Rubriques




Se connecter à

On a testé pour vous: comment protéger nos données personnelles de santé?

Nos données personnelles de santé sont devenues la proie de hackers et autres data brokers (courtiers en données). Pourquoi sont-elles devenues une cible et, surtout, quel risque prenons-nous en ne les protégeant pas?

Gaëlle Belda Publié le 29/06/2021 à 20:02, mis à jour le 30/06/2021 à 11:40
reportage
Photo Ga.B.

Nos smartphones comptent nos pas, enregistrent nos séances de méditation, nos montres connectées contrôlent nos pulsations, les applications santé se multiplient… mais dans quel but précis? Et qu’en est-il de nos données personnelles de santé quand on passe nos cartes vitales à la pharmacie? Des confrères reporters, après enquête, ont révélé que tout ça n’avait pas qu’une finalité scientifique ou même marketing. Mais il existerait des solutions pour préserver sa vie privée… nous les avons testées.

Conditions d’utilisation, webinar, tutos, chat

Étape un: aller fouiller dans mon téléphone, découvrir les paramètres de confidentialité et l’appli santé, très joliment matérialisée par un petit coeur rouge. Imposée par mon modèle de smartphone, je sais qu’elle enregistre déjà pas mal de données de façon automatique. Quand je mets ma montre connectée, que je marche rapidement, on me propose d’enregistrer mon activité. Voire on me suggère de reprendre mon air pendant une minute. Eh bien tout ça est bien noté dans mon petit journal de bord automatisé.

Est-ce que ça m’inquiète? Non. En revanche, on n’a pas toujours le portable à la main, alors les relevés ne sont pas vraiment conformes à la réalité. Du coup, je me dis qu’il ne faudrait pas que mon banquier tombe là-dessus sous peine d’imaginer que je suis devenue grabataire et qu’il faudrait peut-être réviser mes engagements financiers longue durée… des fois qu’il arrive un moment où je ne puisse plus payer.

 

 

J’ai bien regardé quelques tutos… j’ai besoin qu’on m’explique

Parce qu’on en est là. A flipper que quelques palpitations décelées par mon espion de poignet, couplées à un compteur de pas bloqué à 300, fasse fuir mon assureur. Je vois ça d’ici: "Pardon Madame, mais frôlez bien trop souvent l’arrêt cardiaque, il va falloir vous trouver une nouvelle compagnie d’assurance."

Du coup, je décide de déconnecter certains paramètres. 

C’est là que je commence à m’arracher les cheveux.

Lire les infos du constructeur en ligne, c’est fastidieux. J’ai bien regardé quelques tutos et autres webinaires sur la question mais il n’y a rien à faire: des subtilités m’échappent. J’ai besoin qu’on m’explique. 

Je n’arrive pas à prendre rendez-vous chez Apple. On me propose un coup de fil ou un "chat" en ligne. Je décide d’aller quand même faire la queue - longtemps - à l’Apple store. Pas de rdv, pas de conseiller. Il y a la Covid, tout ça, la situation est particulière, on ne met même pas un pied dans le magasin. Retour à la case départ.

Je lance un "chat".

Je n’y apprends rien de dingue mais on me "rassure" sur la confidentialité de mes données. Une ligne sur une fenêtre de chat et ma confiance aveugle, donc. Que puis-je faire d’autre?

 Les applis, quel danger?

DR.

Si je télécharge une appli, sport, santé, maternité, régime ou autre, j’ai bien conscience que j’affine encore un peu plus mon profil. Et que, potentiellement, je vais livrer sur un plateau de nouvelles infos, très personnelles, à je ne sais qui pour je ne sais quel usage. La règle, c’est donc: si je télécharge, j’assume. Mais pas sans jeter un oeil aux conditions d’utilisation ou cliquer "oui" à toutes les propositions. 

J’ai essayé. J’ai triché sur mon nom, mon âge, mon adresse… ça fonctionne. Là où c’est parfois vicieux, c’est lorsque le curseur pour valider ou pas des cookies ou autre - le plus souvent rouge pour "non" et vert pour "oui" - adopte un coloris quelque peu déroutant: comme corail et gris. Il y a aussi ces questions basiques mais qui ne sont pas toujours posées de la même façon. "Vous acceptez que…" "Vous refusez que…"

Si on va un peu vite, on passe tout en rouge… et bam, dans le panneau.

Une appli spéciale Covid… mais je n’ai rien demandé

 

 

 

En fouinant dans mon téléphone, j’ai aussi découvert de nouvelles fonctionnalités, dont une liée à la pandémie. "Notification d'exposition": on lit que si on active les notifications, "l’autorité de santé publique peut prévenir en cas d’exposition potentielle à la COVID-19." On me promet aussi que mon engin ne collecte rien si je ne clique pas. Mais quand même, c’est là et je n’ai rien demandé. Je n’ai même pas téléchargé l’appli "TousAntiCovid".

