Protection des données liées à la santé mentale : du chemin reste encore à faire

La maladie mentale et les troubles psychiques touchent près d'un cinquième de la population, soit 13 millions de Français, d'après l'Organisation mondiale de la santé (OMS). La France est particulièrement touchée puisqu'elle est la plus grosse consommatrice de psychotropes du monde.

Face à ce constat, des start-up ont décidé de s'attaquer à ce marché en proposant des logiciels dans divers domaines (addictologie, prévention, téléconsultation, bien-être...). Celles-ci se nourrissent de nombreuses données, dont certaines peuvent être qualifiées de données de santé.

Un collectif rassemblé sous les mêmes valeurs

"Nous récupérons beaucoup de données en tant que solution de santé numérique. Nous devons donc faire attention à ce que nous en faisons", explique Geoffrey Kretz, le co-fondateur et CEO de la start-up Kwit qui édite une application de sevrage tabagique, à L'Usine Digitale. Il est également secrétaire et membre du board du collectif MentalTech, une association regroupant une vingtaine de start-up spécialisées dans la santé mentale.

Pour faire partie de ce regroupement, les membres doivent adhérer à "une charte d'engagements éthiques et déontologiques en e-santé mentale". Bien qu'elle ne soit pas juridiquement contraignante, elle engage moralement ses signataires. On peut notamment y lire que " (...) parce que les données en santé mentale sont particulièrement sensibles, cette responsabilité implique leur gestion et leur protection, avec une approche 'privacy' et 'security by design' (le second se référant spécifiquement à la cybersécurité). Le tout en réponse à un enjeu sous-jacent de souveraineté numérique nationale". 

La protection des données n'est pas prioritaire

La protection des données oui c'est important, indique le CEO. Mais jusqu'à un certain point. En pratique, le collectif ne vérifie pas avant leur adhésion que ses membres respectent effectivement bien la réglementation en matière de protection des données de santé. "Oui c'est un sujet important mais nous restons une petite association, nous n'avons pas les moyens de le vérifier. Nous nous basons sur la bonne foi", répond-t-il. "C'est plutôt le côté éthique et médical que nous cherchons à vérifier plutôt que la data", ajoute-t-il.

A la question de savoir si l'installation d'antennes locales de la Commission nationale de l'informatique et des libertés (Cnil) pourrait aider les start-up à respecter la loi, il avance des difficultés pratiques à effectuer "un audit RGPD" qui prendrait "des semaines" et nécessiterait des personnes qualifiées. Pour l'avocate Apolline Schmitt, qui se présente comme DPO certifiée et DPO de la société Kwit, l'autorité française fait déjà beaucoup malgré son manque de moyens. Elle cite le guide RGPD pour les développeurs, dont la version révisée a été publiée en décembre 2021. "Le gouvernement devrait se rendre compte que cela sert aux entreprises", note-t-elle.

Aucune crainte sur un contrôle de la Cnil

Geoffrey Kretz a une vision bien particulière de la législation sur la protection des données. "Le droit c'est souvent trouver la zone grise pour que cela reste légal sans être trop pénalisé, déclare-t-il. Honnêtement, c'est que l'on demande à un avocat. Quand je travaille avec Apolline, nous respectons évidemment la loi mais quand c'est trop contraignant je lui demande si on peut faire ça ou ça puis on essaye de s'ajuster." Il estime que son entreprise respecte bien le RGPD sans "tout faire à 100% juste". "Demain, si j'ai un vrai contrôle, je suis sûr qu'ils trouveront des failles", assure-t-il. Pour autant, en tant que porte-parole de MentalTech, il affirme que les start-up n'ont "pas du tout" peur d'être contrôlées par la Cnil. Pour rappel, le RGPD prévoit une amende pouvant aller jusqu'à 4% du chiffre d'affaires mondial d'une entreprise en cas de non-respect d'une obligation.

