Ci-gît le secret médical

Frédéric Peylet — 2021-12-13T08:34:30Z

Une cartographie du business des données de santé. C'est ce que dessine Ma santé, mes données, livre-enquête de la journaliste Coralie Lemke, publié en septembre dernier par les éditions Premier Parallèle. Elle y alerte sur les mirages de ce nouvel eldorado économique que convoitent Google, Amazon et consorts.

Illustration de Théo Bedard

Il est un monde d'avant, bien antérieur à la pandémie, dont les images se parent déjà des teintes sépia et fanées des époques révolues : le temps des relations confidentielles et exclusives entre médecin et patient. Un temps où toute une existence de maux, petits et grands, reposait dans des chemises cartonnées, nominatives, soigneusement rangées et précieusement conservées. Ce monde du secret médical n'est plus, emporté par une onde numérique qui se décline en dénominations garanties 100 % start-up nation : Health Data Hub, e-santé, data broker… Désormais, du hochet au caveau, nos résultats médicaux, nos hospitalisations, nos consultations s'appellent des données de santé : elles se stockent en lignes de code plus ou moins anonymes, s'échangent ou se monnayent, nourrissent la recherche, aiguisent les appétits des Gafam1 et autres licornes émergentes du web, attirant en écho les requins de la cybercriminalité.

Un monde complexe où le bien (les espoirs du progrès scientifique) côtoie le pire (l'appât du gain sans limites) et sur lequel Coralie Lemke, journaliste scientifique, a enquêté longuement pour les besoins d'un ouvrage, Ma santé, mes données, paru cet automne aux éditions Premier Parallèle. Sans dénigrer les bienfaits qu'on peut en espérer, elle place le curseur sur quelques points de vigilance qu'il ne faudra pas lâcher de l'œil dans les années à venir.

***

La santé connectée concerne un très vaste champ d'usages avec, au sommet de la pyramide numérique, la création en 2019 par l'État français d'une plateforme nommée Health Data Hub. À quoi est-elle destinée ?

« Il s'agit d'un “entrepôt virtuel” d'un genre très particulier : l'idée initiale est de rassembler toutes les bases existantes de données sur la santé des Français, qui sont nombreuses et massives. Sur cette plateforme, on trouve d'abord toutes celles collectées par l'Assurance maladie, soit les dépenses de santé de chaque affilié en termes de consultations médicales, bilans biologiques et achats en pharmacie. Une autre base de données, très volumineuse, est celle provenant des hôpitaux avec, pour chaque patient, les entrées et sorties, les examens réalisés et les opérations effectuées. Figure également dans le périmètre du Health Data Hub le registre des certificats et des causes de décès.

L'agrégation de données en un même espace favorise la recherche en permettant aux équipes qui s'y consacrent d'avoir un accès plus fluide et plus précis à ces informations, et de les recouper. »

Où étaient stockées ces données auparavant ?

« Elles étaient totalement éparpillées, seulement disponibles sur des supports déconnectés les uns des autres, ce qui empêchait tout projet de recherche transversal. Remédier à ces obstacles était un souhait de la communauté scientifique.

Sauf que, pour gérer cet énorme stock de données, il a fallu faire appel à un acteur numérique assez “massif” pour en supporter la charge. Et qui a été choisi ? Microsoft. Plus précisément : Azure, la solution de “cloud” numérique de la multinationale. Rien d'illégal sur le fond car, au regard de la loi, Microsoft a bien l'agrément d'hébergeur de données de santé, condition sine qua non pour être choisi. Le problème est que Microsoft est une entreprise états-unienne, dépendant de fait des lois propres au pays dont celle du “Cloud Act” de 2018 2 qui stipule, entre autres, que toutes les données stockées sur un serveur d'une entreprise états-unienne relèvent du droit national. Ça a provoqué un tollé monstre en France car ce dispositif entre en conflit total avec la législation européenne, dont celle du RGPD3 qui établit l'interdiction de récolter des données sensibles (dont font évidemment partie celles sur la santé), ou de les traiter sans l'approbation du patient.