"Télécharger une appli n’est jamais anodin"

"Vous connaissez la phrase: si c’est gratuit, c’est vous le produit?" Jean-Philippe Ginestet en appelle à la responsabilité et au libre arbitre de chacun. Je fais appel à ses lumières de directeur en recherche et développement, conseiller High Tech, analyste en stratégie et technologie, installé dans les Alpes-Maritimes, il est aussi expert en disruptive technology (technologie de rupture), prototypage, Intelligence Artificielle, supercalculateur, BlockChain, Crypto, etc. C’est dire s’il maîtrise les dessous de nos applis. 

Nos données? "Tant que les constructeurs font de la macro analyse, c'est-à-dire qu’ils définissent, par exemple, que les utilisateurs Apple font plus de sport que ceux d’Android, ou bien selon leur tranche d’âge, etc. D’accord, il n’y a rien de dramatique. Mais ça pose quand même une question: ces données qui nous sont personnelles, dans la mesure où ils les monétisent, pourquoi on ne touche rien? Ils font quand même des milliards avec tout ça."

Il enchaîne: "Dans ce domaine, tout va très vite. L’Europe s’est réveillée avec dix ans de retard en matière de protection des données personnelles et  pourtant les conséquences sont graves. Géolocalisation, capteurs biométriques, mises à jour système qui installent des éléments toujours plus intrusifs. Et là, Apple ou Android, c’est même combat."

On nous dit que l’on va anonymiser les données mais on arrive toujours à les corréler et à poser une identité.

"En matière de santé, c’est très délicat: ça pourrait dire à mon employeur mon état de santé. On peut aussi imaginer que mes infos soient récupérées par mon appli de rencontre pour dire à mes partenaires potentielles que j’ai un rein en plastique ou que je ne fais pas assez de sport pour être en parfaite forme. Parce qu’on nous dit que l’on va anonymiser les données mais on arrive toujours à les corréler et à poser une identité."

Jean-Philippe Ginestet travaille avec différents pays, dont les Etats Unis. "Il y a des applis qui concatènent les données personnelles et les revendent spécifiquement pour permettre à des gens d’en faire chanter d’autres. Il y a des campagnes de dénigrement menées sur la base d’infos personnelles de santé. En politique, aux Etats-Unis, on pratique beaucoup. Influence, manipulation. Au départ, l’utilisateur installe simplement une appli. Mais il faut savoir que ce n’est jamais anodin."

Avec la Covid, on a encore franchi un palier

Pour lui, avec la crise sanitaire, "on a encore franchi un palier". "Sous couvert de la pandémie, nos données de santé ne sont plus du tout protégées. On nous parle de base de données cryptées mais c’est une hérésie. Aucune base de données n’a jamais été craquée."

Il évoque, soucieux, le IATA Travel Pass: "Une appli développée pour que les utilisateurs puissent mettre leur “statut sanitaire” à disposition de tous les gouvernements et des compagnies aériennes." La porte ouverte à toutes les dérives?

La solution? Ne plus voyager? Être vacciné? Et lâcher prise sur ce type d’information, pourtant très personnelle, en acceptant qu’elle soit divulguée… pour le bien de la réouverture des frontières et la reprise du trafic aérien?

Des data brockers dans nos pharmacies?

"Aux Etats-Unis on achète les relevés des ventes des pharmacies. Les officines passent des contrats avec ces courtiers en données, les data brockers Je le sais depuis longtemps et j’ignorais que nous en étions là aussi, en France." Jean-Philippe Ginestet marque un temps d’arrêt. 

"Ce dont il faut prendre conscience c’est que le pharmacien, quand il signe son contrat, n’est pas malhonnête. On lui jure que c’est anonyme et qu’il participe à une analyse qui va dans le sens de l’intérêt général, de la médecine, de la santé. Sauf que le data brocker, lui, n'a pas que cette info émanant de l’officine… il y en a des tonnes d’autres. Il a plein d’outils, des enquêteurs, des robots, des hackers. Il est très facile, pour lui, de recouper des données et de mettre des noms sur chacune d’entre elles… Et pourquoi pas revendre?"

Je m'oppose à l'envoi de mes données...

L’équipe de reporters de l’émission Cash Investigation, qui a enquêté plusieurs mois sur la question de la protection de nos données personnelles, levant ainsi le voile sur un certain nombre de pratiques douteuses, a livré quelques recommandations. 

