third
Novembre 2025

Numéro onze

Retrouvez le numéro onze de
Third : Le corps, le numérique et nous

Télécharger le numérothird
Télécharger third
sommaire
Numéro Onze - Le corps, le numérique et nous
11-1 - « La chaise est une addiction dont les écrans sont en partie responsables. Comme un fumeur qui sur les vingt cigarettes qu’il a fumées ne se souvient que de trois, nous ne nous rendons pas compte du temps passé assis » 11-2 - « Notre combat aujourd’hui consiste à intégrer dans la journée de travail des collaborateurs des techniques de renforcement et de récupération, sous forme de pauses actives ou de moments de récupération, pour qu’ils puissent finir leur journée sans s’abîmer la santé » 11-3 - « La promesse de l’IA est donc de disrupter la santé et nous aider à trouver de nouveaux traitements » 11-4 - Le « corps-données » au prisme des pratiques de quantification de soi 11-5 - « Le smartphone est incroyable : il nous a formatés, nous sommes devenus identiques et interchangeables, assujettis aux mêmes plateformes et applications, contraints aux mêmes gestes et également aveugles à ce qui nous entoure » 11-6 - Vers de nouveaux gestes numériques ? 11-7 - « Les neurotechnologies viennent profondément bousculer notre rapport à la conscience, en ce qu’elles mettent en évidence une réalité que les sciences cognitives et les neurosciences défendent depuis plusieurs décennies : il n’y a plus, aujourd’hui, de fondement scientifique à la séparation entre le corps et l’esprit » 11-8 - « Et c’est pourquoi j’affirme que c’est l’esprit humain lui-même qui est aujourd’hui colonisé » 11-9 - Simuler un corps numérique : de l’importance du bruit. Repenser la modélisation algorithmique à l’aune d’une pandémie virtuelle 11-10 - Corps numérique : l’objet juridique non identifié du XXIème siècle 11-11 - Regard juridique sur la mise en données du corps

la revue de Parallel Avocats

Télécharger l'articlethird
Third | Novembre 2025

Regard juridique sur la mise en données du corps

Michel Leclerc, Arthur Millerand et Jérémie Aflalo, associés du cabinet Parallel Avocats dédié au conseil et à la défense des entreprises technologiques (www.parallel.law)

 

La course à pied, pratique simple et facile d’accès, occupe une place de choix dans l’univers du bien-être puisque près d’un français sur quatre déclare pratiquer cette activité en 2025. Discipline valorisée pour la sobriété de son équipement, elle s’accompagne aujourd’hui de dispositifs bien plus élaborés qu’une simple paire de chaussures de course. En effet, à côté des vêtements techniques, s’imposent désormais les montres connectées et les applications mobiles1, devenues des outils indispensables pour suivre la progression et les performances sportives.

 

Ces dispositifs permettent de dépasser la seule traçabilité des parcours ou zones d’entraînement. En mesurant des données physiologiques en temps réel, telles que le rythme cardiaque ou la fréquence respiratoire, les utilisateurs peuvent identifier leurs zones d’allure, estimer leur vitesse maximale aérobie (VMA) ou encore surveiller leur cardio à l’effort. Accessoire devenu de plus en plus omniprésent sur le poignet des sportifs, la montre connectée capte et enregistre une multitude d’informations relatives au corps humain et à l’activité physique. Ces mesures donnent à l’utilisateur des informations lui permettant d’adapter son comportement et revêtent également une valeur économique importante pour les entreprises concevant ces objets connectés.

 

Riches, facilement accessibles et réutilisables, ces données soulèvent la question de leur protection et des règles qui pourraient encadrer leur utilisation. C’est pourquoi nous avons choisi dans cet article d’étudier le rapprochement entre données de santé et données de bien-être afin de déterminer les règles permettant d’assurer leur protection adéquate.

 

Fixons dans un premier temps quelques points de repères.

Entre les années 2010 et 2020, l’Internet des objets (Internet of Things – IoT) a connu un essor considérable (à ce titre, nous vous renvoyons vers le numéro 3 de Third « Vivre avec les objets connectés »). L’installation de capteurs sur des objets variés tels que des véhicules, des montres ou des réfrigérateurs, a permis à ces dispositifs de collecter des données relatives au comportement de leurs utilisateurs et de leur environnement, puis de les transmettre à des opérateurs, notamment via des applications mobiles.Ces objets sont devenus capables d’interagir entre eux grâce à la transmission de données. Ces dernières permettent non seulement d’optimiser le fonctionnement de ces objets, mais également de faire des retours d’informations à l’utilisateur, afin que celui-ci puisse ajuster son comportement.

