Nos données médicales en temps de crise, sont-elles bien protégées ? Pas évident, à priori, de répondre à cette question par une total affirmative. Pour en parler, nous avons interrogé Aïssa Khelifa, Directeur Général de Milvue, entreprise spécialisée dans l’intelligence artificielle dans le secteur médical. Fondée en 2018, la startup a développé une intelligence artificielle qui, grâce au deep learning, interprète les radiographies automatiquement et permet de désengorger les urgences.
Breizh-info.com : Comment marier la protection des données et l’innovation médicale ?
Aïssa Khelifa (Milvue) : Je vais répondre à la fois comme citoyen et comme industriel investi dans les technologies de l’information.
Comme citoyen tout d’abord, je considère qu’une donnée de santé est précieuse par le fait qu’elle concentre potentiellement beaucoup d’informations sur son propriétaire, qui est toujours et exclusivement le patient : des informations médicales, démographiques, des informations de mode de vie, des fragilités potentielles. Ces informations, prises isolément et anonymisées, sont peu informatives. Dans certains cadres, et en particulier dans le cadre de la santé, ces informations nécessitent de rester, au moins partiellement, nominatives. C’est dans ces contextes qu’un cadre stricte à leur stockage est essentiel. Ces données peuvent également parfois être contextualisées, c’est-à-dire croisées entre elles et avec d’autres sources (zone géographique, catégorie socio-professionnelle, données issues d’internet), qui elles sont déjà largement disponibles. C’est ainsi que l’on crée des profils d’individus, de consommateurs, etc., potentiellement exploitables par entre autres des employeurs, des banques, des compagnies d’assurance. Mais d’autres acteurs pourraient bien sûr s’intéresser à de telles données, qui ont une valeur « marketing » intéressante, comme par exemple l’industrie agro-alimentaire ou l’industrie pharmaceutique. D’où l’importance d’assurer un cadre strict à leur diffusion.
Comme industriel des technologies de l’information en santé, l’innovation est notre ADN et se nourrit de données de santé. Elles sont nécessaires à la construction des solutions, à leur amélioration continue, et enfin à leur évaluation externe. Dans l’immense majorité des cas, il n’est pas nécessaire que ces données soient nominatives. Les développements actuels en Intelligence Artificielle, comme ceux que propose notre société Milvue en Imagerie Médicale, s’appuient sur des jeux de données de centaines de milliers de cas.
Chez Milvue, seules les images anonymisées, indépendamment du diagnostic médical, sont utilisées. Nous fournissons aux partenaires hospitaliers ou libéraux un outil qui va anonymiser purement et simplement les données. D’autres sociétés françaises et mondiales exploitent les comptes-rendus médicaux dont l’anonymisation est alors difficile à réaliser.
Dans certains cas, il est nécessaire de gérer des données de plusieurs sources différentes ou chainées dans le temps, et on ne peut pas à ce moment-là anonymiser purement et simplement les données à la source. Par exemple, le suivi d’un protocole thérapeutique va nécessiter d’agréger des données issues de l’imagerie, des dossiers patients, voire du séquençage du génome, et s’assurer de leur homogénéité dans le temps. Sont alors utilisées des techniques de « pseudonymisation » consistant à remplacer l’identité du patient par un identifiant numérique inviolable. Mais, il n’existe aucun cas où la recherche et l’’innovation nécessite des informations nominatives sur les patients.
Globalement, plus le niveau d’information contenu dans la donnée traitée est élevé, plus sa gestion est complexe. Cependant la valeur de la donnée pour le traitement en big Data est bien souvent très différente de sa valeur pour le traitement médical. D’où l’importance d’avoir une réflexion en amont de la constitution des jeux de données.
Aussi, est-il primordial de parfaitement qualifier en amont l’utilisation qui sera faite de cette donnée afin de justifier pleinement de la pertinence des informations stockées et de mettre en place les processus réglementaires associés au traitement de cette donnée. C’est la logique du nouveau règlement européen. C’est également le travail de conseil, d’audit et de surveillance du Data Protection Officer (DPO) qui est le garant au sein d’une entreprise de la validité réglementaire des traitements de données effectués au sein de l’entreprise.
Breizh-info.com : Qu’est-ce qu’une donnée de santé et pourquoi elle est précieuse ?
Aïssa Khelifa (Milvue) : La donnée de santé est d’abord précieuse par le fait que sans données, il n’y a plus d’innovation médicale.
Mais elle est également précieuse par le fait qu’elle concentre potentiellement beaucoup d’informations sur les patients. Des informations médicales, démographiques, des informations de mode de vie, des fragilités potentielles. Ces données peuvent être contextualisées, c’est-à-dire croisée avec d’autres sources (zone géographique, catégorie socio-professionnelle, données issues d’internet), qui elles sont déjà largement disponibles.
Ces informations pourraient avoir beaucoup d’importance si elles étaient divulguées auprès d’acteurs mal intentionnés. On pense bien évidemment à des employeurs, des banques, des compagnies d’assurance. Mais d’autres acteurs pourraient bien sûr s’intéresser à de telles données, qui ont une valeur « marketing » intéressante, comme par exemple l’industrie agro-alimentaire ou l’industrie pharmaceutique.