On sait notamment que la CNIL (Commission nationale de l'informatique et des libertés) a autorisé les pharmacies à partager des données avec ces fameux data brockers, type IQvia [prononcer iquvia, NDLR]. On nous suggère donc de nous présenter au comptoir et dire "Je m’oppose à l’envoi de mes données à IQvia - sachant que 10.000 pharmacies ont un contrat - ou à la société Open Health".

Essayons...

Déclamer son texte à la pharmacie

Photo Cyril Dodergny.

Etape suivante, donc: filer à la pharmacie pour se procurer quelques boîtes de Doliprane… et déclamer LE texte: "Je m’oppose à l'envoi de mes données Iqvia". Histoire que ma liste d’achats, mes ordonnances et toutes les autres infos de ma carte vitale ne soient pas vendues à des fins marketing… ou pire.

Cette pharmacie est une grosse chaîne, type grande surface du médoc, j’ai supposé qu’ils avaient signé auprès d’IQvia mais rien ne me le disait. 

"Vous connaissez IQvia? Ou Open Health?" La jeune femme blonde qui m’accueille écarquille les yeux. J’explique. Elle appelle une consoeur un peu plus âgée. "En fait, j’aimerais m’opposer à l’envoi de mes données personnelles de santé." Seconde paire d’yeux écarquillés. On n’avance pas. "Je ne sais pas de quoi vous parlez." C’est une troisième qui intervient: "Ah oui, j’ai vu ça à la télé. Mais je ne sais pas du tout comment ça marche et si nous avons un contrat. Désolée."

 

J’insiste. Je veux voir un responsable. Autour de moi, ça hésite un peu à râler. Mais quand même, ça fait dix minutes que je bloque un comptoir. 

Le responsable n’est pas là. Faut repasser. J’insiste encore.

Cette fois, ça rougne un peu dans la file d’attente. 

Cinq minutes de micro panique encore. Un homme arrive. "Je vous écoute, je note, dîtes moi et je fais remonter." Je déclame ma petite phrase. Il me répond qu’il transmet. J’insiste. Je veux que ce soit fait. Il me le promet.

Je n’ai aucun moyen de vérifier.

"Il est impératif de se prendre en main"

"L’Etat français et l’Europe n’ont pas su nous protéger. Le RGPD n'est pas ou peu appliqué. La Cnil manque de poids. Il y a des sociétés malveillantes et il faut absolument se prendre en main." Notre expert, Jean-Philippe Ginestet, insiste: "On ne peut plus dire: je n’ai rien à cacher, je me moque de mes données! Vous savez pourquoi? Pour nos enfants! Parce qu’ils sont traqués depuis leur naissance mais qu’en plus ils auront à porter le poids des traces que leurs parents sont en train d’essaimer."

Rien n’est anodin. "Qu’est-ce qui nous dit que pour une embauche, on ne va pas remonter jusqu’à la prise d’antidépresseurs de la maman? Jusqu’au cancer du papa? Jusqu’au burn out du grand frère? Nous devons empêcher nos enfants de devenir des pantins à cause des datas."

Qu’en dit le conseiller bancaire? 

On a bien compris que la confiance pouvait difficilement régner. Alors, j’ai voulu border mes démarches par quelques questions à un médecin et à un conseiller bancaire. Juste pour savoir comment ils se positionnent. 

Mais c’est un peu le même topo qu’à la pharmacie. A la banque, l’homme en costume - qui ne souhaite pas être cité, comme le nom de l’organisme bancaire - en face de moi n’arrive pas bien à se positionner. "Pourrions-nous racheter des données personnelles de santé? Je ne crois pas…" Sauf que la validation d’un crédit passe déjà par une analyse de notre état de santé. On n’est déjà pas vraiment dans un traitement au cas par cas et humain. Analyse d’urine, prise de sang, contrôle du poids, de l’âge, des antécédents. 

On sait qu’une maladie chronique ou grave fait tiquer la banque… et l’assureur davantage encore. Si les choses dégénèrent, il devra potentiellement endosser tout ou partie des sommes engagées. C’est un risque qu’ils ne veulent généralement pas courir.

Ceci dit, "aller plus loin" dans la recherche d’infos santé autour ne serait pas, selon lui, très "éthique". D’autres, outre atlantique, ont sauté le pas… C’est tellement plus pratique se de procurer des données directement à la source: plus de risque de fraude, de dissimulation de certaines informations. Bref, on se sent quand même un peu en sursis.

Être connecté à ses patients

Luke Chesser - Unsplash - DR.

