SERIE (3/3). Alors que le règlement sur l'Espace
européen des données de santé (EEDS) est entré en vigueur le 20 mars 2025 pour
garantir la souveraineté numérique, les données physiologiques des sportifs
continuent d'être captées par des applications basées en dehors de l'Union
européenne.
Comme la création française
du Sport Data Hub, le futur entrepôt numérique européen ne suffira pas
en lui-même pour empêcher les fuites d’informations. L'EEDS, qui sera
progressivement mis en ligne dès 2027, permettra deux types d'accès aux data :
celui concernant le suivi médical, et celui pour la recherche et l'innovation. Il est prévu que les patients puissent s'opposer à
l'enregistrement de leurs données, mais pour ceux qui l'accepteront, le risque
de réutilisation à d'autres fins n'est pas rendu impossible par le règlement.
Les informations accessibles
aux entreprises ne seront disponibles qu'après anonymisation des patients, et
sur autorisation par un guichet unique dans chaque État-membre. Selon le texte « Il
est interdit à l'utilisateur de tenter de réidentifier les personnes
concernées. ». Cette disposition alerte sur le fait qu'une
identification des patients soit possible. Avant même la mise en ligne de cette
base de données, le règlement qui l'encadre est un aveu d'impuissance face à
l'enjeu de protection des informations sensibles. Rien ne garantit l'anonymat auprès
des opérateurs privés. Ce règlement, qui a été publié le 5 mars, a pourtant
pour objet de contrôler les risques de fuite de ces data.
Selon le RGPD (règlement
général de protection des données), est considérée comme une donnée de santé,
toute information qui révèle l'état de santé. Les indicateurs de performance
sportive relèvent donc de cette catégorie. En dehors de la prise en charge
médicale, il arrive que les sportifs publient eux-mêmes leurs relevés
physiologiques sur Internet sans savoir qui les utilisera ensuite. C'est le cas
lorsqu'un influenceur évoque ses capacités et se sert de son réseau pour
collecter des informations sur ses followers. Des défis sont proposés aux
abonnés qui y répondent en postant leurs résultats en commentaires.
« On a un
risque de profilage »
Selon Anaïs Szokinspki,
professeure de droit à Paris-Saclay, les agences d'influenceurs, au prétexte
d'établir un lien entre annonceurs et influenceurs, recueillent les données des
utilisateurs sans qu'ils en soient informés. Dans ce réseau d'intermédiaires
entre annonceurs et followers, les agences justifient les profilages par le
partage public des données des sportifs. Selon la professeure « On peut
s'interroger sur le délitement du consentement de la personne concernée à la
divulgation de ses informations. ». Le 30 avril dernier, la chambre
criminelle de la Cour de cassation a jugé que le recueil des informations
personnelles, même accessibles librement sur Internet, est déloyal dès lors
qu'il se fait à l'insu de l'internaute.
Les entreprises qui
développent les applications de performances ont un objet commercial.
Cependant, WeWard, une application gratuite qui utilise la
géolocalisation du téléphone de ses utilisateurs, apparaît comme
philanthropique. Même si elle ne collecte pas directement d'informations sur la
santé du sportif par le biais d'objets connectés, elle enregistre sa
performance en calculant sa distance, son dénivelé et sa fréquence
d'utilisation.
Les marcheurs peuvent aussi transmettre à l'application des
photographies de leurs tickets de caisse pour se voir attribuer des récompenses
pour leurs achats. Ils adhèrent à des conditions générales d'utilisation selon
lesquelles leurs données seront transmises à l'application. En acceptant ces
CGU, les utilisateurs deviennent des prospects potentiels. L'application
prétend pourtant que sa raison d'être est la santé des utilisateurs, et non la
réutilisation de leurs données.
D'autres applications
procèdent de la même manière avec des objets connectés utilisés par les
sportifs amateurs comme Garmin ou Catapult. Ces applications sont
gérées par des entreprises basées en dehors de l'Union européenne. L’exploitation
dévoyée des données peut comporter un risque sérieux pour la sécurité nationale
comme l’a révélé le Monde en début d’année à propos de Strava.
Des objets connectés qui
mènent à une perte de souveraineté numérique
Selon Maximilien Lanna,
professeur de droit à l'Université de Lorraine : « Étant donné la
particularité du domaine sportif, il ne s'agit plus de s'insérer dans le cadre
d'une souveraineté numérique européenne. La mise en ligne du Sport Data Hub
témoigne qu'il existe encore aujourd'hui des domaines dans lesquels une
souveraineté numérique nationale prime. » Cependant, avoir créé une
base de données nationale centralisant les informations des sportifs de
haut niveau ne résout pas tout.
Ainsi, les informations des sportifs de haut
niveau accessibles par le biais du SDH proviennent partiellement de données
enregistrées par des
objets connectés (1/3) de marques étrangères. Les données sont donc d'abord
recueillies par ces entreprises qui ne sont pas soumise à une extraterritorialité
du RGPD, comme aux États-Unis.
« On a aussi des data
centers en France, donc on est plutôt souverains et on fait en sorte que nos
données restent en France. » explique Benoit Schuller, responsable du Sport
Data Hub. Mais, la règlementation européenne ne répond pas à la question de
la dépendance numérique du milieu sportif français à ces entreprises. « L'intérêt
de passer par le service public, c'est de garder une forme de contrôle face à
des vocations commerciales. Tout ce qui est collecté à travers le SDH n'a
pas le droit d'avoir une vocation commerciale. C'est une interdiction dans le
décret. »
Bien que les données centralisées dans le SDH soient gérées par
des entités publiques, aucune règle de droit international ne permet de
contrôler une réutilisation des données recueillies sur les applications à
l'étranger. Les bases de données publiques n'assurent aucune protection
supplémentaire aux sportifs que ce que les CGU leurs promettent de respecter.
La mise en ligne de ses
données physiologiques n'est possible qu'avec l'accord du sportif au sein des
espaces numériques publics, ou à son initiative sur les réseaux sociaux et
applications. Néanmoins, ses caractéristiques pourraient être réutilisées à
d'autres fins que la santé contre son gré. Le cadre européen est insuffisant
pour lutter contre le risque de détournement du consentement.
Antonio
Desserre
Sur le même thème :
• Comment sont collectées les données relatives aux sportifs ? (1/3) ;
• Données sur les athlètes : le rôle central des DPO (2/3) ;
• Données physiologiques des sportifs : quelles menaces de détournement ? (3/3).