Le “scandale” – ou l’“affaire” – Quintiles qui a embrasé l’actu fin de semaine dernière, cette vente de données patient à des acteurs privés qui poursuivent des objectifs commerciaux, soulève bien des questions. Ligne rouge franchie? Cadre trop flou et/ou pas toujours compris par toutes les parties concernées? Manque de conscientisation et de responsabilisation des hôpitaux – mais aussi des patients? Brèche dans laquelle des sociétés privées s’engouffrent avec délectation? Opportunisme d’un acteur privé qui veut exploiter un maximum de choses avant que la réglementation européenne GDPR n’entre en vigueur en mai 2018?
Les données qui auraient ainsi atterri (ou pourraient atterrir) entre les mains de Quintiles IMS? Les informations patient précises portant sur les traitements et médicaments administrés, les données de facturation (de l’hôpital vers l’Inami et les mutuelles) ainsi que des résumés hospitaliers.
Les réactions tant dans les rangs des professionnels de santé que du côté politique (voir en fin d’article) n’ont pas manqué.
Nous avons pour notre part sollicité la réaction de Vincent Keunen, dont la société A7 Software a développé l’appli de dossier santé personnel et mobile Andaman7. Le hasard fait que nous l’avions interviewé, voici quelques jours, au sujet du débat vie privée/collecte et utilisation des données santé. Nous vous invitons d’ailleurs à lire cet autre article, intitulé “Les données médicales à l’heure de la “data-économie”: boîte de Pandore?” LIEN.
Nous l’avons donc recontacter pour le faire réagir à la fois sur le principe-même de la vente de données patient à des acteurs commerciaux et sur l’argument avancé par certains comme quoi la confidentialité des données serait suffisamment protégée via recours à des techniques d’anonymisation.
“Le fait que les données soient anonymisées ne protège pas du tout”, déclare-t-il d’emblée. “Il suffit de lire les articles qui ont été publiés à propos des travaux de recherche du MIT [Ndlr: travaux auxquels participent activement Yves-Alexandre de Montjoye, chercheur belge issu de l’UCL – voir ci-dessous].
Déjà avec quelques données « anonymisées » (très peu de données) relatives à nos achats, on peut retrouver assez facilement l’identité d’une personne… Alors, avec des données médicales, c’est encore beaucoup plus facile! Tout simplement parce que le nombre de personnes faisant des achats est énorme comparé aux personnes ayant une maladie ou un traitement particulier.”
Anonymisation? Loin d’être la clé
Brandir l’argument de l’anonymisation, voire simplement de la pseudonymisation, des données (voir en fin d’article la différence entre ces deux méthodes) apparaît comme une bien piètre défense ou comme une promesse bancale de protection des données, tant il a été démontré que les techniques d’anonymisation ne garantissent pas réellement la confidentialité de ces données.
Lors d’une conférence organisée, l’année dernière, par le Mundaneum, le professeur Vincent Blondel (recteur de l’UCL et spécialiste en matière de protection et exploitation des données) rappelait combien il est illusoire de croire que quiconque (un Etat, un hacker, un prestataire de services…), qui est désireux de s’octroyer un accès aux données les plus “privées” d’un individu connecté, ne puisse découvrir des informations de nature personnelle, privée et confidentielle s’il se donne un tantinet les moyens de percer les défenses théoriques de l’anonymisation des données.
Dans le secteur des télécoms, l’anonymisation ne résiste pas longtemps à un exercice de réidentification qui se base sur quelques paramètres (numéro d’appel, durée de la communication, localisation des interlocuteurs…).
C’est le fameux principe des 4 “points”, suffisants pour identifier quelqu’un avec précision, même si ses données ne sont pas communiquées “en clair”. C’est ce qu’ont notamment démontré les travaux de Yves-Alexandre de Montjoye, diplômé de l’UCL et doctorant au laboratoire de dynamique humaine au Media Lab du MIT.
Dès 2013, son équipe a démontré combien les techniques d’anonymisation des données étaient friables et n’empêchaient pas la ré-identification d’un individu. En matière de données mobiles/télécoms, “il suffit d’avoir 4 points – 4 endroits et le moment où vous y étiez. Statistiquement, dans 95% des cas, vous êtes la seule personne qui a pu être à ces 4 endroits aux moments concernés. Cela démontre combien il est difficile d’obtenir une réelle anonymisation des données “riches” comme le sont par exemple des données de carte de crédit”, déclarait Yves-Alexandre de Montjoye lors d’une interview qu’il nous avait accordée.
Les recherches de l’équipe du MIT ont également démontré que même en réduisant la “résolution” spatiale et temporelle (c’est-à-dire en n’enregistrant que sur des zones géographiques et des plages de temps plus larges), on ne résout pas le problème de ré-identification. Celle-ci est certes plus difficile à réaliser mais reste possible. Il suffit d’ajouter quelques points supplémentaires.
A lire également, ces publications, sur le même thème et à propos des mêmes recherches, publiées par MIT News et par le New York Times.
Les données santé d’un patient sont sa propriété
Retour au domaine de la santé. Dans les divers articles publiés à ce jour dans la presse, suite à l’affaire Quintiles, on a également pu lire que les acteurs publics (ministre De Block ou porte-parole du RSW – Réseau Santé Wallon) estiment que la responsabilité des données patient – et dès lors du sort qui leur est réservé – incombe “à chaque médecin traitant pour chacun de ses patients dans le cadre de la relation thérapeutique qu’il a individuellement avec chacun d’eux et sous couvert du secret professionnel. C’est dans ce sens que la Wallonie a défini son cadre juridique: à savoir que ce sont les prestataires de soins qui détiennent, collectent, conservent les données de santé de leurs patients.”
