Impact des objets connectés, applications santé, quantified-self : faut-il succomber aux sirènes des assureurs ?

La possibilité pour les assureurs d’obtenir des informations précises et en temps réel sur la santé et le mode de vie des personnes (pratique sportive, alimentation, poids, calories brûlées, fréquence cardiaque….) soulèvent des questions d’ordre éthique.

Ces questions éthiques sont liées d’une part au statut de l’organisme d’assurance, d’autre part aux conditions d’utilisation des données collectées.

La vocation « sociale » des mutuelles

Le remboursement des frais de santé non couverts par l’assurance maladie obligatoire est assuré par les « complémentaires santé » mais selon leur statut, le mode de calcul des cotisations diffère.
Ainsi, les mutuelles répondent à un principe de solidarité qui ne les autorise pas à moduler le montant de leurs cotisations en fonction du dossier médical de ses membres. Les éléments de modulation sont par exemple le revenu, l’âge ou le lieu de résidence de l’adhérent.
Concernant les compagnies d’assurance, le médecin conseil de la compagnie a en revanche accès au questionnaire de santé rempli par le client et peut éventuellement demander des examens complémentaires. Il ne peut avoir accès à d’autres informations médicales sans l’autorisation de la personne concernée.
En résumé, les mutuelles n’ont donc pas à avoir accès aux données personnelles de santé de ses affiliés, ceci étant contraire au principe même de mutualisation. Les compagnies d’assurance par contre peuvent moduler leurs cotisations sur la base des informations médicales communiquées par les assurés, ceux-ci étant libres de renoncer au bénéfice du secret médical dont ils bénéficient.

Dans ces conditions,  les français seraient-ils prêts à laisser les assureurs accéder à des informations de santé ou à leur état de forme pour bénéficier de cotisations personnalisées?
Pas si simple. Selon un récent sondage [1] de News Assurances, 73 % des assurés refuseraient de transmettre leurs données personnelles à leur assureur, et ce même contre une réduction tarifaire.
Et si AXA s’est le premier lancé dans le bain en proposant un produit d’assurance associé à Pulse le bracelet connecté de Withing, il n’est pas certain que le succès escompté soit à ce jour au rendez-vous.
Les objets connectés et autres applications de santé sont une source d’information inespérée pour les assureurs.
Les assureurs voient dans les objets connectés (capteurs d’activité, tensiomètres, lecteurs de glycémie…), les applications santé et les technologies portables en tout genre, l’opportunité d’affiner la connaissance de leurs clients.  Un individu en forme est a priori une personne à moindre risques qui de ce fait doit pouvoir bénéficier ou faire bénéficier son employeur de cotisations moins élevées.
La personne peut consentir à l’utilisation des données la concernant y compris de ses données de santé; rien n’empêche en principe les assureurs d’avoir recours à ce type de dispositifs si la finalité du traitement est légitime et si les données sont protégées, tant que ce consentement est libre et que la personne est clairement informée de l’utilisation qui sera faite de ses données. Et c’est là qu’est toute la subtilité.

Tous les consentements ne sont pas libres, tous les consentements sont loin d’être « éclairés »

Agit-t-on vraiment librement lorsqu’on est une personne vulnérable ? Quel choix a-t-on réellement lorsqu’on souffre de troubles physiques empêchant l’activité sportive ? Qui connait vraiment la logique qui sous-tend le traitement fait par notre assureur des données concernant la mesure de nos activités quotidiennes ? Quelles conséquences pourra-t-on déduire demain des données me concernant ?

Comment éviter qu’un individu « non connecté » ne soit victime de discrimination par les prix ou d’exclusion du bénéfice de l’assurance ? 

Suis-je vraiment libre de refuser le bracelet connecté que me propose mon employeur pour pouvoir souscrire à une mutuelle d’entreprise plus avantageuse ?

La réglementation de protection des données a vocation à prévenir la réalisation d’évènements dommageables pour l’individu

L’une des craintes concerne la fin de la mutualisation des risques incertains. Les personnes les plus « à risque » et n’ayant pas de ressources suffisantes ne pourraient plus prétendre à une complémentaire santé dans ce cas.
Ensuite, il importe de protéger la confidentialité de données relatives à la santé des personnes.
Or la frontière entre données de santé et données de bien être est parfois très mince.
Les données générées dans un contexte médical sont considérées comme des données de santé et doivent notamment être conservées chez un hébergeur agréé. Tel n’est pas le cas en revanche des données issues du « quantified self » qui par conséquent ne sont pas soumises au secret médical. Pourtant ces données peuvent dans certains cas traduire ou laisser supposer l’état de santé de la personne (à titre d’exemple, le poids permet de déterminer si elle est obèse). La compilation et le croisement de données peuvent aussi révéler de manière plus ou moins juste selon les algorithmes utilisés, l’état de santé actuel et à venir d’un individu grâce aux techniques d’analyse prédictive.
Aussi et bien que ne revêtant pas le caractère de données de santé, ces informations n’en sont pas moins soumises aux règles de la protection des données personnelles [2].
Enfin , la loi vise à protéger les individus contre une utilisation détournée ou ultérieure et incompatible des données.

C’est d’abord aux organismes d’assurance qu’il revient de nous rassurer

La collecte et l’utilisation des données personnelles doivent répondre à trois impératifs essentiels : transparence, sécurité, droit des personnes. Les professionnels peuvent en faire un argument différenciant à l’aide d’outils tels que l’étude d’impact sur la vie privée et la certification ou les labels, qui sont aussi des outils de communication à destination de leurs clients. 



Chronique co-écrite par Florence Bonnet et Rim Ferhah, CIL CONSULTING

[1] http://www.news-assurances.com/videos/sondage-73-francais-refusent-donner-informations-personnelles-aux-assureurs/016783795
[2] Loi informatique et libertés du 06/01/1978 révisée en 2004 en France et transposant la directive UE 95/46

AXA / Certification