La commercialisation de la première Apple Watch en 2014 marque l’introduction des dispositifs connectés de bien-être au grand public et le développement rapide de l’automesure connectée. Également connue sous l’expression « quantified self », il s’agit d’une pratique permettant l’analyse de l’activité physique ou du mode de vie de l’individu tel que son poids, sa tension ou le nombre de pas réalisés dans la journée2.

Dans le domaine de la santé, il convient toutefois de distinguer deux marchés : celui des objets connectés à visée médicale, dont la finalité est liée au diagnostic, à la prévention ou au traitement de pathologies, et celui des objets connectés de bien-être, destinés au suivi et à l’amélioration de la condition physique de l’utilisateur. La multiplication de ces dispositifs connectés et des applications sur ces deux marchés entraîne une collecte, un enregistrement et une analyse de données massive, parfois difficiles à qualifier juridiquement.

S’agit-il de données personnelles « comme les autres » ou de données de santé qui bénéficient d’un régime protecteur ? Comment encadrer l’usage des données de bien-être ? Quelles sont les protections adéquates au regard des différentes utilisations de ces données ?

Pour tenter de répondre à ces questions, nous synthétiserons d’abord l’encadrement juridique de la mise en données du corps (I.) avant d’examiner les usages et les responsabilités associées aux données de santé et de bien-être issues des objets connectés (II.).

I. L’encadrement de la mise en données du corps

Dans un premier temps, il convient de se pencher sur la définition et la distinction entre donnée de santé et donnée de bien-être (A.), avant de synthétiser le cadre juridique qui leur est applicable (B.).

A. Donnée de santé ou donnée de bien-être ?

Le règlement général sur la protection des données (RGPD) définit la donnée de santé comme toute donnée « relative à la santé physique ou mentale d’une personne physique » qui révèle des informations sur l’état de cette personne3. Une compréhension large de la notion a été retenue en jurisprudence4, permettant de séparer les données de santé en trois catégories : les données de santé par nature (ex : antécédents médicaux, maladies, résultats d’examens, traitements, handicaps etc.), les données de santé en raison de leur croisement avec d’autres données (ex : nombre de pas et mesure des apports caloriques etc.) et les données de santé en raison de leur destination (ex : l’utilisation qui en est faite sur un plan médical)5.

Le droit à la protection des données personnelles est aujourd’hui reconnu comme un droit fondamental6, de sorte que les données de santé, catégorie particulière des données personnelles, ont une protection renforcée. Afin de garantir son respect, le droit au secret médical assure que tout professionnel de santé, lorsqu’il traite de telles données, sera soumis à une obligation de secret professionnel7. La confidentialité des informations médicales est l’une des garanties de la liberté individuelle et du droit à la protection de la vie privée8.

Qu’en est-il de la donnée de bien-être ?

La notion n’est pas définie en droit. Récemment, le règlement relatif à l’espace européen des données de santé (EEDS)9 a mobilisé cette notion, non pas pour la définir, mais pour préciser les types d’applications utilisées pour procéder à la collecte de ces données : une application de bien-être est ainsi entendue comme un logiciel conçu pour être utilisé par une personne physique pour traiter des données de santé électroniques10. Ce texte confirme à la fois l’existence d’un lien entre les données de santé et les données de bien-être, et l’intégration du quantified self à la gouvernance des données11.

Dès lors, où situer les données de bien-être ?

Il est nécessaire de procéder à une analyse au cas par cas. Les données issues d’une application se limitant à compter le nombre de pas effectués lors d’une promenade ne permettent pas de déduire une information sur l’état de santé de l’utilisateur et ne sauraient être qualifiées de données de santé12. En revanche, si cette même application croise le nombre de pas avec d’autres éléments, tels que la vitesse, la distance parcourue et les calories brûlées, afin d’en tirer des conséquences sur l’état de santé de l’individu, elles pourront être qualifiées de données de santé par croisement.

