent-ils-utiliser-les-objets-connectes-pour-mieux-evaluer-le-risque/les-freins-lies-a-lutilisation-des-objets-connectes-les-reticences-des-assureurs/
Selon l'article 35 du RGPD, les données à caractère personnel concernant la santé se rapportent « à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mental passé, présent ou futur de la personne concernée. Cependant, si les dispositifs médicaux sont soumis aux règles relatives à la protection des données, ce n’est pas le cas pour les données issues des applications de bien-être.
Si la fonctionnalité est celle d’améliorer votre bien être en calculant votre rythme de sommeil, alors ces données peuvent être collectées puisqu’il ne s’agit pas de données à caractère personnel concernant la santé.
A contrario, le diagnostic d’apnée du sommeil est lui une donnée médicale qui ne peut pas faire l’objet de traitement, même si dans les faits, le diagnostic peut se déduire grâce à certains indicateurs.
En effet, la frontière est ténue entre les données médicales et paramédicales. Ainsi, indiquer notre lieu de résidence alors qu’il s’agit d’une ville régulièrement sujette aux pics de pollution peut être un indicateur de notre santé, sans même sans apercevoir. Qu’en est t-il du nombre de pas calculé par un podomètre intégré dans notre téléphone ou notre montre, le temps d’exposition au soleil grâce à un capteur intégré aux vêtements, le nombre de verres d’eau consommés dans la journée, notre température corporelle, notre poids, notre sommeil.
Hors, ce sont des données de bien être et non pas médicales, bien qu’elles traduisent une indication sur notre santé (la personne sédentaire qui marchera quelques pas vs le sportif dont les données traduisent de multiples activités hebdomadaires)
Des questions relatives à la responsabilité sous-tendent : si les médecins en viennent à prescrire un OC : sur qui portera la responsabilité ? Le prescripteur ? Le fabricant ? Le distributeur ?
« Le schéma classique de la responsabilité civile pour lequel intervient une faute, un dommage et un lien de causalité est quelque peu bouleversé. La faute est « tout fait quelconque de l’homme » (cf. l’article de référence : 1240 Code Civil. Or, ici l’application ou objet connecté fonctionne par algorithme qui est une aide à la décision. Ainsi, la responsabilité serait partagée entre l’usager et l’objet lui-même. La question de l’imputabilité du dommage risque de connaître de nouveaux contentieux. Enfin, la responsabilité du fait des choses pourrait aussi connaître un nouveau tournant. Le fabricant de l’objet connecté pourrait voir sa responsabilité engagée à la suite d’un dommage qu’il aurait causé par le biais d’une chose (l’objet connecté) qu’il n’avait pas sous sa garde, c’est-à-dire qu’il n’en avait ni l’usage, ni le contrôle ni la direction » (ANDALORO (Gladys), « La santé connectée en question », RGDM, n° 22, 2016, p. 351-369). S’il faut le rappeler, les biens meubles n’ont pas de personnalité juridique et ne peuvent jamais engager leur responsabilité.
Enfin, concernant le régime d’hébergement des données, « le champ d’application de ces dispositions dépend de l’origine et de la destination des données. Sont en effet concernées celles qui sont « recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ». C’est-à-dire à l’occasion de la prise en charge d’une personne, et hébergées pour le compte de la personne qui est à l’origine de leur production ou de leur recueil ou du patient. C’est donc le contexte sanitaire, social ou médico-social qui entraîne l’application du régime de l’hébergement des données de santé et non la nature des données hébergées. (Douville Thibault, « Les dangers de la collecte des données de santé par les tiers intéressés (gafam, assureurs…) », Journal du Droit de la Santé et de l’Assurance - Maladie (JDSAM), 2018/3 (N° 20), p. 12-16).
https://www.capcampus.com/high-tech-1437/les-objets-connectes-en-sante-par-laure-beyala-risques-usages-et-perspectives-a41128.htm
Partie II : Un risque considérable issu de la pratique
Si le risque du piratage et du ransomware est connu de tous, il convient de rappeler que « 30% de toutes les données stockées dans le monde concernent la santé » (Brouard Benoît, « Chapitre 2. Utilisation des Big Data en santé : le cas des objets connectés », Journal international de bioéthique et d'éthique des sciences, 2017/3 (Vol. 28), p. 27-30. DOI : 10.3917/jib.283.0027).
Par exemple, « Un défaut dans un protocole Bluetooth, qui équipe de nombreux appareils connectés (y compris médicaux), pourrait permettre une prise de contrôle à distance. C’est l’intéressante découverte faite par Damien Cauquil, un chercheur de l’entreprise française Digital Security en 2018. Deux appareils reliés entre eux par Bluetooth conduisent une conversation continue à l’insu de l’utilisateur. En envoyant des bits de données par ondes radio à des intervalles très précis, il semble possible pour une personne malveillante de prendre « la main » sur l’objet connecté et de récupérer les données, en faisant croire à celui-ci qu’il est connecté à son smartphone » (Babinet Olivier, Isnard Bagnis Corinne, « 7. Quelles sont les promesses et les peurs associées aux objets connectés ? », dans : , La e-santé en question(s). sous la direction de Babinet Olivier, Isnard Bagnis Corinne. Rennes, Presses de l’EHESP, « Débats Santé Social », 2020, p. 87-97.)
