La revue de web de Kat
Pour l’heure, en France, la loi protège l'intimité génétique de chacun. Mais la Suisse est sur le point de craquer. Et demain, les assurances trieront-elles leurs clients en fonction de leurs gènes? 3 mars 2018
Êtes-vous le seul propriétaire de vos gènes? Qui d’autre que vous peut avoir accès au prodigieux coffre-fort informatif que constitue votre patrimoine génétique? Durant des millénaires ces questions ne se posèrent pas: personne ne disposait de la clef. Et les assurances privées n’avaient pas été inventées. Vint la découverte de l’ADN. C’était dans la seconde partie du siècle dernier. Puis tout s’emballa dans l’ivresse d’une quête scientifique et médicale aux parfums d’eldorado.
Les assureurs sont très intéressés par nos données
Inaccessible, le coffre-fort génétique devint visible. Puis de plus en plus accessible. Se substituant aux cartomanciens, les généticiens annonçaient des miracles prédictifs. L’esprit de conquête, de lucre et la publicité suivirent: vous pouvez aujourd’hui (un prélèvement de salive, quelques cheveux ou une goutte de sang suffisent) connaître quelques aperçus d’une vérité personnelle, génétique et généalogique. Il vous suffit pour cela de contacter 23andme (c’est l’exemple le plus célèbre) ou l’une des entreprises similaires –comme la belge DNAVision du transhumaniste français Laurent Alexandre.
Dans ce nouveau contexte, quid de la préservation de l’intimité biologique héréditaire? Rempart contre cette irrésistible dynamique planétaire au service de la transparence génétique: la France, ses valeurs et son corpus législatif de bioéthique. Officiellement, tout y est verrouillé depuis les premières lois de 1994 transposées dans l’article 16-10 du code civil:
«L'examen des caractéristiques génétiques d'une personne ne peut être entrepris qu'à des fins médicales ou de recherche scientifique. Le consentement exprès de la personne doit être recueilli par écrit préalablement à la réalisation de l'examen, après qu'elle a été dûment informée de sa nature et de sa finalité. Le consentement mentionne la finalité de l'examen.»Or la situation évolue aujourd’hui à très grande vitesse, outre-Atlantique mais aussi en Suisse:
«Notre gouvernement vient de soumettre au Parlement un projet de loi sur l’analyse génétique humaine. C’est un modèle du genre, ce texte prend en compte la subtilité des enjeux en une dentelle juridique destinée à protéger les citoyens de tout abus et à leur garantir la maîtrise de leur génome, explique à Slate.fr le Dr Bertrand Kiefer, rédacteur en chef de la Revue Médicale Suisse. Cette loi fait comme si notre pays était un monde étanche, fermé sur lui-même. La réalité, celle du marché mondial du séquençage et de la loi de la jungle qui y règne, n’est qu’à peine évoquée. Mais il n’y a pas que cela.»
Il poursuit:
« La politique suisse a aussi, comme celle des autres pays, ses forces qui sont loin d’avoir la défense de la personnalité de chacun comme objectif. Ainsi, sous pression du lobby des assureurs, une commission du Parlement chargée d’une première lecture de ce projet de loi lui a infligé un sérieux coup de canif. Elle a demandé que les assurances sur la vie –ou celles couvrant l’invalidité– puissent exiger, à partir d’un certain montant de couverture, d’avoir accès à toutes les analyses génétiques déjà effectuées par la personne. Que ce soit dans un cadre médical ou de manière libre, sur internet par exemple.
Si le Parlement accepte ce que lui propose sa commission, les citoyens suisses feront bien d’éviter toute analyse génétique, y compris sur internet (les clauses de confidentialité n’empêchent pas toujours de vendre la liste des clients). Ils feraient bien aussi de refuser de participer à toute bio-banque et aux recherches susceptibles de séquencer leur génome. Sans indication médicale vraiment impérative, le mieux pour eux serait de rester dans le vieux monde de l’ignorance génétique. Car il est dans l’ordre des choses que si le Parlement ouvre cette brèche, quantité d’autres lobbies voudront aussi accéder à l’intimité génétique de chacun.»