B. Régime de protection des données personnelles

Les données de santé font l’objet d’un régime juridique particulier justifié par leur caractère sensible.

Par principe, tout traitement des données personnelles de santé est interdit13. Par exception, un traitement peut avoir lieu lorsqu’il est fondé sur une des exceptions limitativement énumérées14. Ainsi, lorsqu’un professionnel de santé recourt à un objet connecté dans le cadre de son activité, notamment pour réaliser un diagnostic médical, le traitement pourra être fondé sur l’exécution d’une obligation légale ou sur l’exécution d’un contrat de prestation de services médicaux conclu avec le professionnel de la santé.

La question se pose toutefois de savoir quelle base légale pourrait être applicable pour justifier le traitement de données de santé par croisement issues d’objets connectés. Prenons l’exemple d’une balance connectée qui permet à son utilisateur d’identifier sa perte de masse graisseuse et son gain musculaire grâce à des mesures détaillées. La collecte et l’analyse de ces données ne sauraient être justifiées par le simple contrat d’achat de la balance. Le consentement de l’utilisateur demeure la principale base légale permettant de déroger à l’interdiction du principe de traitement des données de santé. Ce consentement doit être donné explicitement et librement, ce qui semble exclure qu’il constitue une condition préalable à l’exécution d’un contrat ou à l’accès au service15. S’agissant des données personnelles issues d’un objet connecté mais qui ne sont pas qualifiées de données de santé, telles que les données collectées par une montre connectée retraçant la simple distance parcourue, leur traitement sera fondé sur l’une des bases légales de l’article 6 du RGPD.

En matière de conservation, la CNIL a publié un référentiel précisant les durées applicables aux traitements des données personnelles dans le domaine de la santé16. À titre d’illustration, le dossier médical et les informations qui y figurent, comme la fréquence cardiaque mesurée à l’aide d’un oxymètre par un médecin, peuvent être conservés pendant vingt ans à compter de la dernière intervention sur le dossier17. En revanche, il n’existe pas de référentiel spécifique applicable aux données issues d’objets connectés de bien-être. Il convient donc de prendre en compte les durées de conservation fixées par les fournisseurs des objets connectés, ou, lorsque ce n’est pas possible, les critères énoncés pour déterminer la durée de conservation.

En ce qui concerne les droits des personnes concernées par les traitements de données, au-delà des droits prévus dans le RGPD, s’ajoute un droit d’accès distinct consacré par le Code de la santé publique. À ce titre, toute personne peut accéder aux informations relatives à sa santé détenues par un professionnel, un établissement ou un centre de santé, dès lors qu’elles sont formalisées ou ont fait l’objet d’échanges écrits entre professionnels18. Ne sont donc pas concernées les données détenues par des tiers extérieurs à la prise en charge. Ainsi, si un médecin recueille le rythme cardiaque d’un patient à partir d’une montre connectée, cette donnée, lorsqu’elle est détenue en premier lieu par le fournisseur de la montre, ne devrait pas relever du droit reconnu par le Code de la santé publique.

II. L’encadrement des usages des données de santé et de bien-être

La collecte et l’utilisation des données issues des objets connectés soulèvent des enjeux de responsabilité de différents acteurs (A.), ainsi que des défis relatifs aux garanties entourant leur usage ultérieur (B.).

A. La responsabilité des différents acteurs de l’écosystème connecté

L’utilisation des données de santé ou de bien-être issues des objets connectés soulève des interrogations, en particulier, en termes de responsabilité. En cas de défaillance dans le traitement des données personnelles – qu’il s’agisse d’une fuite, d’une perte de confidentialité ou d’une altération non désirée des données – la question se pose de savoir qui pourra en être tenu responsable : le fabricant ou le fournisseur du dispositif, le professionnel de santé qui l’a utilisé ou prescrit, ou encore l’utilisateur de l’objet connecté médical ou de bien-être lui-même ?