Et les médecins? Qu’en disent-ils? J’en sollicite un - qui restera anonyme également - qui semble plutôt relax avec ces questions-là. Il me parle de la montre connectée: "Il serait scandaleux que les informations qu’elle catalogue soient revendues à des fins marketing ou autre, mais j’aime bien le concept. Le partage de ces infos avec son médecin, son cardiologue ou autre, est intéressant. Pour un vrai suivi entre deux entrevues. Si, évidemment, le patient est consentant."

Il n’est pas équipé pour. "Pour le moment, on ne m’attend pas là-dessus. Mais ça viendra, c’est sûr."

Il continue: "Je n’ai jamais été démarché par des sociétés obscures par rapport à ma patientèle, pour des statistiques ou autre. Nous ne sommes sûrement pas ciblés comme les pharmacies. Et c’est tant mieux. Je refuserai quoi que ce soit qui concerne les données santé de mes patients mais peut-être, en effet, que des confrères auront un avis différent."

 

"La télémédecine, c’est un vrai progrès."

Jean-Philippe Ginestet s’est aussi intéressé aux montres connectées et aux applis santé liées. "On entre ses données ECG [électrocardiogramme, NDLR], on nous prend le pouls et même la température, puis une analyse se fait. Il y a des statistiques, un diagnostic… comme avec un médecin. C’est une forme d’analyse médicale hyper puissante. Il y a des maladies rares qui sont parfois décelées. Il y a des gens qui ont pu anticiper un souci médical grâce au résultat de ces calculs. En usage médical, ces montres connectées, c’est assez génial."

Mais il y a toujours le revers de la médaille. "Le tracking. L’analyse du comportement. On peut aller bien au-delà de la simple requête de l’utilisateur. Selon l’image qu’il regarde et les réactions que cela provoque, on peut conclure pas mal de choses. Il y a tous les capteurs qui peuvent nous donner l’humeur précise de la personne. Il y a aussi la caméra. En pleine forme? Stressé? Contrarié? Dépressif? On sait ce que tu ressens…"

Et tout ça peut aussi être utilisé contre nous. Il faut juste le savoir avant de faire son choix.

Attention aux données génétiques

DR.

Autre questionnement, autre expert. Arnaud Legout est chercheur de l’Institut national de recherche en sciences et technologies du numérique (Inria) à Sophia-Antipolis, spécialiste des questions de vie privée sur Internet et de protection des données. Pour lui, le risque le plus grave - avant ceux liés aux traces que l’on laisse sur les réseaux sociaux et ceux que l’on disperse en effectuant nos recherches - est celui qui concerne les données génétiques. 

On a tous, autour de nous, des gens qui s’interrogent sur leurs racines. Quand on ignore tout de sa famille, on n’a pas non plus d’antécédents médicaux. En France, des tests peuvent être effectués sur demande du tribunal pour une recherche de paternité. Le médecin peut aussi faire cette demande, pour raisons médicales. 

Mais il y a aussi les kits de test génétique par ADN que l’on commande sur des sites américains, suisses ou belges. 

 

 

Vous fournissez les données les plus privées de personnes sans aucun consentement.

"Faire des tests génétiques, ça veut dire que vous donnez votre génome à une société privée. Mais pas seulement le vôtre: celui de vos parents et de vos enfants également. Vous fournissez les données les plus privées de personnes sans aucun consentement." 

On en revient à ce que l’on laisse à nos enfants.

Afficher une déficience génétique, c’est dire qu’ils peuvent potentiellement porter la même… Alors qu’il n’en est peut-être rien.

Aujourd’hui, la réglementation empêche ce type de divulgation, mais Arnaud Legout s’interroge sur "l’impact que ça pourra avoir dans la réglementation dans 10, 15, 20, 30 ans". "Aujourd’hui, on n’en a aucune idée. Mais le potentiel de risque est absolument majeur. On pourrait imaginer des gens qui seraient privés d’études parce qu’il n'y a plus assez d’argent pour que tout le monde en fasse, des gens qui seraient euthanasiés parce qu’il n’y aura plus assez de nourriture pour tout le monde…" 

De la dystopie pour le moment. "Mais les gens donnent toutes les informations nécessaires pour que cela arrive."

Offre numérique MM+

...

commentaires

Les insultes, les attaques personnelles, les agressions n'ont pas leur place dans notre espace de commentaires.
Tout contenu contraire à la loi (incitation à la haine raciale, diffamation...) peut donner suite à des poursuites pénales.

“Rhôooooooooo!”

Vous utilisez un AdBlock?! :)

Vous pouvez le désactiver juste pour ce site parce que la pub permet à la presse de vivre.

Et nous, on s'engage à réduire les formats publicitaires ressentis comme intrusifs.