Protection de l’accès aux données médicales de l’utilisateur
HealthKit fournit un référentiel central destiné aux données de santé et de mise en forme sur iPhone et Apple Watch. HealthKit fonctionne aussi directement avec les appareils de santé et de mise en forme, comme les moniteurs de fréquence cardiaque Bluetooth faible énergie (BLE) compatibles et le coprocesseur de mouvement intégré à de nombreux appareils iOS. Toute interaction de HealthKit avec les apps ou les appareils de santé et de mise en forme et les établissements de soins de santé exige l’autorisation de l’utilisateur. Ces données sont associées à la classe de protection des données « Protection complète sauf si des données sont ouvertes ». L’accès aux données est abandonné 10 minutes après le verrouillage de l’appareil et les données redeviennent accessibles la prochaine fois que l’utilisateur saisit son code ou qu’il utilise Face ID ou Touch ID pour le déverrouiller.
Collecte et stockage des données de santé et de mise en forme
HealthKit collecte et stocke également les données de gestion, comme les autorisations d’accès des apps, les noms des appareils connectés à HealthKit et les informations de programmation utilisées pour lancer les apps lorsque de nouvelles données sont disponibles. Ces données sont stockées dans la classe de protection des données « Protection complète jusqu’à la première authentification de l’utilisateur ». Des fichiers journaux temporaires stockent les informations de santé générées pendant que l’appareil est verrouillé, comme lorsque l’utilisateur pratique une activité physique. Ils sont associés à la classe de protection des données « Protection complète sauf si des données sont ouvertes ». Lorsque l’appareil est déverrouillé, les fichiers journaux temporaires sont importés dans les bases de données médicales principales, puis supprimés une fois la fusion terminée.
Les données médicales peuvent être stockées sur iCloud. Le chiffrement de bout en bout des données médicales requiert iOS 12 ou une version ultérieure ainsi que l’identification à deux facteurs. Autrement, les données de l’utilisateur sont quand même chiffrées lors du stockage et de la transmission, mais elles ne sont pas chiffrées de bout en bout. Après l’activation de l’identification à deux facteurs et la mise à niveau vers iOS 12 ou une version ultérieure, les données médicales de l’utilisateur utilisent le chiffrement de bout en bout.
Si l’utilisateur effectue la sauvegarde de son appareil avec le Finder (sous macOS 10.15 ou une version ultérieure) ou iTunes (macOS 10.14 ou une version antérieure), les données médicales sont stockées uniquement si la sauvegarde est chiffrée.
Dossiers médicaux
Les utilisateurs peuvent se connecter aux systèmes de santé compatibles dans l’app Santé pour obtenir une copie de leurs dossiers médicaux. Lorsqu’il se connecte à un système de santé, l’utilisateur s’authentifie en utilisant ses informations d’identification de client OAuth 2. Une fois la connexion établie, les données des dossiers médicaux sont téléchargées directement auprès de l’établissement de soins de santé par une connexion protégée TLS 1.3. Après le téléchargement, les dossiers médicaux sont stockés de façon sécurisée avec les autres données médicales.
Authenticité des données médicales
Les données stockées dans la base de données comprennent des métadonnées permettant de connaître la provenance de chaque enregistrement. Ces métadonnées incluent un identifiant d’app qui identifie l’app ayant stocké l’enregistrement. En outre, un élément de métadonnées facultatif peut contenir une copie signée numériquement de l’enregistrement afin d’assurer l’authenticité des données des enregistrements générés par un appareil approuvé. Le format utilisé pour la signature numérique est la syntaxe de message cryptographique (CMS) spécifiée dans la norme RFC 5652.
Accès aux données médicales par les apps tierces
L’accès à l’API HealthKit est contrôlé par des déclarations d’autorisation, et les apps doivent se conformer aux restrictions concernant l’utilisation des données. Par exemple, elles ne sont pas autorisées à utiliser les données médicales pour afficher des publicités. Elles doivent également fournir aux utilisateurs une politique de confidentialité indiquant en détail comment elles utilisent les données médicales.
L’accès aux données médicales par les apps est contrôlé par les réglages de confidentialité de l’utilisateur. Lorsque des apps demandent à accéder aux données médicales, l’utilisateur est invité à indiquer son choix, comme pour Contacts, Photos et d’autres sources de données iOS. Toutefois, pour les données médicales, les apps se voient accorder des accès distincts pour la lecture et l’écriture ainsi que pour chaque type de données médicales. Les utilisateurs peuvent consulter et révoquer les autorisations d’accès aux données médicales qu’ils ont accordées sous Réglages > Santé > Accès aux données et appareils.
Si des apps sont autorisées à écrire des données, elles peuvent également lire celles‑ci. Si elles sont autorisées à lire des données, les apps peuvent lire les données écrites par toutes les sources. Toutefois, les apps ne peuvent pas déterminer les autorisations d’accès accordées aux autres apps. En outre, elles ne peuvent pas savoir avec certitude si elles sont autorisées à lire les données médicales. Quand une app ne dispose pas d’une autorisation de lecture, les requêtes ne renvoient aucune donnée, comme lorsque la base de données est vide. Cela vise à empêcher les apps de déduire l’état de santé de l’utilisateur à partir des types de données qui l’intéressent.
Fiche médicale pour les utilisateurs
L’app Santé offre aux utilisateurs la possibilité de remplir une fiche médicale avec des informations qui pourraient s’avérer importantes en cas d’urgence. Celles‑ci sont saisies ou actualisées manuellement et ne sont pas synchronisées avec les informations contenues dans les bases de données médicales.
Les informations de la fiche médicale peuvent être consultées en touchant le bouton Urgence sur l’écran verrouillé. Elles sont stockées sur l’appareil avec la classe de protection des données « Aucune protection » afin d’être accessibles sans avoir à saisir le code de l’appareil. La fiche médicale est une fonctionnalité facultative qui permet aux utilisateurs de trouver un juste équilibre entre sécurité et confidentialité. Ces données sont sauvegardées dans la sauvegarde iCloud sous iOS 13 ou version antérieure. Dans iOS 14, la fiche médicale est synchronisée entre les appareils au moyen de CloudKit et présente les mêmes caractéristiques de chiffrement que le reste des données médicales.
Partage de santé
Sur les iPhone sous iOS 15 ou une version ultérieure, l’app Santé offre aux utilisateurs la possibilité de partager leurs données de santé avec d’autres utilisateurs. Les données de santé sont partagées entre les deux utilisateurs à l’aide d’un chiffrement iCloud de bout en bout. Apple ne peut pas accéder aux données envoyées par le biais de Partage de santé. Pour utiliser cette fonctionnalité, les utilisateurs expéditeurs et destinataires doivent utiliser iOS 15 ou une version ultérieure et avoir activé l’identification à deux facteurs.
Les utilisateurs peuvent également choisir de partager leurs données de santé avec leur fournisseur de soins de santé en utilisant la fonctionnalité « Partager avec le fournisseur » dans l’app Santé. Les données partagées à l’aide de cette fonction sont uniquement accessibles aux établissements de santé sélectionnés par l’utilisateur au moyen d’un chiffrement de bout en bout. En outre, Apple ne conserve pas et n’a pas accès aux clés de chiffrement permettant de déchiffrer, de visualiser ou d’accéder autrement aux données de santé partagées à l’aide de la fonctionnalité « Partager avec le fournisseur de soins de santé ». De plus amples détails sur la manière dont la conception de ce service protège les données de santé des utilisateurs sont disponibles dans la section Sécurité et confidentialité du Guide d’enregistrement Apple pour les organismes de santé.