Conformément au RGPD, le responsable du traitement est celui qui détermine les finalités et les moyens du traitement des données personnelles19. Dans un contexte médical ou hospitalier, les professionnels de santé peuvent être amenés à utiliser des dispositifs médicaux (ex. : un tensiomètre connecté), afin de recueillir des informations sur la santé de leurs patients. Ce traitement est réalisé par un objet connecté qui a été fabriqué spécifiquement pour cette finalité par le fabricant qui pourrait être considéré comme en étant le responsable de traitement. Toutefois, le professionnel de santé qui l’utilise afin d’analyser ces données pour en déduire des conséquences sur l’état de santé du patient sera également reconnu comme responsable du traitement. Cette logique s’étend aux objets connectés de bien-être, tels que les montres ou balances connectées. Le fabricant de la montre connectée qui permet la collecte et l’analyse du nombre de calories brûlées au regard du nombre d’étage gravis, sera reconnu responsable du traitement.

Ainsi, en cas de défaillance dans le traitement des données de santé, dans certaines situations, la responsabilité du responsable du traitement pourrait être engagée conjointement avec celle de son sous-traitant.

Dans ce contexte, les fournisseurs de cloud permettant l’hébergement des données personnelles résultant d’un dispositif médical ou de bien-être jouent un rôle central, notamment ceux bénéficiant de la qualification d’hébergeur de données de santé. Cette qualification spéciale créée en 2018, permettant le stockage et l’administration de données de santé, est accordée aux entités se conformant à des exigences strictes en matière de sécurité et de confidentialité20. Un nouveau référentiel de certification adopté le 16 mai 2024 a renforcé ce cadre, en imposant notamment un hébergement exclusif des données de santé au sein de l’espace économique européen.

Pour le grand public, l’espace d’hébergement le plus visible est l’espace de santé numérique, qui permet à chaque titulaire d’accéder notamment aux « constantes de santé éventuellement produites par des applications ou des objets connectés référencés »21. Cet outil, conçu pour faciliter le stockage et le partage sécurisé des données, impose aux fournisseurs d’outils et de services numériques le respect de critères d’interopérabilité, de sécurité et d’engagements éthiques. Qu’ils soient du domaine public ou privé, ces acteurs peuvent intégrer dans l’espace de santé numérique des données issues de dispositifs d’automesure. Le catalogue officiel des services numériques « Mon espace santé » recense d’ores et déjà des solutions telles que My S Life, une application dédiée à la santé intime des femmes, et Withings, un fournisseur notamment connu pour ses montres connectées.

B. Les enjeux liés à l’utilisation secondaire des données de santé et de bien-être

Les données personnelles de santé, en raison de leur caractère sensible, nécessitent une protection renforcée non seulement dans le cadre de leur utilisation primaire, mais également lors de la réutilisation ultérieure à des fins autres que l’évaluation de l’état de santé de la personne concernée.

Parmi ces finalités secondaires figurent notamment le traitement des données de santé électroniques à des fins de recherche et d’innovation. Le Règlement EEDS précise que ces données incluent tant les données générées automatiquement par des dispositifs médicaux que celles produites par les individus eux-mêmes, telles que les informations issues d’applications de bien-être22. Cependant, une telle réutilisation n’est envisageable qu’à condition de mettre en œuvre des garanties techniques et organisationnelles adéquates, en particulier des mesures d’anonymisation23. En France, le Système National des Données de Santé (SNDS) a été conçu à cette fin. Cette base de données unique en son genre, centralise une vaste quantité de données de santé anonymisées. Elle a été créée dans le but de faciliter la recherche médicale, la surveillance de la santé publique, ainsi que l’analyse et la compréhension des tendances sanitaire, tout en assurant la préservation de la confidentialité des données personnelles. Le SNDS rassemble des données provenant de différentes sources, telles que les remboursements de soins de santé, les dossiers médicaux, les hospitalisations, les prescriptions médicales et autres informations de santé.

Si une telle utilisation secondaire peut être licite, les risques d’usages illicites demeurent. Compte tenu de la sensibilité de ces données, la CNIL exerce un contrôle rigoureux sur les traitements qui leurs sont appliqués. À ce titre, elle a sanctionné en 2021 la société CEGEDIM SANTÉ spécialisée dans le développement et la commercialisation de logiciels de gestion pour les médecins de ville travaillant en cabinet ou en centre de santé24. Dans le cadre de l’utilisation de ces logiciels, des données de santé non anonymisées avaient été traitées sans autorisation, en vue de réaliser des études et statistiques dans le domaine médical par la société.