Cela a conduit le ministre de la Santé, Olivier Véran, à un énorme rétropédalage : il a assuré que la France choisirait fin 2022 un autre acteur que Microsoft, avant de signer un arrêté assurant que d'ici là aucune donnée ne pourrait sortir de France. Pour faire bonne figure, Microsoft s'est adapté, en transférant notamment ses serveurs en Île-de-France, assurant dans le même temps que, si d'aventure des informations avaient fuité, ce qu'il est très difficile de prouver, les “victimes” lésées seraient dédommagées… »

Vous citez dans votre livre Martin Drago, juriste à La Quadrature du net, qui dit : « Il faut garder à l'esprit que les Gafam et plein d'autres entreprises du numérique moins grandes ne respectent pas la loi. » Ce que corrobore votre enquête ?

« Les Gafam vont toujours plus vite que la législation ! Et ce qui doit alerter, c'est la latitude dont ils disposent avant qu'on ne vienne leur rappeler que ce qu'ils font est limite, voire franchement illégal. Par exemple, pour l'Europe, c'est la Cnil4 irlandaise qui est habilitée à gérer les plaintes déposées contre les Gafam en matière de transgression de la protection des données. Or cette institution ne joue pas le jeu : 99,93 % des plaintes déposées auprès de ses services n'aboutissent pas ! Manque de volonté ou manque de moyens, on ne sait pas, mais elle n'est absolument pas performante. Face à cette inertie, les Gafam peuvent estimer avoir les mains libres. On peut difficilement leur donner tort… C'est extrêmement décourageant. »

Dans un contexte de surveillance numérique de plus en plus intense et intrusif, qu'y-a-t-il de spécifique, en matière de santé, à craindre venant des Gafam ?

« Le gros risque serait l'alliance des Gafam avec les assurances, qui occasionnerait un dangereux mélange des genres entre le soin des patients (mission première de la médecine) et des contrats d'assurances qui seraient modulés selon le profil des patients. Pour l'instant, la France est protégée sur ce point par un arsenal législatif efficace. Aux États-Unis ce n'est pas le cas et confier des données médicales aux Gafam, comme à Google qui s'est octroyé la gestion des dossiers de patients du groupe de santé Ascension (2 600 établissements, dont 150 hôpitaux), revient à leur permettre d'utiliser et croiser ces données comme bon leur semble… donc de les partager ou les revendre à n'importe quel autre acteur du monde de la santé, dont les compagnies d'assurances. »

On a connu un monde où le secret médical reposait sur une relation triangulaire patient/médecin/Sécurité sociale. Avec ces nouveaux acteurs, peut-on encore croire en l'idée même du secret médical ?

« Il est clairement mis à mal, à tel point que la certitude d'un secret médical garanti n'existe plus. Notamment parce qu'au-delà de l'irruption des Gafam dans le paysage de la santé publique, il y a le problème de la cybercriminalité.

Les systèmes informatiques des établissements de santé en France sont tellement mal protégés, avec des équipements carrément obsolètes et des niveaux de protection si faibles qu'il est très facile de hacker des hôpitaux ou des laboratoires à coups de “rançongiciels5”. Ces derniers peuvent paralyser très rapidement toute une structure, avec des conséquences gravissimes pour des patients en attente d'opérations urgentes par exemple. Rares il y a encore peu de temps, ces attaques sont en progression fulgurante, surtout depuis le début de la pandémie de Covid-19. On a ainsi relevé une augmentation de 475 % des cyberattaques durant le premier trimestre 2020 en Europe.

À titre individuel, les patients sont également vulnérables. Les concernant, les cybercriminels s'appuient sur deux leviers pour monnayer les données dérobées : la revente des données sur le dark web – un business très lucratif – et la demande de rançon adressée directement au patient quand les éléments volés leur ont permis d'obtenir à la fois dossier médical et coordonnées personnelles. Les cybercriminels les plus ingénieux cumulent parfois les deux et doublent ainsi la mise. »

Que fait l'État face à cette situation ?

