À qui appartiennent réellement toutes vos données de santé ?

À qui appartiennent réellement toutes vos données de santé ?

Indice : ce n’est pas vous.

Les habitudes de sommeil. Fréquences cardiaques. Cycles menstruels. Fluctuations de poids. Horaires des médicaments. L’emplacement des principaux dirigeants mondiaux. Chaque matin, des millions de personnes enfilent des montres intelligentes, ouvrent des applications de suivi des règles et téléchargent leurs informations les plus intimes sur le cloud. On nous dit que ces données optimiseront notre santé et nous aideront à vivre une vie meilleure. Mais une question plus sombre se cache sous la surface : à qui appartient réellement toutes ces informations, et où se situe exactement la frontière entre optimisation et surveillance ?

Tout d’abord : ce que protège réellement la HIPAA

En discutant de ce sujet avec mes amis et ma famille, presque toutes les personnes que je connais ont supposé que leurs données de santé bénéficiaient de solides protections fédérales en vertu de la HIPAA (la Health Insurance Portability and Accountability Act). Malheureusement, ils ont tort. HIPAA s’applique exclusivement aux « entités couvertes », c’est-à-dire les régimes de santé et les prestataires de soins de santé. Le tracker d’activité à votre poignet ? Non couvert. L’application de suivi des règles sur votre téléphone ? Non couvert. Le moniteur de sommeil à côté de votre lit ? Vous voyez l’image.

« Lorsque nous pensons que nous sommes protégés et que nous ne le sommes pas, c’est alors que nous courons un danger », déclare Ron Zayas, expert en matière de confidentialité en ligne et PDG d’Ironwall by Incogni. « Ainsi, lorsque vous laissez une entreprise collecter vos données de santé, vous pouvez supposer deux choses en toute sécurité : 1) vous n’êtes pas couvert par les protections HIPAA. et 2) l’entreprise va vendre vos données. » La raison est simple : d’ordre économique. La vente d’informations sur les utilisateurs génère souvent plus de revenus que le produit lui-même. Vos données de santé sont extrêmement personnelles, ce qui les rend extrêmement précieuses.

Que se passe-t-il lorsque nous ne possédons pas nos données de santé

Je me souviens personnellement du moment où mes amis et moi avons frénétiquement supprimé les applications de suivi des règles après que la Cour suprême a annulé Roe v. Wade en 2022. Ce qui semblait autrefois être de simples outils pour surveiller mon cycle ressemblait soudainement à des preuves potentielles dans des enquêtes criminelles. Nous étions terrifiées à l’idée que nos données menstruelles puissent être assignées à comparaître pour prouver que nous avions avorté, et cette peur n’était pas paranoïaque. Comme l’explique Zayas, les gouvernements peuvent acheter les mêmes données que n’importe qui d’autre et les croiser avec les informations de localisation des téléphones mobiles. « Quand vous avez eu ou sauté vos règles, cela peut impliquer si vous êtes enceinte ou si vous essayez de tomber enceinte », dit-il. « Les gouvernements peuvent acheter ces informations et les relier à vos récents voyages pour décider si vous avez eu un avortement ou une fausse couche. »

En même temps, j’aime toutes sortes d’« optimisations » liées à la santé. J’adore partager mes courses sur Strava et vérifier mon score de sommeil sur mon Garmin. En dehors de mes vanités, les gadgets de santé peuvent apporter des avantages qui changent la vie : surveillance de la glycémie, suivi de la variabilité de la fréquence cardiaque, détection des habitudes de sommeil irrégulières. Mais que se passe-t-il lorsque ces données montrent que vous ne faites pas assez d’exercice, que vous mangez mal ou que vous dormez de manière irrégulière ? Vos tarifs pourraient-ils augmenter ? Pourriez-vous vous voir refuser la couverture ?

Comme pour les craintes liées au suivi des règles, la véritable préoccupation ici est que les mêmes flux de données qui vous aident à vous sentir maître de votre santé – et qui rendent votre vie quotidienne plus « optimisée » – peuvent être exploités à des fins de profilage d’assurance, de publicité ciblée ou même de décisions d’emploi, si les politiques de partage de données ne sont pas strictement contrôlées. Jetons un coup d’œil aux petits caractères pour voir où vont exactement vos données et ce que vous pouvez faire pour vous protéger.

Les petits caractères que personne ne lit

Julia Zhen, responsable tierce des risques liés à la sécurité des informations dans une grande organisation à but non lucratif, déclare : « Si vous souhaitez savoir quelles informations sont collectées et/ou stockées (qui sont deux actes distincts), commencez par la politique de confidentialité de l’application elle-même. » En plus de cela, des tiers comme la boutique d’applications de Google ont leurs propres conditions d’utilisation, créant plusieurs points de collecte de données sur lesquels enquêter.

Zhen recommande un raccourci : recherchez des mots-clés tels que « vendre » ou « partager » dans les politiques de confidentialité pour comprendre rapidement ce qui arrive à vos données. « La plupart du temps, les entreprises désidentifient les individus à partir de leurs données parce qu’elles souhaitent regrouper des informations et s’adresser à certaines données démographiques », explique-t-elle. Cette agrégation pourrait encore soulever des problèmes éthiques, mais selon Zhen, il s’agit d’une pratique standard dans l’industrie de nos jours.

