Les applications e-santé utilisent nos données personnelles !
Nous évoquions récemment l'accès aux données de santé par l'intermédiaire du Système National des Données de Santé, qui fait l'objet d'une réglementation très stricte. Il apparaît que ces précautions sont loin d'être respectées par tous les opérateurs.
Une récente enquête du site allemand spécialisé AV-Test, spécialiste de la sécurité informatique, montre en effet que les fournisseurs d’applications d’e-santé sont peu attentifs à la protection des données personnelles.
Pire que cela, nombre d'entre eux tireraient même profit de la collecte et de l’utilisation à notre insu de ces données !
Une offre d’applications de santé abondante
Les applications e-santé permettent à leurs utilisateurs de bénéficier d’un certain nombre d’informations, depuis leur consommation de calories, leurs risques d’hypertension, de déséquilibre alimentaire, le rappel de l’heure de prise de leur médicament, ….
On compte aujourd’hui plus de 100 000 de ces applications. Ce marché est gigantesque et les données qui peuvent être collectées intéressent non seulement les développeurs, mais aussi les industriels du sport, de la médecine, les agences de publicité,….
La collecte de ces données se fait par exemple au travers des capteurs des smartphones, et des objets qui leur sont connectés (balances, bracelets,…).
Au-delà de ces informations, il faut ajouter celles communiquées directement par l’utilisateur ou celles qui sont stockées dans son téléphone.
La mise à disposition d’applications gratuites est un moyen, pour nombre de fournisseurs, d’inciter les utilisateurs à les laisser accéder à leurs données.
Les utilisateurs de ces applications sont pourtant peu enclins à partager leurs données personnelles, comme le montrent plusieurs études.
Selon les directives européennes, ces données sont protégées et chaque utilisateur doit préalablement donner son accord pour leur collecte, traitement et utilisation.
L’information de l’utilisateur doit par ailleurs être complète et l’utilisation des données de santé est théoriquement très encadrée. La charte des droits fondamentaux de l’Union Européenne rappelle d’ailleurs, dans son article 8.1, que toute personne a droit à la protection des données à caractère personnel la concernant.
60 applications testées
L’institut AV-Test a testé 60 applications Android, avec l’aide d’experts en sécurité. Le panel testé regroupait tout type d’application de santé (recherche de professionnels de santé, capteurs d’activités, surveillance des constantes, surveillance du sommeil, consommation de calories,…).
AV-Test a montré que les différentes obligations sont peu respectées des développeurs d’applications e-santé.
Les experts en sécurité sollicités ont ainsi contrôlé l’adéquation entre la finalité de l’application et les données collectées, le respect des différentes exigences, et la façon dont les données étaient utilisées, voire transférées.
L’étude réalisée montre que 20 % seulement des applications de santé testées informent l’utilisateur au travers d’une déclaration de protection des données. Cette situation ne constitue pas un cas isolé, puisque d’autres études montrent que 85 % des applications du Google Play Store n’ont pas de politique de confidentialité suffisante (ce constat a ainsi amené récemment Google à se montrer plus exigeant en la matière).
Les applications de santé testées se sont montrées particulièrement indiscrètes puisque nombre d’entre elles accédaient aux données utilisateur, aux photos, aux données enregistrées sur le smartphone, à la géolocalisation, aux données concernant les appels téléphoniques,…
Sur les 60 applications testées, 12 accédaient par exemple à la caméra/appareil photo, 7 au microphone, et 3 aux fonctions téléphoniques. Huit applications seulement ne demandaient aucun accès.
Au regard de la finalité des différentes applications testées, près de la moitié des demandes d’accès ont été jugées injustifiées par les experts d’AV-Test (par exemple quel est l'intérêt, comme cela a été constaté, de collecter des données de géolocalisation pour une application destinée à enregistrer le cycle menstruel ?…).
AV-Test a également montré que nombre d’applications avaient recours à des outils de pistage habituellement utilisés par des régies publicitaires et des acteurs du web (Google, Analytics, Baidu,…).
Certaines données sont également directement communiquées à Facebook. Ce pistage ne fait la plupart du temps pas l’objet d’une information de l’usager.
D’autres informations, souvent non chiffrées, sont échangées avec les serveurs des fournisseurs d’applications de santé : par exemple les noms d’utilisateurs, les identifiants et mots de passe divers, …
Même s'il existe certaines recommandations comme celles de la HAS (qui a développé un référentiel de bonnes pratiques pour les applications santé) , il existe peu de contrôles en dehors de ceux que Google exerce (mais n'oublions pas que celui-ci est l’un des principaux bénéficiaires de l’utilisation commerciale de ces données).
Cette étude d’AV-Test montre l’importance pour tout utilisateur de smartphone, avant d’utiliser une application, et tout particulièrement une application de santé, de vérifier avant de l’installer, à quelles type de données celle-ci a accès.
Pour en savoir plus: Sur écoute ! Les applications d’e-santé gratuites se paient en données personnelles !