Comme mentionnée au-dessus, la charte met également avant la "souveraineté numérique nationale". Là encore, rien n'est vérifié, en particulier sur le sujet de la localisation de l'hébergement des données. Pour le porte-parole, la réglementation est trop lourde. "La France a quand même un côté très contraignant avec les hébergeurs de données de santé, juge-t-il. C'est un peu tiré une balle dans le pied des start-up : nous avons plus de contraintes à respecter que nos concurrents." Avis partagé par Apolline Schmitt : "on se tire un peu une balle dans le pied en demandant un hébergeur de données de santé quand on sait que Google et Amazon ont reçu l'agrément et que les petites boîtes françaises d'hébergement n'arrivent pas à l'avoir".

"Des services qui datent de l'ère préhistorique"

C'est l'article L.1111-8 du code de la santé publique qui impose aux organismes publics et aux entreprises, qui hébergent et exploitent un système d'information de santé, d'être eux-mêmes agréés ou de choisir un hébergeur de données de santé (HDS). En revanche, la loi n'impose pas de choisir un hébergeur français. Heureusement, d'après Geoffrey Kretz qui estime que l'offre française actuelle n'est pas du tout à la hauteur. Il a d'ailleurs choisi Google Cloud Platform (GCP), qui est bien certifié HDS, pour héberger les données de Kwit. A noter que ces dernières, qui étaient jusqu'ici hébergées aux Etats-Unis, sont en train d'être migrées vers un data center situé en Europe. "Si vous faites du français, cela va vous coûter dix fois plus cher pour des services qui datent de l'ère préhistorique, rétorque-t-il. Google, Azure ou Amazon Web Services ont des services tellement puissants. C'est presque de la magie !" De toute façon, juge-t-il, "les utilisateurs s'en moquent beaucoup" de savoir par qui et où sont hébergées leurs données de santé. 

Ne serait-ce pas aux entreprises françaises de montrer l'exemple en choisissant des providers français, demandons-nous à Geoffrey Kretz. Ce à quoi il répond : "c'est un peu cruel mais si nous le ferions si seulement si nous étions contraints". D'ailleurs, MentalTech n'impose aucune ligne de conduite à ses membres. Ceux-ci ont fait des choix différents. Tandis que Moka.care a choisi OVHcloud, la solution de téléconsultation Qare a préféré Amazon Web Services (AWS). Geoffrey Kretz dit tout de même être intéressé par "une solution européenne" à condition qu'elle ne soit pas "vraiment plus chère" que les offres américaines. 

La fragilité du Data Privacy Framework

Apolline Schmitt reconnaît que le choix d'un hébergeur américain peut soulever certaines problématiques. Car, pour rappel, les décisions d'adéquation entre l'Union européenne et les Etats-Unis pour encadrer les flux de données ont été sabrées les unes après les autres. "Je ne parierai pas sur cette nouvelle réglementation", déclare la juriste en faisant référence au Data Privacy Framework (DPF) adopté en juillet 2023 par la Commission européenne. Quelques jours après son adoption, le militant autrichien Max Schrems, président d'honneur de l'association Noyb, avait annoncé son intention de contester cette nouvelle décision d'adéquation, comme il a pu le faire pour les précédentes. 

Si la protection des données n'est pas au rang des priorités absolues pour les jeunes pousse, c'est parce qu'elles sont préoccupées par d'autres sujets, explique Geoffrey Kretz. Il mentionne "le tarissement des levées de fonds" – en 2023, elles ont été divisées par trois – qui ont de fait réduit certains budgets. "Financer de la formation à la protection de la donnée, cela a un coût, note-t-il. Il y a aussi la nécessité de former les salariés à la sécurisation des données." Pour Apolline Schmitt, c'est d'ailleurs un sujet particulièrement important : "dès qu'on a un doute sur la sécurisation de la donnée, il faut réagir". 

La protection des données devrait prendre un rôle plus important "dans les mois et années à venir", analyse le CEO de Kwit. En effet, explique-t-il, pour espérer être remboursées par l'Assurance maladie en tant que dispositif médical, les start-up doivent "respecter des normes", dont certaines sont relatives à la protection des données.