« Il y a eu une première réponse avec le déblocage d'1 milliard d'euros pour renforcer la protection des systèmes informatiques institutionnels en France. Mais il manquait une précision, apportée lors du Ségur de la Santé en 2020 : seul un tiers de cette somme serait consacré aux services de santé. Si les professionnels du secteur ont salué l'intention première, ils ont immédiatement craint et regretté que ce ne soit qu'une parade dérisoire. L'ingéniosité de la cybercriminalité est telle que cet investissement, dans un nouveau parc informatique par exemple, ne suffira plus dans quelques mois à contrer de nouvelles attaques. Il faut une politique sur le long terme et pas un “chèque miracle” censé arranger la situation d'un seul coup ! La France présente ce paradoxe d'avoir d'un côté un Health Data Hub ultra moderne, plutôt bien protégé, et de l'autre un système de base, pour la santé de tous les jours, qui est complètement défaillant. »

En dehors de cette cybercriminalité, quels sont les autres aspects lucratifs de la numérisation des données ?

« Il y a un volet financier qui concerne davantage les laboratoires et la recherche. Pour faire des économies dans le cadre des études nécessaires à l'élaboration d'un nouveau médicament, coûteuses et chronophages, des laboratoires pharmaceutiques vont chercher à acquérir des lots de données prêtes à l'emploi. Pour ça, ils vont solliciter une nouvelle profession, encore peu connue : les data brokers, ou courtiers en données, dont le travail consiste à chercher des données disponibles. C'est un marché légal, florissant aux États-Unis, où un data broker va pouvoir faire une offre d'achat pour un lot de données concernant par exemple des hommes diabétiques de 50 à 65 ans… et il trouvera des clients prêts à les lui vendre !

En France, le RGPD nous protège normalement de ce genre de transaction. Sauf qu'il y a des failles. En septembre 2018, la Cnil a ainsi autorisé la société IQVIA, leader mondial des données de santé6, à acter un partenariat avec 40 % des pharmacies françaises. À chaque fois que le client présente sa carte Vitale lors de son passage en caisse, toutes les données de ce qu'il a acheté, qu'il s'agisse de médicaments prescrits par un médecin ou d'articles de parapharmacie, sont consignées dans un logiciel et transmises à IQVIA. Ensuite, il est impossible de savoir à qui IQVIA revend toutes ces informations ni à quoi elles servent. Les clients français auraient pourtant légalement dû donner leur consentement. Ajoutons qu'en théorie les pharmaciens sont tenus d'informer chaque client de cet accord… »

Après plus d'un an de pandémie et d'état d'urgence sanitaire, qu'est-ce qui a changé dans les usages liés à la santé connectée ?

« Des confinements successifs à la mise en place du passe sanitaire, en passant par toutes les étapes du plan vaccination, la santé a pris une place centrale dans nos vies depuis bientôt deux ans. Et la rapidité de la mobilisation de tous les acteurs du monde de la recherche pour mettre au point des vaccins a été quelque chose d'inédit dans l'histoire de la médecine. Pour autant, on ne peut pas lier cette “performance” à la santé connectée.

La pandémie n'a rien changé aux problèmes, qui se profilaient avant elle et qui demeurent d'actualité, sur lesquels j'alerte en parlant de stopper l'hémorragie des données. Ces points de vigilance concernent avant tout les Gafam qui n'ont pas d'expertise en médecine et qui sont pourtant en train de se créer une place au cœur même des métiers de la santé. D'autre part, il faut garder un œil sur les laboratoires qui sont là pour mettre au point de nouveaux médicaments, de nouvelles molécules, en gardant en tête qu'ils sont avant tout guidés par des logiques financières et que la disponibilité de lots de données leur permet in fine de s'enrichir. »

Propos recueillis par Frédéric Peylet

1 Acronyme qui désigne les géants de la toile Google, Apple, Facebook, Amazon et Microsoft.

2 Loi qui peut contraindre les fournisseurs de services établis aux États-Unis à fournir des données à la justice américaine.

3 Le règlement général sur la protection des données est un règlement européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne.

4 Commission nationale de l'informatique et des libertés.

5 Logiciel ou virus qui « prend en otage » les données ou bloque l'accès à la machine tant que la victime n'a pas envoyé une certaine somme d'argent.

6 Multinationale états-unienne, IQVIA se définit comme spécialiste de « la fourniture d'informations, de technologies innovantes et de services d'études de recherche sous contrat utilisant la donnée et la science pour aider les acteurs de la santé et trouver les meilleures solutions pour les patients ». Elle déclare sur son site posséder plus d'un milliard de dossiers médicaux...

CQFD, mensuel de critique et d'expérimentation sociales

Ci-gît le secret médical