En France
Qu’en est-il en France? Ce questionnement s’inscrit dans le cadre général de la connaissance par les assureurs des «données de santé», données dites «sensibles» et qui, à compter du 25 mai prochain, feront l’objet du «Règlement général sur la protection des données» (RGPD). Pour l’heure ces données sont clairement protégées par un ensemble de dispositions incluant le secret médical et le respect d’un code de bonne conduite. Si l’on excepte les contrats d’assurance complémentaire santé (collectifs ou individuels) qui interdisent la prise en compte de ces données et les indemnisations de dommages corporels, ce sont les contrats d’assurance en cas de décès et ceux inhérents à des emprunts bancaires importants (pour projets immobiliers notamment) qui sont ici concernés.
«Dans certains cas, la déclaration sur l’honneur peut être suffisante, précise-t-on à Slate.fr auprès de la Fédération Française de l’Assurance (FFA). Dans d’autres situations, en fonction des montants, une visite médicale peut être demandée ainsi que des investigations complémentaires. Mais dans tous les cas le cadre général de la protection des données est impérativement respecté.»
On peut y ajouter les récentes «dispositions relatives au “droit à l’oubli”», dont peuvent désormais théoriquement bénéficier les malades guéris de pathologies qui, hier, leur interdisaient l’accès aux assurances.
Cette situation apparaît d’autant plus solide que l’interdiction qui est faite aux assureurs français d’avoir recours aux tests génétiques est inscrite à la fois dans le code de la santé publique, dans le code des assurances et dans le code pénal (sanctions prévues: jusqu’à 225.000 euros d’amende).
«Tous les traitements de données de santé sont fortement encadrés, outre le respect de la loi informatique et libertés du 6 janvier 1978 et du pack de conformité assurance de la CNIL, tous les traitements de données de santé sont couverts par le secret professionnel, ce qui implique l’intervention d’un médecin conseil ou d’un membre du personnel spécifique, souligne-t-on auprès de la FFA. Et l’entrée en application du RGPD ne modifiera pas le fondement légal de ces traitements.»
«Vous cibler pour vous vendre tel ou tel produit, ou éventuellement vous refuser telle ou telle assurance»
Il est difficile d’imaginer que cette situation restera très longtemps figée. Les puissants opérateurs français de l’assurance (et ceux, internationaux, de la réassurance) ne cachent nullement leur intérêt pour l’évolution du cadre et des pratiques dans le monde anglo-saxon.
«Pour notre part, si nous devions exprimer un regret, ce serait celui de ne pas pouvoir avoir accès aux données publiques françaises anonymisées dont dispose notamment aujourd’hui l’Assurance Maladie», nous explique-t-on auprès de la FFA. Une Assurance Maladie qui vient d’ailleurs d’être mise en demeure par la Commission nationale de l’informatique et des libertés (CNIL) d’améliorer sous trois mois son système de protection informatique des milliards de données personnelles de santé qu’elle détient.
Aucune volonté chez les assureurs français de violer les libertés individuelles et le secret médical. Mais bien le souci assurantiel consubstantiel d’ajuster au mieux leurs calculs pour des prises maximales de profit fondées sur une connaissance approfondie du risque.
De ce point de vue les assureurs français sont dans une situation paradoxale, corsetés dans leur impossibilité d’avoir une connaissance des risques prédictif –et ce alors que ces mêmes risques sont de plus en plus fréquemment et planétairement affichés par les premiers concernés (voir «Nebula Genomics» ou «Patientslikeme»). Cette dynamique est d’autant plus rapide que les prix des tests génétiques ne cessent de s’effondrer et que chacun peut y avoir accès (y compris en France où ils sont officiellement interdits).
«Il faut ici faire la part entre les simples “analyses génétiques” désormais facturées une centaine d’euros et les “séquençage complet” de l’ADN, de l’ordre du millier d’euros, auxquels il faut ajouter le coût des interprétations, nous explique le généticien moléculaire Bertrand Jordan. Outre-Atlantique les premiers succès ont été assurés à 23andMe par l’engouement massif pour la quête génétique généalogique de ses origines –et ce alors que la solidité des informations à prétention médicale pouvait aisément être mises en doute. Puis vinrent les contrats entre ces firmes et celles des entreprises pharmaceutiques.»
