Des lentilles de contact aux trackers d’activité, les objets connectés séduisent de plus en plus d’utilisateurs soucieux d’analyser leurs données physiologiques au quotidien.

Une des dernières applications de la robotique et de l’intelligence artificielle sont les Smartshoes ou chaussures connectées. Ce business model innovant a conquis le jury de l’édition 2017 de la demi-finale luxembourgeoise de la Startup World Cup. Afin de renforcer le confort de leurs utilisateurs, les créateurs des Smartshoes ont introduit de l’électronique dans les semelles de leurs chaussures intelligentes. Les chaussures connectées, via une application sur smartphone, adaptent la température de la semelle, conseillent le coureur sur sa posture, détectent la fatigue et les éventuels risques de blessure du coureur. Ces chaussures présentent un avantage, non seulement pour les sportifs, mais également pour les travailleurs. Grâce à ces semelles interactives, Bouygues a pu évaluer la pénibilité du travail sur les chantiers.

Ces chaussures connectées, avec d’autres dispositifs, participent au mouvement Quantified Self, lequel désigne l’ensemble des systèmes de captation et d’analyse des données biométriques personnelles. Un secteur qui commence à s’intéresser à ces données de santé est celui de l’assurance. Les compagnies d’assurances prennent déjà un certain nombre d’initiatives pour proposer des assurances adaptées aux objets connectés, notamment dans le secteur de l’automobile. Certaines compagnies d'assurances, par l’intermédiaire des objets connectés, analysent les habitudes de leurs assurés et, dans une dynamique de prévention et de personnalisation des produits, leur proposent des produits modulables avec des tarifs sur mesure.

Une compagnie d’assurances a tout intérêt à ce que ses assurés soient en bonne santé : un assuré en bonne santé représente un coût moindre pour son assurance santé, ainsi qu’une meilleure gestion des risques. Dans cette optique, en France, une compagnie d’assurances a distribué à un échantillon d’assurés des boîtiers connectés permettant de comptabiliser en temps réel le nombre de kilomètres parcourus à pied. Les marcheurs les plus engagés se sont vus récompensés par des bons de réduction pour des séances de médecine douce.

Alors que les données générées par ces objets connectés permettent aux compagnies d’assurances de mieux les renseigner sur le profil de leurs clients et/ou prospects et d’évaluer leur risque de manière plus pointue, leur utilisation soulève toutefois des problématiques juridiques nouvelles et variées, notamment eu égard à la protection de la vie privée et la protection des données à caractère personnel puisque ces objets ne fonctionnent pas sans échanges de données.

Protection des données au Luxembourg

Lorsqu’un objet récolte des données concernant une personne physique identifiée ou identifiable, la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (la « loi ») s’applique, notamment si le responsable du traitement est établi au Luxembourg. La définition des données personnelles est très large et concerne par exemple les informations relatives au style de vie d’une personne. De plus, les données relatives à la santé constituent une catégorie particulière des données à caractère personnel car relevant de l’intimité de la vie privée. Elles sont donc considérées comme sensibles et leur traitement est encadré de façon encore plus stricte(1) (en particulier, sauf quelques exceptions très limitées, le traitement de ces données requiert le consentement de la personne concernée).

En vertu de la loi, le responsable du traitement est désigné comme la personne qui détermine les finalités et moyens du traitement (à savoir l’utilisation, la conservation, la communication des données, etc.). Les compagnies d’assurances qui récolteraient des données personnelles tout en déterminant elles-mêmes les finalités du traitement de ces données seront donc à considérer comme des responsables de traitement. En tant que responsables de traitement, les compagnies d’assurances sont soumises à un certain nombre d’obligations lorsqu’elles traitent des données personnelles. A titre d’illustration, le traitement ne peut porter que sur des données personnelles collectées pour des finalités explicites et légitimes déterminées par avance. Une autre obligation importante du responsable de traitement est d’informer les personnes concernées de son identité, de la finalité du traitement, des destinataires des données (y compris les sous-traitants et partenaires commerciaux) et de l’existence de droits d’accès et d’opposition. En pratique, dans le contexte d’une application, l’information est le plus souvent communiquée par le biais de conditions générales, de conditions particulières (de type politique de confidentialité) ou encore (parfois de façon additionnelle) de pop-up au fur et à mesure de l'utilisation de l’application. En parallèle, le responsable de traitement est tenu d’accomplir des formalités ad hoc auprès de la Commission Nationale pour la Protection des Données (CNPD).

Le Règlement Général sur la Protection des Données (RGPD)

L’apparition des objets connectés dans les produits d’assurances doit s’accompagner d’une prise de conscience des enjeux attachés à la protection de la vie privée. Il est fortement encouragé d’appliquer les principes de privacy by design, c’està- dire de prendre en considération les aspects liés à la protection des données personnelles dès la phase de conception du produit. Les responsables de traitement ont tout intérêt à assurer la transparence et le contrôle de leurs données par les personnes concernées, d’autant plus que ces principes sont largement prônés par le RGPD, applicable dans toute l’Union européenne à partir du 25 mai 2018.

Me Gary Cywie, Counsel - Allen & Overy SCS
Me Gary Cywie, Counsel - Allen & Overy SCS

(1) Article 6 de la loi.