Une étude affirme que les « appareils connectés qui ne sont pas fabriqués par les principaux géants de la technologie — comme Amazon ou Google — sont en général plus facile à pirater », celles-ci sont « souvent des cibles faciles pour les hackers » la faille serait due «aux logiciels qui sont intégrés à ces appareils » et « sont souvent défectueux, et ne disposent pas de mises à jour de sécurité » De plus «le problème avec ces appareils issus de petites marques, c’est qu’il est souvent difficile de remonter jusqu’au fabricant ». Si ces petits appareils semblent inoffensifs, ils « peuvent aussi servir de points d’accès pour pénétrer dans d’autres outils informatiques d’un ménage » (Appareils connectés : un choix difficile, entre vie privée et sécurité, Grégoire Barbey, Heidi News, 18 novembre 2021) : le mieux serait alors de se tourner vers les grandes marques des GAFAM « qui ont des exigences élevées en la matière ».
Le risque de dérive vers le consumérisme médical est tout aussi grandissant : le patient va de plus en plus voir la médecine comme un service commercial comme un autre et va s’attendre de la médecine les mêmes choses que dans une relation de commerce banal, et dans un premier temps a savoir se comporter comme un client.
Le professionnel de santé ne sera plus vu comme un spécialiste de l’art médical, mais comme un technicien permettant d’accéder à un type de médicament ou de dispositif médical que le client estime avoir besoin selon le recueil de données : si la montre lui dit qu’il dort mal, alors il a besoin d’un somnifère : le médecin est dépossédé du diagnostic de la recherche de cause ou de corrélation, il devient prescripteur à la demande.
Le patient s’attendra à être traité comme un client et que toutes ses demandes soient acceptées et traitées rapidement, le client est roi, dit-on.
Un risque pèse aussi sur l’organisation des soins, ces données vont nourrir la recherche mais aussi à régler le flux de patient en apportant une réponse issue d’un raisonnement médical. Ainsi, si l’objet connecté aide à la prévention et au suivi thérapeutique du patient, le développement d’une médecine personnalisée au plus au point coûte cher et l’allocation des ressources n’est pas équitable. Ainsi, le risque est de voir s’accentuer la médecine à deux vitesses.
Les personnes aidées bénéficieront d’un suivi permanent et les personnes plus défavorisées devront se contenter d’une médecine commune ou pire issue d’une corrélation entre plusieurs données issue d’une intelligence artificielle. Ne risque -t-on pas d’atteindre à la solidarité nationale où les patients observants cotisent et sont remboursés sur une base différente des patients moins consciencieux ? Ou l’assurance maladie rembourserait les traitements des patients observasnt mais pas ceux des patients négligeants ?
Cette prophétie misérable s’est déjà réalisée : « on peut aussi facilement imaginer que des incitations à l’achat de ces OCS et de ces applications de santé seraient faites par des systèmes d’assurances privées en échange de la transmission d’informations témoignant du bon suivi ou non de règles d’hygiène de vie, avec en contrepartie des cadeaux ou bonus pour les « bons » patients et même à terme des hausses des primes d’assurance pour les plus négligents d’entre eux. Un précédent existe déjà dans le domaine des appareils de pression positive continue utilisés dans la prise en charge des patients atteints du syndrome d’apnées du sommeil. Ces appareils, dotés d’une puce détectant la durée de leur utilisation, les patients qui ne les utilisaient pas suffisamment se voyaient retirer l’appareil ou du moins celui-ci n’était plus pris en charge par l’assurance maladie. Suite à une plainte de certaines associations de patients, le Conseil d’Etat a déclaré illégale cette disposition , non pas sur le fond, mais simplement sur le moyen juridique, indiquant que cette mesure ne pouvait pas être fondée sur la seule décision de l’assurance maladie mais nécessitait une loi, loi qui pourrait un jour advenir... Dans le domaine des transports routiers, des systèmes existent également, analysant le comportement de l’utilisateur et récompensant ceux dont la conduite est la plus « souple ». (Allaert François-André, Mazen Noël-Jean, Legrand Louis et al., « Les enjeux de la sécurité des objets connectés et applications de santé », Journal de gestion et d'économie médicales, 2016/5-6 (Vol. 34), p. 311-319)
Les assureurs pratiquent déjà cette surveillance : « S’agissant des données de santé proprement dites, se pose la question de la surveillance du mode de vie des personnes. À l’image du" pay as you drive", le secteur de l’assurance imagine des polices d’assurance dont la prime varierait en fonction de l’activité physique ou de l’hygiène de vie des personnes en raison de leur incidence sur le risque couvert.
Outre la question de la surveillance continue des personnes, il y aurait alors une personnalisation du risque contraire à leur mutualisation. Surtout, cela pose la question de l’encadrement de ces pratiques. Faut-il introduire de nouveaux cas de discrimination interdisant la prise en compte de l’hygiène de vie ou de l’activité physique comme facteur ayant pour effet des différences en matière de prime et de prestations ou un droit à l’oubli spécifique ? » (Douville Thibault, « Les dangers de la collecte des données de santé par les tiers intéressés (gafam, assureurs…) », Journal du Droit de la Santé et de l’Assurance - Maladie (JDSAM), 2018/3 (N° 20), p. 12-16). Ainsi « A Boston, l’assureur John Hancock annonce jusqu’à 15 % de remise sur le contrat d’assurance-décès (plus des bons d’achat et de réduction) si le client porte un bracelet connecté au poignet, fourni gratuitement. (ANDALORO (Gladys), « La santé connectée en question », RGDM, n° 22, 2016, p. 351-369.)