Au final, selon Bertrand Jordan, «23andMe» aura réussi à accumuler un ensemble de données génétiques et cliniques auxquelles l’industrie pharmaceutique accorde aujourd’hui une grande valeur –tout en faisant financer cette collecte par les patients eux-mêmes.
«Profils génétiques, informations médicales, et bientôt séquence d’ADN (obtenue dans le cadre des contrats passés avec Genentech, Pfizer ou d’autres), tout cela intéresse beaucoup de monde, assurances, marketing pharmaceutique, qui peuvent, au vu de ces informations, vous cibler pour vous vendre tel ou tel produit, ou éventuellement pour vous refuser telle ou telle assurance, écrivait déjà Bertrand Jordan dans la revue Médecine/Sciences en 2015.
Les garanties que donne l’entreprise ne peuvent être totalement rassurantes: on a vu avec Google et Facebook comment ces promesses pouvaient se diluer au fil du temps, ou même être carrément oubliées, et on sait aussi qu’une séquence d’ADN “anonyme” peut assez facilement être rattachée à une personne précise. Notre “intimité génétique’” est en danger (…), le problème est général, mais particulièrement aigu pour ce qui concerne notre santé et notre génome. Oui, décidément, nous risquons bien d’assister à la fin de la vie privée, ou tout au moins d’une certaine idée de l’intimité.»
Trois ans plus tard, la menace ne cesse de croître. Et le citoyen français informé des menaces et des enjeux, ne peut que regretter que le sujet soit étrangement absent de l’agenda de ses États généraux de la bioéthique –une entreprise pourtant démocratique qui nous interroge officiellement sur «le monde que nous voulons pour demain».
À dire vrai, depuis un siècle ou presque, assureurs ou pas, l’alternative finale ne change guère: Aldous Huxley ou George Orwell.
0 - La question à vous poser pour tout traitement
Pour toutes les données que vous souhaitez collecter et/ou que vous conserver la question principale à vous poser c'est : "Est-ce pertinent de conserver cette information et pourquoi la collectez-vous ?", si la réponse et non supprimez là ou ne la collectez pas. On reviendra plus loin dans l'article sur cette question à se poser et vous verrez que ça aide à clarifier certain point très particuliers.
1 - Consentement à demander
Comme c'est déjà le cas pour les cookies, vous devez demander le consentement de manière explicite à l'internaute pour la collecte/traitement de données personnelles telles que l'adresse IP, prénom, nom, etc. C'est valable pour tous les services : Google Analytics/Adsense/Adwords, Facebook, Twitter, AddThis, etc.
Vous avez le droit de demander le consentement soit de manière globale, pour tous les services avec une page explicative de tous les services, soit de le faire un service à la fois. Vous pouvez aussi grouper cookies et collecte de données, mais attention vous risquez de nuire à la lisibilité de l'information et une information floue est souvent cause de rejet par l'internaute. Attention toutefois à demander un consentement en bloc vous risquez de voir un refus de l'internaute juste pour un traqueur de moindre importance pour votre site, par exemple, le pixel Facebook, mais il est vrai que c'est tout de même plus simple pour l'internaute de devoir valider une seule fois.
Consentement explicite : vous n'avez pas le droit de mettre des messages du genre : "Si, vous continuez à naviguer sur notre site, vous acceptez etc." où la plupart du temps si vous ne cliquez pas sur "OK" et que vous consultez une autre page du site les cookies se mettent en place automatiquement. Vous devez donc avoir un bouton "Autoriser" et "Refuser", les termes devant être compréhensibles par un enfant, vous n'aurez pas le droit de faire des tournures très compliquées pour embrouiller l'internaute et le faire cliquer sur OUI.
Il y a toutefois des exceptions aux demandes d'acceptation de cookie, tout cookie servant au bon fonctionnement de l'application ne doivent pas être nécessairement stipulés dans les mentions légales et ne fait pas l'objet de consentement préalable à l'internaute. Cela aussi ne change pas par rapport à la précédente réglementation déjà en vigueur.