Voilà une déclaration qui déçoit quelque peu Vincent Keunen: “cette déclaration ne respecte pas la loi sur la vie privée, pas plus que la loi européenne sur les droits du patient ! Ce n’est pas le médecin traitant qui est responsable des données de ses patients, c’est le patient lui-même.” Et d’ajouter: “le RSW se positionne mais il a tort. Il est certes une initiative médicale (hôpitaux principalement, généralistes dans un second temps) mais il n’est nullement représentatif des souhaits des patients. Chez Andaman7, nous recevons beaucoup de demandes de patients pour recevoir leurs données du RSW dans Andaman7 mais cela fait maintenant deux ans que nous sommes en discussions avec le RSW et aucune donnée n’est encore disponible… On est très loin de respecter la loi sur les droits du patient et le GDPR!”
Le fait est que, depuis 2002, qui a vu la promulgation de la loi sur les droits des patients, c’est le patient lui-même qui est légalement “propriétaire” de ses données médicales. Ajoutons toutefois que cela ne dédouane nullement tous ceux qui “traitent” les données ou à qui le patient en confie le traitement, pour quelque but que ce soit. La responsabilité des professionnels de santé demeure donc clairement engagée.
La collecte de ses données, en ce compris par tout professionnel de santé, est d’ailleurs soumise à des règles très strictes, qui seront encore renforcées par la nouvelle réglementation GDPR européenne. On peut notamment citer la définition claire des finalités de la collecte (usage qui sera fait des données) et l’obligation de consentement explicite de la part du patient.
Vu sous cet angle, Vincent Keunen estime que le fait d’imposer au patient de “donner son consentement pour tout partage serait peut-être la solution… Ce serait au patient de décider s’il partage ses données gratuitement ou s’il désire se faire payer…”
Ce que le GDPR prévoit et/ou imposera
Qu’impliquera l’avènement de la réglementation GDPR pour les acteurs des soins de santé, par exemple pour les hôpitaux? Cette question a fait l’objet, récemment, d’un atelier du réseau Patient numérique.
Voici quelques-uns des éléments qui ont été mis en exergue.
Le cadre et les modalités exactes d’application de la GDPR n’ont pas encore été totalement finalisés. Par exemple, un groupe de travail du SPF Santé publique planche encore actuellement sur la définition d’un modèle de consentement par le patient.
Si le consentement du patient ne sera pas requis pour créer un dossier patient ou pour lui l’établissement de la facture correspondant aux soins délivrés, il en ira tout autrement pour les autres finalités de la collecte de données. On parle ici notamment de prestations ou services visant faciliter la vie du patient (en dehors donc des actes nécessaires à l’apport d’un diagnostic et de soins) et a fortiori de toute finalité marketing, promotionnelle ou commerciale.
L’un des points qui devra encore être éclairci est l’obligation d’informations, voire de demande de consentement, au cas où un changement dans la logique ou le fonctionnement d’un algorithme ou d’un mécanisme d’apprentissage automatique (Intelligence Artificielle) a un impact sur l’utilisation qui est faite des données collectées.
Le droit à l’oubli (autrement dit à l’effacement des données) ne pourra pas venir contrecarrer les obligations légales auxquelles sont soumis les hôpitaux. Par exemple, une durée de conservation de 30 ans pour les données médicales, de 10 ans pour les dossiers infirmier, et de 7 ans pour les données de facturation.
Les réactions…
Petit florilège de réactions politiques à ce jour.
Alda Greoli, ministre responsable des dossiers (e-)Santé en Région wallonne: « Il semble évident qu’autant le corps médical, et a fortiori les patients, n’ont pas été suffisamment informés de l’usage potentiel qui pouvait être fait de leurs données.”
Muriel Gerkens (Ecolo): “la ministre [Maggie De Block] refuse d’entendre les risques [accès aux données collectées, anonymisation insuffisante] au nom du progrès et de la digitalisation indispensable des données pour améliorer les soins de santé.”
Catherine Fonck (cdH): laxisme du fédéral qui “n’interdit pas clairement l’utilisation des données médicales à des fins commerciales et choisit clairement, malgré les multiples mises en garde, la voie de récolter les données médicales de manière pseudonymisée et donc pas pleinement anonymisée.” [ Retour au texte ]
La différence entre anonymisation et pseudonymisation?
Cette dernière technique consiste à “gommer” le nom d’une personne en le remplaçant par un pseudonyme mais ce dernier demeurera le même dans tous les dossiers et systèmes informatiques concernés.
Les autorités de protection de la vie privée et le Groupe de travail Article 29 (G29), organe consultatif européen indépendant, mettent en garde contre la “légèreté” de cette solution. Dès 2014, le G29 indiquait par exemple que “la pseudonymisation n’est pas une méthode d’anonymisation. Le pseudonymat n’est pas de nature à empêcher qu’une personne concernée soit identifiable. Il reste donc dans le champ d’application du régime juridique de la protection des données.”
Le texte de la GDPR évoque, lui aussi, des risques de “renversement non autorisé du processus de pseudonymisation” et estime que “l’utilisation de données pseudonymisées n’est en soi pas suffisante pour justifier un allègement des obligations à la charge des responsables de traitement et des sous-traitant.”
Quelques techniques d’anonymisation: la suppression du nom propre, le passage au typex virtuel (“mise en blanc de champs”) pour les noms et prénoms, le recours à des désignations tronquées (seule une partie du prénom et/ou du nom est conservée – mais les recoupements pour ré-identifications sont plus faciles), le hashing et chiffrement, la substitution de noms (par des M. Dupont, Mme Trucmuche…). Des méthodes qui peuvent être combinées. [ Retour au texte ]
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.