A l’heure où le RGPD pointe le bout de son nez (rappelons qu’il entrera en vigueur le 25 mai prochain), la société Withings, spécialisée dans la e-santé et les objets connectés devrait faire son retour sous pavillon Français.
Reprise par la presse généraliste, cette nouvelle semble être accueillie avec fierté bien qu’elle reste au stade de l’annonce par l’un des cofondateurs de la société cédée à Nokia en 2016, Eric Carreel. Achetée par Nokia en 2016 pour 170 millions d’euros, le coût éventuel du rachat de l’activité par Eric Carreel n’est pas encore connu. L’opération devrait être finalisée avant la fin du mois de juin 2018.
Le marché des objets connectés en e-santé toujours attractif
Bien que Nokia semble avoir éprouvé les plus grandes difficultés à dégager du chiffre d’affaires de son activité e-santé après le rachat de Withings (seulement 52 millions d’euros de chiffre d’affaires en 2017), le français Eric Carreel semble convaincu que les opportunités offertes par le marché sont encore nombreuses.
La santé connectée, le quantified self et la capacité de l’individu à auto-gérer son mode de vie sont effectivement des sujets dont l’attractivité auprès du public a cru ces dernières années. Mais la société va devoir faire avec la nouvelle réglementation sur les données personnelles (le RGPD) qui impose une mise en conformité sans dérogations possibles.
Le risque du RGPD sur les activités de e-santé
Le Règlement général pour la protection des données impose des contraintes strictes concernant le traitement des données personnelles.
L’objectif affiché du texte est de permettre aux individus d’avoir un maximum de contrôle et de connaissances sur les traitements dont leurs données personnelles font l’objet.
La protection des données est d’autant plus grand lorsqu’il s’agit de données relatives à la santé de l’individu : or, un tel traitement est, par principe, interdit par l’article 8 de la loi relative à l’informatique et aux libertés. Seules des exceptions précises et prévues par la loi permettent de traiter des données de santé.
L’activité de e-santé traite, par nature, des données de santé directement liées aux individus qui utilisent des objets connectés personnalisés : elles sont donc identifiantes. Elles devraient alors faire l’objet d’un procédé destiné à les rendre anonymes et non réidentifiantes pour pouvoir être traitées.
A ce titre, le principe de privacy by design (protection de la vie privée dès la conception du produit) doit être respecté par les fabricants de produits et logiciels destinés à la e-santé.
En amont de cela, toute entreprise amenée à réaliser un traitement de données de santé doit réaliser une analyse d’impact spécialement prévue par l’article 35 du RGPD.
Ce ne sont que de maigres exemples du durcissement des mesures qui entourent les traitements de données de santé.
Le marché de la e-santé est peut-être prometteur, mais la réglementation qui l’entoure, très contraignante, poussera les entreprises du secteur, dont fait partie Withings, à investir dans une mise en conformité parfaite. Rappelons que si la CNIL contrôle et sanctionne une entreprise, l’amende infligée peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.
Testez vos connaissances du RGPD en répondant à nos questionnaires et facilitez votre mise en conformité avec notre guide spécial RGPD : les bons conseils pour réussir.
