Rendez-vous médicaux en ligne et données personnelles : le scandale australien

#RGPDTOTALLYUNCOMPLIANT

Le média public australien ABC a récemment révélé dans un article très détaillé, les pratiques assez abjectes de la plateforme de prise de rendez-vous médicaux en ligne HealthEngine [1].
Selon ABC, HealthEngine aurait partagé des informations médicales avec des cabinets d’avocats à la recherche de clients susceptibles de porter des réclamations pour des blessures corporelles.
Le projet pilote de partenariat avec le cabinet Salter et Gordon, aurait permis le partage d’informations médicales de 200 utilisateurs par mois entre mars et août 2017. Suite à un harcèlement téléphonique important révélé dans l’article et dont plusieurs utilisateurs en témoignent, une quarantaine d’utilisateurs seraient devenus clients du cabinet d’avocats.

En effet la plateforme, en plus de recueillir un état civil complet de la personne, sa position GPS (via application sur Smartphone ou FAI pour les ordinateurs) et la photographie de l’utilisateur, demande aux utilisateurs lors de la prise de rendez-vous avec des praticiens, leurs symptômes, pathologies et s’ils ont été victimes d’accident du travail ou de la circulation.
En tant qu’européen, là déjà, si on réfléchit RGPD, on se demande : ces informations collectées sont-elles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ?
Sont-elles collectées pour des finalités déterminées, explicites et légitimes et ne seront-elles pas traitées ultérieurement d'une manière incompatible avec ces finalités ?
Euh comment dire en restant politiquement correct… No comment.

Maintenant si on se penche sur le consentement de l’utilisateur à partager ses données avec des tiers, là encore, d’un point de vue RGPD, on peut se poser pas mal de questions.
Dans un communiqué de presse faisant suite à ces révélations, le Dr Marcus Tan, PDG fondateur de la plateforme nous indique que pour le partage des informations ne s’est pas fait sans le consentement exprès des utilisateurs [2].

Si on regarde de plus près les captures d’écrans publiées par ABC, on constate premièrement que l’utilisateur, lors de la prise de rendez-vous n’a pas d’autre choix que de partager ces informations avec des tiers.

Ensuite, que ce partage d’informations sensibles n’est pas explicitement annoncé, mais qu’il faut consulter non pas les conditions d’utilisations, ni la politique de confidentialité, mais un troisième document intitulé « Procédure de collecte ».
En consultant cette fameuse procédure de collecte :

L’utilisateur peut lire : « Si vous y consentez, nous pouvons également fournir vos informations personnelles aux fournisseurs d'autres produits et services susceptibles de vous intéresser, tels que les services de comparaison d'assurance maladie privée, les fournisseurs de crédit pour les actes d'esthétiques et dentaires, et les fournisseurs de services juridiques ».

Mais à aucun moment l’utilisateur peut faire le choix de ne pas consentir au partage de ses données, s’il veut obtenir son rendez-vous, il doit partager ses données et y « consentir » par la force des choses.
La définition du respect de la vie privée des utilisateurs selon le Dr Tan [2] :

Pour rappel, l’article 7 du RGPD nous dit : la personne concernée par le traitement manifeste de façon libre, spécifique, éclairée et univoque son accord. Comment l’utilisateur peut donner son accord pour un traitement spécifique avec un seul et unique bouton « Prendre rendez-vous », sachant que la prise de rendez-vous est en elle même un autre traitement ? Pour le coup, c’est totalement impossible. De plus, il ne peut se faire de façon libre pour le partage des données avec des sociétés tierces puisque le premier traitement, la prise de rendez-vous l’impose. Et pour finir, ce traitement et ses finalités sont dissimulés au milieu d’un énième document histoire de bien brouiller les pistes et faire en sorte que personne n’en prenne connaissance. On ne peut donc pas dire non plus que le consentement soitéclairé.

Pour moi le consentement « recueilli » n’est donc ni libre, ni spécifique, ni éclairé.

Le Ministre de la santé australien, Greg Hunt, a déclaré que le gouvernement avait chargé la « CNIL australienne » d’enquêter sur cette affaire.

Alors, certains me diront peut-être et encore que le RGPD ne s’applique pas en Australie. Oui, pour les australiens, mais si un européen utilise cette plateforme, le RGPD s’applique bel et bien.
Au delà des droits européens bafoués, cette affaire est une excellente piqûre de rappel sur les réflexions à apporter lors de la mise en place de traitements de données à caractère personnel.

[1] http://www.abc.net.au/news/2018-06-25/healthengine-sharing-patients-information-with-lawyers/9894114

[2] https://healthengine.com.au/press/