A travers votre carte vitale, des informations très personnelles sur votre état de santé et la prise de médicaments sont transmises aux officines, à vos médecins, à vos mutuelles de santé et à votre caisse primaire d'assurance-maladie. Jusqu'à ce jour, un pacte de confiance, implicite mais bien réel, régissait les relations entre la personne souffrante et le monde de la santé. Depuis l'émission de Cash investigation, la découverte d'un Data broker dans cette relation - jusqu'ici invisible - porte un sérieux coup de canif au contrat !
Sous couvert d'un intérêt public dont les contours de la définition manquent singulièrement de clarté, la CNIL a autorisé en 2018 un Data Broker à collecter gratuitement nos informations de santé à travers une solution applicative mise à disposition gracieusement auprès de 14000 pharmacies. En retour des données de santé qui nourrissent le Minotaure, les officines bénéficient de tendances de consommation qui améliorent leur productivité et leur gestion des stocks. Si l'intérêt général de la démarche ne saute pas spontanément aux yeux, en revanche notre esprit imagine sans peine les profits que les parties - hormis le malade évidemment - peuvent tirer de ce lucratif business.
40 millions de Français seraient ainsi pistés et alimenteraient - malgré eux - une vaste base de données de leurs pathologies, de leurs traitements et des médicaments prescrits. Une information aurait dû a minima leur être délivrée - à défaut d'une demande de consentement, mais la CNIL en a décidé autrement en autorisant cette activité en 2018 - et pourtant les mentions d'informations se sont faites très discrètes, voire inexistantes.
La CNIL avait en 2018 imposé un cahier des charges strict. Les finalités de ces traitements visant à collecter et exploiter des données de santé devaient être très précisément détaillées et présenter un intérêt public. Le cahier des charges mentionnait le contrôle de comités scientifiques chargés d'évaluer l'intérêt public des projets exploitant ces données sensibles...
Le cahier des charges imposait également l'obligation d'informer les personnes concernées par l'intermédiaire des pharmaciens. Avec, en prime, la possibilité d'exercer un droit d'opposition du malade. La CNIL répond à Cash investigation qu'elle n'a pas reçu de plainte concernant l'entreprise américaine. Effectivement, sans information à ce sujet, il y avait peu de chances que la CNIL reçoive des plaintes...
Le droit d'opposition face à l'exploitation de données à caractère personnel est un droit essentiel de la réglementation européenne et dans le droit national, et tout particulièrement en cas de collecte de données sensibles. Cash investigation enfonce le clou en révélant que la solution applicative mise à disposition des pharmacies ne permettaient pas - jusqu'à l'émission - la suppression individuelle de données.
Le cahier des charges pointe enfin la pseudonymisation des données recueillies, et notamment la non transmission du numéro de sécurité sociale. Mais là encore, l'émission de Cash investigation retrouve dans le Net des vidéos du dirigeant de l'entreprise américaine expliquant qu'il est très facile de récupérer l'identité d'un malade en combinant certaines d'informations entre elles (fiches d'hospitalisation, parcours de santé...).
La CNIL promet d'intervenir et de diligenter des contrôles. Nous avons hâte d'en connaître les résultats.
Kommentare