En utilisant cette stratégie, Zhen dit avoir été confrontée à des politiques de confidentialité qui admettent ouvertement vendre les données des utilisateurs. Et même lorsque les entreprises prétendent anonymiser les informations, la protection n’est pas infaillible. Jacob Kalvo, expert en cybersécurité et PDG de Live Proxies, affirme qu’il existe toujours des risques de réidentification à long terme. Parce que même un géant comme Apple ne peut pas protéger vos données une fois que vous choisissez de les partager au-delà de leur écosystème. Jake Peterson, rédacteur en chef de la technologie chez Vie Associative, déclare : « Apple a mis en place de bonnes politiques de confidentialité pour préserver la confidentialité de vos données de santé, mais si vous choisissez de les partager avec des sources extérieures, vous perdrez ce contrôle. » En d’autres termes, si vous partagez des données médicales directement avec un prestataire de soins via l’application de santé et que vous les supprimez ultérieurement, Apple ne les conservera plus, mais vous n’aurez peut-être pas de contrôle sur les données collectées par votre prestataire de soins.

Comment se protéger à l’ère de la santé numérique

Même si vous faites aujourd’hui confiance à la politique de confidentialité d’une entreprise, une autre menace vous guette : les failles de cybersécurité. « Le véritable risque que nous acceptons au quotidien, ce sont les pirates informatiques et les cyberattaques », explique Zhen.

Les pirates informatiques sont sophistiqués et vous pouvez compter sur eux pour garder une longueur d’avance sur le développement de la sécurité. Même si les entreprises ne vendent pas intentionnellement vos données, elles peuvent être négligentes. La plupart des politiques de confidentialité reconnaissent qu’elles tentent de se protéger contre les attaques, mais les violations sont endémiques dans le secteur technologique. Vos informations de santé soigneusement gardées pourraient être volées et vendues sur le dark web, quelles que soient les bonnes intentions d’une entreprise. Une fois vos données divulguées, elles peuvent être utilisées hors de votre contrôle sans aucun recours.

Interrogé sur les applications de suivi des règles dans le climat politique actuel, Zhen affirme que ces fournisseurs de services « pourraient être plus souvent ciblés par des cyberattaques en raison de lois restrictives en matière de reproduction ». Il est important de garder cela à l’esprit sur toutes les plateformes : quelles informations êtes-vous prêt à risquer ?

Pour autant, cela ne signifie pas nécessairement abandonner complètement les technologies de la santé. Les experts s’accordent sur plusieurs mesures de protection :

  • Lisez cette foutue politique de confidentialité. Le conseil de Zhen est d’accéder directement à la politique de confidentialité pour chaque point de collecte de données et de rechercher des mots clés tels que « vendre » et « partager ». La plupart des politiques incluent des informations sur la conservation des données et un e-mail de contact où vous pouvez demander des détails sur les informations qu’ils détiennent sur vous.

  • Comprenez à quoi vous abandonnez. Avant de télécharger une application, comprenez exactement quelles données elle collecte et pourquoi. En cas de doute, supposez le pire dans chaque politique de confidentialité.

  • Pratiquez une bonne hygiène des données. En règle générale, évitez de divulguer votre numéro de téléphone portable. Utilisez des adresses e-mail alias que vous n’utilisez pas ailleurs. Activez un VPN pour masquer votre identité et votre emplacement. Activez l’authentification multifacteur partout.

  • Ne partagez pas trop. Ne donnez pas plus d’informations que ce dont vous avez besoin pour vos besoins. L’entreprise a-t-elle besoin de connaître votre date de naissance exacte, ou juste un an ? Ont-ils besoin de savoir où vous habitez ? Sinon, ne fournissez pas d’informations ou n’hésitez pas à mentir lorsque vous le pouvez.

  • N’oubliez pas que les politiques de confidentialité ne constituent pas des contrats contraignants. Les entreprises se réservent généralement le droit de modifier leurs conditions à tout moment.

L’essentiel

La réalité est que la plupart des gens acceptent quotidiennement toutes sortes de risques liés à la collecte de données, parce que la vie moderne l’exige. Mon objectif ici n’est pas de semer la peur, mais d’aider à faire des choix éclairés dans ce qui est en fin de compte un pari calculé.

Si vous êtes le genre de personne qui publie sur les réseaux sociaux, télécharge des applications pour commander des plats à emporter et accepte le risque car cela s’accompagne de la commodité des normes technologiques modernes, alors « le téléchargement d’une application de mesure de la santé réputée conviendra généralement, tant que la politique de confidentialité n’indique pas directement qu’ils vendent vos données », dit Zhen.

Là encore, je dirais que vos données de santé sont plus intimes, plus permanentes et potentiellement plus dommageables que votre historique de livraison de nourriture. À mon avis, nous menons une expérience massive et incontrôlée de surveillance de la santé, et nous sommes tous les sujets de test. La technologie offre de véritables avantages : de meilleurs résultats en matière de santé, une détection plus précoce des maladies et une médecine personnalisée. Mais nous échangeons quelque chose de précieux et mal compris contre ces avantages : la confidentialité, l’autonomie et le contrôle de nos informations les plus intimes.

La question n’est pas de savoir s’il faut utiliser les technologies de la santé. Pour beaucoup de gens, les avantages sont trop importants pour être ignorés. La question est de savoir si nous faisons ce choix en étant pleinement conscients de ce à quoi nous renonçons et si les entreprises qui collectent nos données peuvent être tenues pour responsables, si et quand un jugement est rendu.

Julien

Julien

Je suis Julien, rédacteur pour Vie Associative. Passionné par le monde associatif depuis plus de 10 ans, j'ai à cœur de partager des histoires inspirantes et de mettre en lumière les initiatives locales. Mon objectif est de sensibiliser et d'encourager l'engagement communautaire à travers mes articles.