Breizh-info.com : Comment s’applique le règlement européen sur la protection des données (RGPD) au secteur médical ?
Aïssa Khelifa (Milvue) : Le RGPD est un ensemble très complet de principes fondamentaux assorties de sanctions permettant de s’assurer que les dispositions soient respectées par les responsables de traitement. Il définit donc les règles auxquelles les acteurs de santé doivent se soumettre (consentement préalable des patients, droit à l’oubli, etc…). Les entreprises doivent se doter d’un Délégué à la Protection des Données (DPO). Ces dispositions sont désormais bien appliquées. Le secteur médical ne déroge pas à cette règle. Et le traitement des données de santé hors soin courant est encadré par des règles d’information et/ou de consentement.
Mais le RGPD fixe également des sanctions très élevées pour les industriels qui ne respecteraient pas les règles. Entre 2020, ce sont 306 M€ de sanctions qui ont été imposés en raison de violations du RGPD selon le média britannique Finbold.
Enfin, en créant un espace européen commun de protection des données, le RGPD a également bâti un contrepoids au Cloud Act américain, plus permissif, et qui s’imposent aux entreprises américaines sur le territoire américain comme à l’étranger. Ce conflit de doctrine a ainsi conduit la CNIL à critiquer l’attribution du Health Data Hub à Microsoft.
La France est un des pays les plus en pointe sur la protection des données. Bien avant l’entrée en vigueur du Règlement général relatif à la protection des données (RGPD) du 27 avril 2016, la France disposait déjà d’un cadre juridique stricte, celui de la loi Informatique et Libertés du 6 janvier 1978, modifiée à plusieurs reprises.
La loi de de 2002 sur la protection des patients et la certification d’hébergeurs de données de santé constitue, avec le RGPD, un socle très solide. La généralisation précoce des Messageries Sécurisées dans le domaine de la santé ou la sécurisation des outils de diffusion de résultats d’imagerie ou de biologie vers les médecins ou les patients contribuent également à renforcer la protection des données.
Le caractère national du droit français, contrairement par exemple à l’Allemagne où la protection des données est traitée au niveau des Länder, est également un facteur positif.
Breizh-info.com : Les données des personnes ne souhaitant pas se faire vacciner peuvent-elles être collectées ?
Aïssa Khelifa (Milvue) : A priori non, la doctrine veut qu’aucune donnée ne puisse être collectée sans l’accord préalable et informé de la personne concernée.
Cependant, pour être totalement transparent, la doctrine du consentement préalable éclairé a subi quelques brèches dans la période récente. Par exemple, la centralisation des données des tests de dépistage positifs au COVID dans SI-DEP se fait sans le consentement des patients. Cette centralisation est nécessaire pour le « contact-tracing » afin de prévenir au plus vite les cas contacts et a été validée par le Conseil d’Etat, qui a jugé la dérogation « proportionnée à l’enjeu ».
Se pose également l’épineux problème de la toute petite minorité de professionnels de santé qui ne veulent pas se faire vacciner. En cas d’emballement de l’épidémie avec un variant très contagieux, serait-il licite de les laisser au contact de patients ?
Breizh-info.com : Quel danger pour nos données médicales ? (Accès non autorisés ou illicites, …)
Aïssa Khelifa (Milvue) : Deux risques majeurs sont identifiés. Le vol de données et le Ransomware.
Le vol de données consiste à pirater une base de données (un dossier patient par exemple), pour revendre les données sur un marché clandestin. Selon une estimation récente, un dossier médical complet s’échangerait aux alentours de 250 $ sur le « Dark Web ». Mais le vol de données semble relativement rare en Europe.
Le Ransomware, beaucoup plus fréquent, consiste à bloquer une base de données et à la débloquer contre le paiement d’une rançon. De très nombreux cas de Ransomware ont été recensés ces dernières années, aux USA d’abord mais en Europe également. Des établissements américains ont ainsi perdu leurs fichiers patients pour avoir refusé de payer.
Dans les deux cas, il existe cependant des solutions pour protéger les données. Elles font appel à de la technologie d’une part (firewall, cryptage, duplication des bases), mais aussi à des règles d’organisation relativement strictes, comme par exemple la gestion des pièces jointes dans les courriels ou le contrôle des accès. Une association, l’APSSIS, publie régulièrement des recommandations très pertinentes sur la sécurité de nos données et les attaques récentes contre des hôpitaux ont montré la résilience des Systèmes d’Information. A ma connaissance, en France, aucune attaque n’a réussi à mettre en danger la sécurité des données hospitalières.
En conclusion, le cadre règlementaire français et européen d’une part, les investissements réalisés par le monde de la santé d’autre part, et enfin les contrôles réguliers effectués par les autorités de tutelle contribuent largement à la sécurité des données de santé.
Propos recueillis par YV
Crédit photo : DR
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine