Données collectées par les applications de bien être : quel régime juridique ?

Les limites entre sport et santé peuvent être floues, notamment lorsque le sport est un moyen de se maintenir en bonne santé.

Applications de bien-être : de quoi parle-t-on ?

Les applications de bien-être se développent dans les boutiques d’applications pour téléphones mobiles. La Haute Autorité de Santé (HAS) en recensait plus de 350 000 en 2020. Elles ont en commun de ne pas revendiquer de finalité médicale (à défaut, il s’agirait de dispositifs médicaux mis sur le marché selon la procédure applicable de marquage CE).

Pour les moins « sportifs », on trace :

  • ses pas quotidiens

  • les étages montés

  • les kilomètres de marche.

Les plus sportifs collectent leurs déplacements, avec les vitesses ou le rythme cardiaque associés, etc.

Ces données collectées sont-elles des données de santé ?

Le rythme cardiaque peut servir à détecter des pathologies cardiaques, mais lorsqu’il est associé à une activité sportive, par exemple la course à pied, est-il une donnée de santé ?

Bien sûr, si les données restent stockées en « local » sur les terminaux de l’utilisateur, l’absence de partage des données clos les débats : les régimes juridiques complexes liés au traitement de données personnelles de santé sont écartés…

Mais l’intérêt  de ces applications réside justement dans les fonctions de partage mises à disposition des utilisateurs : partage à des tiers, stockage dans le cloud pour retrouver ces informations de multiples terminaux : téléphone, ordinateur, matériel dédié à l’activité physique, etc. La question de la qualification de la donnée (donnée de santé ou non) est alors primordiale. 

La CNIL consacre une page de son site internet à cerner la donnée de santé : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante.

Malheureusement, aucune réponse claire ne se dégage pour les données de bien-être.

A la question de la de savoir si les données personnelles collectées par les applications de bien-être sont des donnés de santé, la CNIL répond :

« Tout dépend d’une part de la nature des données (un poids excessif peut révéler une obésité),  d’autre part du croisement ou non de ces données à d’autres données révélant ainsi des informations sur l’état de santé de la personne ».

La conclusion est qu’il n’y a pas de réponse évidente et qu’il faudra analyser au cas par cas les données collectées par l’application, tout comme le discours tenu par l’éditeur de l’application.

Et dans le doute, la solution sera de privilégier l’approche la plus protectrice des données, à savoir la qualification de donnée de santé. Les conséquences sont alors multiples et il faut au moins appliquer les régimes juridiques suivants :

  • données personnelles sensibles de santé de la loi Informatique et Libertés ;

  • hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;

  • interdiction de céder les données de santé, y compris gratuitement et/ou avec l’aval de la personne concernée (art. L. 1111-8 VII du CSP).