2 - Logs de serveur : un cas particulier
On est tous d'accord que dans les logs serveur d'Apache, Nginx ou IIS il y a des données personnelles tel que l'adresse IP de la personne et dans d'autres logs l'adresse e-mail de l'internaute (mail.info par exemple). Ma question à la CNIL a été de savoir si je devais demander là aussi un consentement préalable à la collecte de ces données, ce qui entre nous serait une tâche complexe à mettre en œuvre.
Du coup la réponse a été : "Pourquoi l'a collectez-vous et dans quel but ?" (mon fameux point 0), pour ma part ce n'est jamais dans des cas statistiques, c'est généralement pour faire de la recherche incident notamment en cas d'attaques ou de tentatives d'attaques informatiques. C'est important si vous utilisez un SIEM.
La durée de conservation maximale des logs ? 1 an après les données doivent être détruites (code des télécommunications), car on le voit souvent le délai de détection des APT est généralement de 3 à 6 mois, il paraît donc inutile de les conserver plus d'une année.
Doit-on demander le consentement à l'internaute ? Étant donné la finalité du traitement et la durée, vous n'êtes pas obligé de demander le consentement, mais comme vous y oblige déjà la loi informatique et libertés, vous devez en faire mention dans vos mentions légales. Ces données échappent à la CNIL sauf, si vous l'utilisez à des fin statistiques, il faudra donc en demander le consentement.
3 - Preuve du consentement
Le RGPD demande aussi que tout responsable de traitement puisse apporter la preuve du consentement de la personne qui aurait accepté un traitement, ce n'est pas nouveau c'est déjà le cas dans le droit commun. Sur ce point, je n'ai eu pour réponse uniquement : "La formalisation de la preuve de consentement pour être recevable n'a pas encore été transposée en droit Français", ce n'est en effet pas nécessaire de l'être, car c'est un règlement.
Grosso modo vous devez conserver la preuve du mieux que vous pouvez, car il y a peu de chances que nous ayons plus d'informations à ce sujet. Pour le moment, aucun texte de loi de figure à l'agenda du Parlement. Vous noterez aussi que la loi CNIL a déjà été modifiée pour se conformer au RGPD.
Il faudra notamment apporter un éclaircissement sur la preuve de consentement par les parents pour un mineur, car via un simple clic "Moi parent autorise..." ça me paraît léger.
4 - Durée du consentement
Une fois le consentement donné il n'y a pas de limite de validité, il est valable tant que l'utilisateur ne change pas d'avis. Cela concerne la collecte et le traitement des données, mais le consentement pour les cookies lui à toujours une durée maximale de 13 mois...
Attention toutefois, si vous ajoutez un nouveau service à votre site Internet, par exemple AddThis, vous devrez demander le consentement pour ce service. Si vous faites des consentements par bloc, le risque est de voir un utilisateur qui avait consenti à les refuser suite à cet ajout.
Cela va vous obliger à bien réfléchir la mise en place de nouveaux services pour vos internautes.
5 - Les formulaires
C'est aussi un cas un peu particulier, car l'internaute les remplis de son plein gré et de ça propre volonté. Cependant, vous devez tout de même pour chaque formulaire indiqué la durée de conservation des données et leurs finalités. N'oubliez pas de mentionner si vous conservez l'adresse IP, car on ne lui demande pas de manière explicite à la saisie dudit formulaire.
Pour un formulaire de demande de contact, comme me l'a dit la CNIL, si vous avez répondu à la demande, vous pouvez le supprimer directement la conservation n'étant plus pertinente le plus souvent. Bien entendu si vous souhaitez le conserver en tant que prospects dans vos bases vous en avez le droit tout en respectant la loi CNIL et le RGPD. C'est d'ailleurs souvent le cas sur les sites WordPress avec Flamingo et Contact Form 7 qui sauvegarde automatiquement les messages. Il faut juste indiquer dans vos mentions légales combien de temps seront conservées les données, honnêtement 6 mois seront largement suffisants, avec toujours un maximum d'une année.
Si l'échange doit avoir une valeur de preuve pas besoin de traitement particulier par contre comme me l'a fait remarquer Pierre Desmarais c'est surtout une question de : "degré de force probante".
Ne gardez pas les formulaires plus d'un an, le consentement lui est sans limite de validité. Au final, reprenez la question au point 0 et vous saurez si ces informations issues d'un formulaire doivent être conservées.