Enfin, la valeur des données de santé ne saurait être sous-estimée d’un point de vue économique. L’exploitation de telles informations ouvre la voie à des usages ciblés, tels que la diffusion de publicités personnalisées. Ainsi, la connaissance de la fracture du poignet pourrait par exemple conduire à la promotion d’attelles spécifiques auprès de la personne concernée. Un risque préoccupant réside également dans le profilage consistant à analyser ou anticiper le comportement d’une personne, voire à orienter des décisions automatisées intégrant des données de santé25. Une banque ayant connaissance d’un rythme cardiaque élevé chez l’un de ses clients, pouvant laisser présager un risque accru d’arrêt cardiaque, accepterait-elle de lui accorder un crédit ? Ces hypothèses ne sont pas purement théoriques. Aux États-Unis, la société Meta a récemment été condamnée pour avoir porté atteinte à la vie privée d’utilisatrices de l’application Flo, en procédant, sans leur consentement, à la collecte de données relatives aux cycles menstruels, à la fertilité et à l’ovulation, à des fins de ciblage publicitaire26.

L’utilisation secondaire des données est donc un enjeu capital, ce qui pose avec d’autant plus d’insistance la question de la distinction entre ce qui relève de la santé et du bien-être. Selon la qualification de la donnée, le régime juridique et les contraintes ne seront pas les mêmes, ce qui a un impact substantiel sur le régime applicable à l’utilisation secondaire des données. Cette question-clé pour tout opérateur sur le marché n’a pas fini d’intéresser les praticiens et le régulateur.

1. Céline Béguin-Faynel, « Objets connectés et appréciation du risque », Responsabilité civile et assurances, mars 2023, n°3, dossier 10.

2. CNIL, Le «Quantified self», c’est quoi ?, définition.

3. Article 4 pt. 15 du RGPD.

4. CJUE, 4 octobre 2024, Aff. C-21/23, ND (Lindenapotheke) c/ DR.

5. CNIL, « Qu’est-ce qu’une donnée de santé ? », 8 janvier 2018 ; Maximilien Lanna, Du bien-être à la gouvernance des données de santé, La Semaine juridique Entreprise et Affaires, 17 juillet 2025, n° 29, 1203.

6. Considérant 1 du RGPD ; Article 8(1) de la Charte des droits fondamentaux de l’UE ; Article 16(1) du TFUE.

7. Article 9 du RGPD ; Article L. 1110-4 du Code de la santé publique.

8. Thomaïs Douraki, « Le secret médical… », Rev. UE 2003, no 467, p. 257 et s., spéc. p. 257.

9. Règlement n° 2025/327 relatif à l’espace européen des données de santé, 11 février 2025.

10. Article 2 point a ter) du Règlement EEDS.

11. Maximilien Lanna, Du bien-être à la gouvernance des données de santé, JSE Entreprise & Affaires, 17 juillet 2025, n° 29, 1203.

12. CNIL, « Qu’est-ce qu’une donnée de santé ? », 8 janvier 2018.

13. Article 9 du RGPD ; Article 6 de la Loi informatique et libertés.

14. Article 9(2) du RGPD ; Articles 6 et 44 de la Loi Informatique et libertés.

15. Loraine Maisnier-Boché, « Fasc. 945 : Données de santé… », JurisClasseur Communication, déc. 2019, §46.

16. CNIL, « Les durées de conservation – Traitements dans le domaine de la santé », Référentiel, juin 2020.

17. Article R1112-7 du Code de la Santé Publique.

18. Article L. 1111-7 du Code de la santé publique.

19. Article 4 point 7 du RGPD.

20. Décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé.

21. Article L. 1111-13-1 du Code de la santé publique.

22. Considérant 56 du Règlement EEDS.

23. Loi n° 2016-41 du 26 janvier 2016.

24. CNIL, Délibération n° SAN-2024-013 ; CNIL, « Données de santé : sanction de 800 000€… », 12 septembre 2024.

25. CNIL, « Vos droits à l’intervention humaine… », 24 mai 2018.

26. US District Court for the Northern District of California, 1 August 2025, Flo Health Inc. v. Meta ; JuriGuide, 6 août 2025.

partager cet article
Partager sur

Ce site utilise des cookies d'audience afin d'améliorer la navigation et les fonctionnalités.

Accepter Refuser