Il y a eu beaucoup de nouveautés récemment dans l’univers des wearables technologies (appareils high-tech à porter sur soi), et notamment des « wearables » de santé et de remise en forme. Apple vient d’annoncer la publication d’une application nommée « Health » ainsi que d’une plateforme cloud appelée « Health Kit ». Dans un domaine apparenté, Nike a récemment renoncé à son bracelet de suivi d’activité Fuelband. La sagesse populaire indique que les dispositifs de suivi sont en déclin alors que le marché des wearables en général (je pense à Google Glass et à la prochaine iWatch) attend encore son moment décisif.
Et du côté de la confidentialité ? En fait, il y a également eu pas mal de mouvement dans ce domaine, notamment aux Etats-Unis et la FTC s’en occupe ! Elle a récemment organisé un événement intitulé « Consumer Generated and Controlled Health Data » et les intervenants (le commissaire, les technologues, les avocats et les experts en confidentialité de la FTC) conviennent que le potentiel des « wearables » de santé est énorme, mais que les données médicales méritent une protection spéciale en raison de leur caractère extrêmement sensible.
J’ai distillé leur sagesse en matière de confidentialité en cinq idées clés que ces experts veulent vous présenter. Elles concernent les données de santé, les données générées par les « wearables », la confidentialité des informations personnelles et les raisons pour lesquelles il est si difficile de créer une loi qui protège le tout.
1. La transparence et la confiance sont essentielles
Si les fabricants de « wearables » de santé et de remise en forme rédigent des déclarations de confidentialité ambiguës et ne demandent pas le consentement des consommateurs pour partager ces données, cela peut limiter les avantages de ces services pour de nombreuses personnes, en particulier celles qui accordent de l’importance au respect de leur vie privée. Pourquoi télécharger vos données de santé vers un serveur s’il n’existe aucune garantie qu’elles resteront privées ?
Certains experts suggèrent des notices d’information claires et concises sur la sécurité et la protection de vos données, en quelque sorte semblables aux étiquettes présentes sur les emballages de produits alimentaires.
2. Vos données de santé voyagent
Latanya Sweeney, technologue en chef de la FTC et professeur de Government and Technology à l’université d’Harvard, a tenté de documenter et de cartographier tous les flux de données entre patients, hôpitaux, compagnies d’assurance, etc. Elle a découvert que la trajectoire des données manque de clarté et qu’il est difficile de déterminer tous les endroits où elles peuvent aboutir.
Inspiré par cette cartographie, j’ai vérifié s’il est possible de voir certaines données relatives aux soins de santé sortir de l’écosystème médical. Cette possibilité existe ! Le récent rapport de la FTC sur le secteur des courtiers en données (voir annexe B) prouve que certains d’entre eux collectent des informations sensibles relatives aux patients.
3. Données de sortie en désordre
Les informations relatives à votre visite à l’hôpital sont également connues sous le nom de « données de sortie ». Selon la loi de votre état, ces données doivent être envoyées à toute entité légalement habilitée à les recevoir.
Que font les états de vos données de sortie ? Il se trouve que 33 d’entre eux vendent ou partagent les données de sortie. Parmi ces 33 états, seuls 3 sont conformes à la loi HIPAA.
4. La géolocalisation ne doit pas être négligée
Un aspect très important relatif à la confidentialité mentionné lors de l’événement organisé par la FTC est la géolocalisation. De nombreuses applications et de nombreux « wearables » de santé et de remise en forme collectent des données relatives à vos parcours ou aux moments où vous vous trouvez en salle d’entraînement. Certaines applications peuvent également prédire où vous vous trouverez à certains moments ou prévoir les moments où vous n’êtes pas chez vous.
5. Rien n’est jamais gratuit
En échange d’une application de santé et remise en forme gratuite, vous partagez BEAUCOUP de données. Cela n’a rien d’inhabituel dans l’univers des applications gratuites, mais il existe une grande différence entre transmettre des données médicales et partager votre liste de films préférés.
Certains utilisateurs peuvent accorder leur confiance à l’éditeur de leur application de soins ou au fabricant de leur appareil, Nike par exemple, sans savoir qu’employer le produit équivaut à autoriser la vente et la revente de leurs informations de santé à des tiers dont l’intégrité reste à démontrer.
Jared Ho, avocat de l’unité de technologie mobile de la FTC, a testé 12 applications de santé et de remise en forme et a découvert que ses données étaient envoyées au site Web du développeur ainsi qu’à 76 entités tierces, principalement des entreprises de publicité et d’analyse des données.
Voici ce qu’il a découvert :
- 18 des 76 entreprises concernées ont recueilli des identificateurs d’appareils tels que l’identifiant unique de périphérique.
- 2. 14 de ces 76 entreprises ont recueilli des identificateurs spécifiques aux consommateurs tels que le nom d’utilisateur, le nom et l’adresse électronique.
- 3. 22 de ces 76 entreprises ont reçu des informations relatives aux exercices, aux repas, aux régimes, aux symptômes médicaux, au code postal, au sexe et à la géolocalisation des consommateurs.
Personne ne peut prédire ce qui se produira sur le marché des « wearables ». Mais les technologies et les pratiques commerciales émergentes auront une incidence sur les réglementations relatives à la vie privée des consommateurs, car ce sujet reste au centre de l’actualité. Les inquiétudes et les préoccupations concernant ceux qui auront et ceux qui devraient avoir accès aux données de santé personnelles ainsi que ceux qui ont potentiellement accès à ces données resteront sans aucun doute des éléments de la discussion.
The post 5 choses que les experts en confidentialité veulent que vous sachiez à propos des « Wearable Technologies » appeared first on Varonis Français.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
David Gibson
David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.