Nous sommes entrés dans l’ère du “quantified self”, des données de santé générées (en partie) par le patient, de la donnée médicale devenue propriété de chaque individu mais partagée, parfois confiée à des plates-formes d’hébergement dans le cloud…

La donnée représente une valeur monnayable et monnayée. Où sont les limites à ne pas franchir? Quelles sont les règles? Big data et vie privée sont-ils compatibles?

Les questions abondent dans le domaine des soins de santé. Vincent Keunen, dont la société A7 Software a développé l’appli de dossier santé personnel et mobile Andaman7, donne son opinion sur certains de ces points.

Respect de la vie privée: nécessité ou suicide économique?

Beaucoup vous diront que la vie privée est une bataille d’arrière-garde, une cause perdue. La vie privée n’existerait plus, battue en brèche par l’évolution des technologies et des comportements.

Dans le même temps, l’Europe tente de dresser de nouvelles protections pour l’individu. Notamment par le biais de la réglementation GDPR. Nous vous en avons déjà souvent parlé, notamment dans ce dossier.

Certains y voient une manière de recréer de la valeur différenciatrice pour les acteurs locaux, qui mettront la garantie de confidentialité comme service supplémentaire et garantie précieuse.

D’autres, par contre, y voient un aveuglement coupable de l’Europe qui n’aurait rien compris aux défis actuels. Parmi eux, le toujours très polémiqué Laurent Alexandre. Lors d’un exposé prononcé fin août à Paris lors de l’Université d’été du Medef (organisation patronale française), il déclarait: “Hier, l’intelligence était rare et chère. Demain, [sous forme d’intelligence artificielle/IA] elle sera gratuite et nous n’avons pas encore réfléchi à l’impact que cela aura. Ce qui implique qu’on injectera de plus en plus d’IA dans le business et que les sociétés qui la maîtriseront seront les plus puissantes. Elles sont déjà les maîtres de la valeur économique. […]

L’Europe, dans les années qui viennent va devoir défendre sa souveraineté numérique pour participer au festin numérique. Or, jusqu’à présent, nous avons échoué.

Notre problème en tant qu’Européens, c’est que nous sommes des boyscouts de la technologie.

L’Europe est aveugle. Pour fabriquer de l’IA, il faut d’immenses bases de données. Que fait l’Europe en matière d’intelligence artificielle? Elle met en place une régulation, le GDPR, qui interdit aux sociétés européennes de construire de grandes bases de données qui sont la base-même de la construction de l’IA. Nous sommes suicidaires et aveuglés.

Si nous voulons éviter de continuer dans la voie de notre marginalisation, il faut changer radicalement de stratégie en matière d’IT et d’IA. Parce qu’il y a un mensonge politique. Nous avons la CNIL et de sympathiques nains industriels… ils ont les GAFA et les BATX.

Il faut une prise de conscience rapide: l’IA est au coeur de la valeur économique au 21ème siècle. Nous ne pouvons pas, par connerie bureaucratique, tuer les licornes européennes potentielles de l’IA.”

Son avis est partiellement partagé par Vincent Keunen: “Tous les champions [du numérique] sont effectivement américains. Pour être roi, il faut un accès massif aux données. La réglementation GDPR, vu sous cet angle, est un bâton dans les roues des sociétés qui veulent développer l’économie des données, comme le font Facebook ou Uber.”

Ce qui ne veut pas dire, selon lui, que l’approche américaine soit copiée-collée en Europe. Ou doive l’être.

Chez nous, en effet, souligne-t-il, “l’utilisation des données personnelles est un problème pour beaucoup de citoyens. Cela ne correspond pas à nos valeurs et nous pressentons les risques. Le business n’est pas tout. La sensibilité des citoyens et leurs attentes sont également importantes.

Par ailleurs, toutefois, il ne faut pas attendre des sociétés privées, en recherche de profit, qu’elles mettent en place les règles du jeu. A ce niveau, le GDPR est une excellente chose. Elle met des limites, inspirées par les attentes des citoyens.”

Si l’on en revient au domaine des données santé, comment s’y prendre? Peut-on imaginer les “monétiser” librement? La récente polémique qu’a fait surgir l’information selon laquelle plusieurs hôpitaux belges ont signé un contrat de monétisation de données santé (voir notre autre article) est un beau cas d’espèce et pousse toutes les parties prenantes à une réflexion en profondeur…

En la matière, tout dépend des finalités et des intentions.

Partager ses données médicales avec les professionnels de la santé et les autorités en charge de cette matière, au niveau régional ou national, est une chose. “L’objectif”, relève Vincent Keunen, “est, d’une part, de soigner le patient atteint d’une pathologie et, d’autre part, de le faire d’une manière qui soit durable pour notre système de santé – tellement plus juste et solidaire que les systèmes plus commerciaux trouvés aux États-Unis.”

