Analyse

[JDR] Cloud et données personnelles médicales : la souveraineté des données comme prévention des risques de fuite

Le 24 juin 2021 par Le club Risque de l'AEGE

Le 17 mai dernier, le gouvernement a présenté sa stratégie nationale pour le Cloud. Répondant à la polémique récente concernant la souveraineté des données du Health Data Hub, il ne s’agit pourtant que de la partie émergente de l’iceberg de la question des données personnelles médicales. Alors que la France affirme sa volonté d’en faire des données protégées souveraines, se heurte la question de la faisabilité d’une telle mesure, et de plus largement, comme l’actualité a pu le prouver, la question du risque de fuite des données pour les patients.

Cyberattaque et fuites de données : le Health Data Hub comme remède théorique

Créée en 2019, la plateforme de données de santé (PDS), aussi appelée Health Data Hub a permis à la France de protéger les données médicales personnelles dans un cloud sécurisé.

Cette plateforme regroupe les données de dizaines de millions de Français. L’enjeu est donc important en termes de sécurité. En effet, en France, la santé est une mission du service public impliquant que la protection des données de santé est de la compétence de l'État.

En parallèle de la mise en place de cette plateforme, les vagues de piratages d’hôpitaux ont suscité assez d'intérêt dans la presse pour renforcer la vision unanime de la nécessité de protection des données. Il a été annoncé encore plus de moyens pour rendre cette plateforme efficace, ce qui progressivement, devrait être mis en place. Cependant, comment le faire est toujours en débat.

Le monopole des GAFAM et l’absence d’alternative souveraine de la French Tech

Le projet, bien que répondant aux attentes de protection des données, a fait polémique, notamment du fait que bien que les données soient sur un cloud sécurisé. Pour rappel, elles étaient stockées à l’étranger, aux Etats-Unis, par Microsoft Azure, solution cloud de Microsoft.

Il est donc délicat de parler de protection des données lorsque le cloud est physiquement à plusieurs milliers de kilomètres des personnes et dans un autre État souverain.

Après négociations, les clouds furent finalement hébergés en région parisienne. Cependant, des points problématiques révélant la fragilité et la difficulté d’un tel objectif sont venus démontrer l’insuffisance d’une telle mesure. Tout d’abord, même si les serveurs sont désormais en France, ils appartiennent toujours à Microsoft, entreprise enregistrée aux Etats-Unis, et soumis à la loi de son pays. La question de la dépendance est particulièrement problématique puisque le Cloud Act de 2018, autorise la justice à se saisir des données hébergées. En outre, cette demande n’a pas à être communiquée aux “propriétaires” des données.

Aussi, le choix d’un hébergeur “GAFAM”, montre l’impossibilité d’avoir une souveraineté numérique réelle : il n’existe pas d’autres sociétés de la même ampleur que Microsoft pouvant répondre à cette mission. Bruno Le Maire, chargé de la mise en place du cloud souverain, assume complètement cette situation déclarant que le retard français est pour le moment irrattrapable, au détriment des entreprises de la French Tech. Pour cette raison, en mars dernier, Anticor, association luttant contre la corruption, a saisi le parquet national financier sur l’absence de mise en concurrence du projet. La plainte est toujours en cours.

Cependant, l’absence d’un cloud souverain européen risque de ne pas jouer en faveur de la contestation d’une absence de mise en concurrence qui, malgré des essais, est de facto, réelle.

Les nouveaux algorithmes de traitement de donnée de médecine prédictive : un nouveau rapport à la data

La médecine prédictive est l’idée d’anticiper des maladies chez le patient avant qu’elles n’arrivent grâce à son dossier médical et à l’intelligence artificielle. Aussi, parallèlement à cette problématique de conservation des données, se développe en Amérique du Nord des plateformes de données personnelles médicales, comme Athena Health, détenue par le fonds d’investissement Elliott Management et Veritas Capital, deux fonds d’investissements reconnus pour leurs achats d’entreprises novatrices. Ou encore IQVIA, entreprise américaine déjà implantée en France, dont on a récemment entendu parler pour l’exploitation commerciale des données obtenue par la carte vitale, obtenues sous motif « d’intérêt public ».

Dotées d’algorithmes novateurs, ces entreprises ont pour but d’avancer vers la médecine prédictive. En effet, quoi de mieux pour une compagnie d’assurance que de savoir à l’avance l’état de santé de ses clients, et quoi de mieux pour un patient que de savoir à l’avance si l’on risque un cancer ou une maladie ? Ces plateformes proposent aux clients ainsi qu’aux entreprises un partage des données rentable pour chacune des parties. Ce marché semble plutôt tourné vers les États-Unis où le système médical privatisé amène de facto un enjeu financier bien plus grand pour les questions de santé.

Cependant, il est tout à fait concevable qu’un jour de telles plateformes viennent en Europe. C’est d’ailleurs cette maîtrise des algorithmes qui a notamment justifié le fait de confier à une entreprise américaine le projet Health Data Hub, la French Tech ne pouvant assurer un tel service. Preuve en, la question du Health Data Hub a d’ailleurs été confiée par le ministère des solidarités et de la santé à Jean-Marc Aubert qui n’est autre que le représentant en France de la société américaine IQVIA citée plus haut.

Par ailleurs, la commercialisation des données médicales menace directement le principe même de protection des données alors à quoi bon mettre autant de moyens pour protéger des données qui circuleraient aussi simplement et seraient partagés avec autant d’autres sociétés privées ?

Le consentement utilisateur, un rempart insuffisant au risque de fuite de donnée

Même si en France les choses avancent pour proposer une solution sécurisée, ce travail sera vain si finalement les GAFAM peuvent obtenir par simple demande l’ensemble des données médicales d’une personne. Le risque serait que les données médicales deviennent à la manière des cookies sur Internet, seulement une formalité à accepter pour pouvoir contracter dans certains domaines (banques ou assurances notamment). Les données passeraient facilement sous le contrôle d’entreprises privées, et leur protection serait davantage difficile à garantir.

Armé du consentement des utilisateurs, les GAFAM ou les entreprises reprendraient ainsi facilement le contrôle. Les campagnes de sensibilisation de l’ANSSI et de la CNIL semblent être pour le moment le maximum de ce qui peut être fait. Mais à long terme, la non-diffusion des données de santé devra être un point impératif pour en garder le contrôle. D’autant plus que comme l’affirme Jean-Marc Aubert, l’anonymisation des données de santé est impossible : collectant par définition des informations détaillées de la personne (sexe et âge de la personne, milieu social et professionnel…) nécessaires aux algorithmes, les données de santé demandent en vérité une protection particulière.

Pour prévenir d’un fiasco du Health Data Hub et ne pas créer inutilement une haute protection pour les données qui se retrouveraient soient sous le joug étasunien, soit sous celui des entreprises, il faudra savoir coordonner initiative législative, culture de la protection des données, et vigilance envers les GAFAM.

 

  Le Club Risques de l’AEGE