Il y a eu beaucoup de nouveautés récemment dans l’univers des wearables technologies (appareils high-tech à porter sur soi), et notamment des « wearables » de santé et de remise en forme. Apple vient d’annoncer la publication d’une application nommée « Health » ainsi que d’une plateforme cloud appelée « Health Kit ». Dans un domaine apparenté, Nike a récemment renoncé à son bracelet de suivi d’activité Fuelband. La sagesse populaire indique que les dispositifs de suivi sont en déclin alors que le marché des wearables en général (je pense à Google Glass et à la prochaine iWatch) attend encore son moment décisif.
Et du côté de la confidentialité ? En fait, il y a également eu pas mal de mouvement dans ce domaine, notamment aux Etats-Unis et la FTC s’en occupe ! Elle a récemment organisé un événement intitulé « Consumer Generated and Controlled Health Data » et les intervenants (le commissaire, les technologues, les avocats et les experts en confidentialité de la FTC) conviennent que le potentiel des « wearables » de santé est énorme, mais que les données médicales méritent une protection spéciale en raison de leur caractère extrêmement sensible.
J’ai distillé leur sagesse en matière de confidentialité en cinq idées clés que ces experts veulent vous présenter. Elles concernent les données de santé, les données générées par les « wearables », la confidentialité des informations personnelles et les raisons pour lesquelles il est si difficile de créer une loi qui protège le tout.
1. La transparence et la confiance sont essentielles
Si les fabricants de « wearables » de santé et de remise en forme rédigent des déclarations de confidentialité ambiguës et ne demandent pas le consentement des consommateurs pour partager ces données, cela peut limiter les avantages de ces services pour de nombreuses personnes, en particulier celles qui accordent de l’importance au respect de leur vie privée. Pourquoi télécharger vos données de santé vers un serveur s’il n’existe aucune garantie qu’elles resteront privées ?
Certains experts suggèrent des notices d’information claires et concises sur la sécurité et la protection de vos données, en quelque sorte semblables aux étiquettes présentes sur les emballages de produits alimentaires.
2. Vos données de santé voyagent
Latanya Sweeney, technologue en chef de la FTC et professeur de Government and Technology à l’université d’Harvard, a tenté de documenter et de cartographier tous les flux de données entre patients, hôpitaux, compagnies d’assurance, etc. Elle a découvert que la trajectoire des données manque de clarté et qu’il est difficile de déterminer tous les endroits où elles peuvent aboutir.
Inspiré par cette cartographie, j’ai vérifié s’il est possible de voir certaines données relatives aux soins de santé sortir de l’écosystème médical. Cette possibilité existe ! Le récent rapport de la FTC sur le secteur des courtiers en données (voir annexe B) prouve que certains d’entre eux collectent des informations sensibles relatives aux patients.
3. Données de sortie en désordre
Les informations relatives à votre visite à l’hôpital sont également connues sous le nom de « données de sortie ». Selon la loi de votre état, ces données doivent être envoyées à toute entité légalement habilitée à les recevoir.
Que font les états de vos données de sortie ? Il se trouve que 33 d’entre eux vendent ou partagent les données de sortie. Parmi ces 33 états, seuls 3 sont conformes à la loi HIPAA.
4. La géolocalisation ne doit pas être négligée
Un aspect très important relatif à la confidentialité mentionné lors de l’événement organisé par la FTC est la géolocalisation. De nombreuses applications et de nombreux « wearables » de santé et de remise en forme collectent des données relatives à vos parcours ou aux moments où vous vous trouvez en salle d’entraînement. Certaines applications peuvent également prédire où vous vous trouverez à certains moments ou prévoir les moments où vous n’êtes pas chez vous.
5. Rien n’est jamais gratuit
En échange d’une application de santé et remise en forme gratuite, vous partagez BEAUCOUP de données. Cela n’a rien d’inhabituel dans l’univers des applications gratuites, mais il existe une grande différence entre transmettre des données médicales et partager votre liste de films préférés.
Certains utilisateurs peuvent accorder leur confiance à l’éditeur de leur application de soins ou au fabricant de leur appareil, Nike par exemple, sans savoir qu’employer le produit équivaut à autoriser la vente et la revente de leurs informations de santé à des tiers dont l’intégrité reste à démontrer.
Jared Ho, avocat de l’unité de technologie mobile de la FTC, a testé 12 applications de santé et de remise en forme et a découvert que ses données étaient envoyées au site Web du développeur ainsi qu’à 76 entités tierces, principalement des entreprises de publicité et d’analyse des données.
Voici ce qu’il a découvert :
- 18 des 76 entreprises concernées ont recueilli des identificateurs d’appareils tels que l’identifiant unique de périphérique.
- 2. 14 de ces 76 entreprises ont recueilli des identificateurs spécifiques aux consommateurs tels que le nom d’utilisateur, le nom et l’adresse électronique.
- 3. 22 de ces 76 entreprises ont reçu des informations relatives aux exercices, aux repas, aux régimes, aux symptômes médicaux, au code postal, au sexe et à la géolocalisation des consommateurs.
Personne ne peut prédire ce qui se produira sur le marché des « wearables ». Mais les technologies et les pratiques commerciales émergentes auront une incidence sur les réglementations relatives à la vie privée des consommateurs, car ce sujet reste au centre de l’actualité. Les inquiétudes et les préoccupations concernant ceux qui auront et ceux qui devraient avoir accès aux données de santé personnelles ainsi que ceux qui ont potentiellement accès à ces données resteront sans aucun doute des éléments de la discussion.
The post 5 choses que les experts en confidentialité veulent que vous sachiez à propos des « Wearable Technologies » appeared first on Varonis Français.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.