Vous n'êtes pas obligé d'afficher les informations au niveau du formulaire, mais un lien vers les mentions légales sur la section traitant du formulaire et une preuve de transparence en facilitant l'accès aux explications. Vous n'êtes pas obligé de faire une section par formulaire, sauf si l'un ou l'autre donne lieu à une autre finalité du traitement et/ou de sa durée.
Typiquement pour les newsletters la durée de conservation sera jusqu'à la demande de suppression de l'internaute ou si vous jugez qu'il n'est plus pertinent de lui envoyer des e-mailings, car il ne les ouvre jamais.
6 - Mise en place technique
Le plus gros chantier, vous devez l'avoir déjà fait en théorie, en effet la plus grosse difficulté pour la mise en place sur votre site Internet du consentement de l'internaute est à 90% près celui qui doit être en place pour l'acceptation des cookies.
Sur un site réalisé avec WordPress, je vous le concède, ça devient vite compliqué, il vous faudra faire le deuil de la majorité de vos plugins favoris tant qu'ils n'ont pas eu de mise à jour pour être conforme. Et d'ailleurs ne rêvez pas car il devrait déjà l'être pour les cookies, notamment AddThis, Yoast pour ne parler que de ces deux-là.
Il faut aussi voir que la simple utilisation de fonctionnalités natives de WordPress deviennent compliquées, notamment l'insertion d'une Twitter Card, il devient dorénavant impossible d'utiliser l'ajout natif de WordPress, vous devrez utiliser une autre solution... Ce sera de même pour l'insertion de vidéo Youtube, de player calameo et de carte Google Maps... En effet, ces insertions natives insèrent directement le code des services en question et il y aura collecte des données et de cookie sans consentement préalable.
Pour vous simplifier la vie vous pouvez notamment utiliser des gestionnaires de tag tel que Tarteaucitron (open-source) qui vous permettra de gérer plus de 50 services. C'est d'ailleurs ce dernier qu'utilise la CNIL pour gérer consentement et cookie sur son site Internet.
7 - Les sites de vos clients ?
Vous êtes une agence de communication et vous avez réalisé de très nombreux sites et vous commencez à vous dire : "La charge de travail pour mettre nos clients en conformité va être énorme". Vous avez raison, mais vous avez l'obligation de l'en informer, car c'est lui qui est gestionnaire de son site donc responsable du traitement des données.
Attention toutefois si vous n'avez pas livré un site conforme à la législation sur les Cookies, vous êtes en tort, car vous n'avez pas averti votre client et n'avez pas fourni une solution conforme.
Pour rappel seul le gestionnaire du site Internet est responsable de sa déclaration à la CNIL ou non. Avec le RGPD vous serez aussi responsable en tant que sous-traitant, bonne nouvelle les déclarations à la CNIL elles disparaissent en mai 2018 avec l'application du RGPD.
Remerciements :
Je tiens à remercier la CNIL pour le temps accordé, sachez d'ailleurs qu'ils sont à votre disposition pour toutes questions liées à leurs domaines et c'est vraiment appréciable.
Un très grand merci à Pierre Desmarais (@DesmaraisPierre) pour sa relecture et ses commentaires sur l'article, sans lui je l'avoue, il n'aurait pas été aussi précis et aurait laissé passer une ânerie ou deux.
Cet article n'engage bien sûr pas ces personnes, mais je tenais à les remercier.
Conclusion
Étant donné l'état actuel de la formalisation du RGPD en droit Français tout n'est pas clairement défini ni applicable en l'état. Par contre, ce que vous devez faire dès a présent c'est suivre les 6 étapes proposées par la CNIL (cf : Se préparer en 6 étapes), notamment la cartographie et les actions à mener.
D'un point de vue personnel, je comprends le but de ces réglementations et je trouve que c'est une bonne chose que de donner le droit aux usagers de pouvoir simplement se protéger. Par contre, que ce soit à nous gestionnaire du site Internet de demander l'accord pour les services externes je dois bien avouer que je trouve ça limite. Car au final c'est surtout le service externe qui va tirer le plus grand bénéfice de ces données de tracking.