Mais partager ses données avec d’autres destinataires (amis, proches, sociétés commerciales, assureurs…), selon que l’on soit plus ou moins regardant sur la notion de vie privée et de valeur de l’info, voilà qui est très différent.

Pourtant, le patient est désormais officiellement – depuis 2002 (!), date de sortie de la loi sur les droits des patients valable pour toute l’Europe -, légalement, “propriétaire” de ses données médicales. Il peut en demander une copie, exiger que des erreurs soient rectifiées, voire même obtenir qu’elles soient effacées chez toute partie tierce qui les détiendrait.

S’il ne fait plus confiance à son médecin ou décide de changer d’hôpital, il peut exiger que ses données soient transmises vers le nouveau prestataire – et supprimées du système informatique du médecin ou de l’hôpital qu’il quitte.

“Cela paraît tellement évident”, insiste Vincent Keunen, “c’est MA santé, c’est MON corps, ce sont MES données…”

Une réalité qui rencontre encore certains freins, auprès de certains professionnels. Pour diverses raisons qui tiennent tant à des raisons psychologiques, protectionnistes (pré-carré de la blouse blanche) ou de méconnaissance des obligations légales. “Certains acteurs, un peu paternalistes, ont encore du mal à respecter le patient…”

Protéger le patient contre lui-même

Le patient peut-il pour autant faire ce qu’il veut de ses données? Quels garde-fou peut-on prévoir pour éviter que des yeux indiscrets et des personnes mal intentionnées n’accèdent à ces données hyper-privées?

Premier garde-fou: l’anonymisation des données, ou des techniques de pseudonymisation, de brouillage, de minimisation… D’autres technologies viendront également à la rescousse, estime Vincent Keunen. Ainsi la technologie du blockchain assure le traçage de la chaîne de traitements appliqués à une donnée. “Elle a pour effet de rendre les utilisations illégales et les abus très compliqués.”

Deuxième garde-fou: la sensibilisation et la formation de l’individu aux implications de la mise à disposition de ses données santé. Avec éventuellement l’émergence d’un métier ou d’un profil nouveau qui serait le “tuteur” de données, pour protéger l’utilisateur contre lui-même et son manque de compréhension des dangers.

Troisième garde-fou: la loi.

Pour Vincent Keunen, la législation est le garde-fou par excellence. “La législation européenne aborde la problématique en replaçant le patient au centre du jeu. Les lois sont claires.”

Les éditeurs de logiciels et concepteurs de dispositifs e-health en tous genres qui sont respectueux de cette législation proposent donc, selon lui, des solutions légitimes et vertueuses.

Il prend l’exemple de son propre produit: “nous [A7 Software] n’avons pas accès aux données patient. Nous fournissons l’appli et la plate-forme. Nous sommes l’intermédiaire, le “facteur”, celui qui transporte des enveloppes scellées.

Notre espoir est de devenir cette Health Intermediation Platform pour tous les acteurs des soins de santé (recherche, médecins, hôpitaux…). Mais toujours en respectant scrupuleusement les règles: pas d’accès aux données patient et un consentement explicite préalable pour l’utilisation qui en est faite, pas de stockage des données dans le cloud [Ndlr: stockage uniquement dans le dossier médical détenu par le professionnel et sur le dispositif mobile du patient].

C’est le patient qui détermine à qui il donne accès à ses données.”

Vincent Keunen (A7 Software): “Une société qui ne respecterait pas les dispositions légales en matière de traitement des données prendrait un risque énorme pour son business. C’est ce qu’on appelle le poids du risque. Mais tout dépendra de la valeur qu’on donnera à la donnée et au prix à laquelle on la vendra, en vue d’un quick win.”

Mais quid d’un éditeur ou d’un fournisseur qui n’aurait que faire des garde-fou légaux européens? Ou qu’adviendra-t-il si le patient, propriétaire et “maître” de ses données, décidait de les monétiser en les vendant à un prestataire, à un laboratoire, à un éditeur de logiciels, à un développeur d’algorithmes…?

Sans vouloir se prononcer sur la probabilité d’un tel scénario de monétisation (qui tient du registre personnel, dans une certaine mesure), Vincent Keunen veut prendre le problème par le côté optimiste. Selon lui, le poids social, celui de l’image et de la réputation (sans parler du porteur de bâton légal éventuel) auront tôt fait de punir toute société, pharmaceutique par exemple, qui ferait des choses illégales avec les données qu’elle aurait obtenues. Enfreindre la loi, “c’est prendre d’énormes risques. On l’a vu avec les constructeurs automobiles. On le voit avec les amendes imposées par l’Europe à Google…”