Comment pro­té­ger les don­nées nu­mé­riques des pa­tients ?

Les don­nées mé­di­cales sont pré­cieuses. Et avec la « nou­velle » mé­de­cine, dont le dé­ve­lop­pe­ment est en grande par­tie lié à la nu­mé­ri­sa­tion, elles sont plus que ja­mais me­na­cées.

La Recherche - - Sommaire /juin 2017 - N°524 - Jean-Pierre Hu­baux

Depuis quelques an­nées, les pro­grès en re­cherche mé­di­cale ouvrent la voie à une mé­de­cine pré­ven­tive, prédictive, per­son­na­li­sée et par­ti­ci­pa­tive : la « mé­de­cine P4 ». Cette ré­vo­lu­tion s’ins­crit dans une double dy­na­mique : d’une part, la nu­mé­ri­sa­tion de la mé­de­cine (avec le dos­sier élec­tro­nique du pa­tient et les pro­grès de la gé­no­mique no­tam­ment) et, d’autre part, le re­cours de plus en plus sys­té­ma­tique à des cap­teurs/ac­tua­teurs cor­po­rels connec­tés d’au­to­me­sure ( « quan­ti­fied self »). Les bé­né­fices at­ten­dus en ma­tière de pré­ven­tion, de diag­nos­tic et de trai­te­ment sont consi­dé­rables, no­tam­ment en on­co­lo­gie. Mais ces pro­grès font éga­le­ment pe­ser des me­naces très im­por­tantes sur la pro­tec­tion de la sphère pri­vée. La sphère pri­vée est liée à la no­tion in­tui­tive d’in­ti­mi­té. La pro­tec­tion des don­nées pri­vées est par­fois confon­due – à tort – avec la vo­lon­té d’em­pê­cher tout ac­cès à ces don­nées. Si tel était le but, il suf­fi­rait de les ef­fa­cer. En fait, la pro­tec­tion des don­nées cor­res­pond au be­soin de s’as­su­rer que l’usage qui en est fait (en par­ti­cu­lier leur trans­mis­sion à tel ou tel des­ti­na­taire) est conforme au sou­hait de la per­sonne concer­née. Plus pré­ci­sé­ment, il s’agit de ga­ran­tir que les don­nées sont uti­li­sées dans le contexte pour le­quel elles ont été confiées. Pour nous tous, cette no­tion de contexte est na­tu­relle, en par­ti­cu­lier dans le do­maine de la san­té : il nous semble évident qu’une in­for­ma­tion four­nie à un mé­de­cin ne doit pas en­suite être di­vul­guée, par exemple à un em­ployeur po­ten­tiel ou à une com­pa­gnie d’as­su­rance ; de même, un proche qui, sans notre ac­cord, ré­vé­le­rait à des tiers des in­for­ma­tions in­times, ne se­rait plus digne de notre confiance. Mais cette no­tion de contexte est per­due dès lors que les don­nées sont mé­mo­ri­sées dans un or­di­na­teur. C’est là que les en­nuis com­mencent… Cette pro­blé­ma­tique est au­jourd’hui par­ti­cu­liè­re­ment sen­sible en san­té, avec l’émer­gence de la « mé­de­cine P4 », dont le sé­quen­çage du gé­nome hu­main et le quan­ti­fied self sont des fers de lance. Le sé­quen­çage du gé­nome hu­main est une opé­ra­tion dont le coût est de­ve­nu abor­dable (entre quelques cen­taines et quelques mil­liers d’eu­ros par in­di­vi­du). Les pro­grès dans ce do­maine nous donnent au­jourd’hui la pos­si­bi­li­té d’iden­ti­fier les su­jets à risque (car le gé­nome contient des in­for­ma­tions re­la­tives à la pré­dis­po­si­tion à cer­taines pa­tho­lo­gies). Ils vont éga­le­ment per­mettre d’in­di­vi­dua­li­ser les trai­te­ments en fonc­tion du profil gé­no­mique de chaque pa­tient. Ain­si, en on­co­lo­gie, la prise en compte de ce profil ser­vi­ra à iden­ti­fier la chi­mio­thé­ra­pie la plus adap­tée. Il reste tou­te­fois un énorme tra­vail de re­cherche à ef­fec­tuer. Ce­lui-ci sup­pose l’ac­cès aux don­nées (gé­no­miques et autres) d’un grand nombre d’in­di­vi­dus, de fa­çon à pou­voir ti­rer des conclu­sions sta­tis­ti­que­ment si­gni­fi­ca­tives. À cette fin, il est sou­hai­table d’in­ter­con­nec­ter les bases de don­nées mé­di­cales à l’échelle de plu­sieurs hô­pi­taux, voire au ni­veau in­ter­na­tio­nal. Une fois ces bases in­ter­con­nec­tées, des al­go­rithmes d’ap­pren­tis­sage sta­tis­tique (*) per­met­tront de faire avan­cer la com­pré­hen­sion mé­di­cale avec un ou­tillage ex­trê­me­ment puis­sant. Un consor­tium, le GA4GH (pour Glo­bal Al­liance for Ge­no­mics and Health), s’est consti­tué pour ac­com­pa­gner cette dé­marche.

En France, le gou­ver­ne­ment a lan­cé en 2015 le plan « France Mé­de­cine gé­no­mique 2025 ». En Suisse, le pro­gramme 2017-2020 bap­ti­sé « Swiss Per­so­na­li­zed Health Net­work » par­ti­cipe lui aus­si de cette mou­vance. De son cô­té, le quan­ti­fied self est en plein es­sor. Il se fonde sur une pa­lette de cap­teurs cor­po­rels, uti­li­sés par les pro­fes­sion­nels de la san­té ou par les in­di­vi­dus di­rec­te­ment. Ces cap­teurs per­mettent de me­su­rer de nom­breux pa­ra­mètres individuels : ac­ti­vi­té phy­sique, rythme car­diaque, cycles du som­meil, etc. Or, ces deux évo­lu­tions que re­pré­sentent le sé­quen­çage et le quan­ti­fied self s’ins­crivent dans un contexte très in­quié­tant concer­nant les don­nées mé­di­cales. En ef­fet, il est dé­sor­mais avé­ré que ces don­nées at­tirent la convoi­tise du crime or­ga­ni­sé. Une fois vo­lées, elles sont sou­vent re­ven­dues et uti­li­sées à des fins d’usur­pa­tion d’iden­ti­té, d’ex­tor­sion ou de chan­tage. Les cy­be­rat­taques contre des hô­pi­taux (ou des as­su­rances ma­la­die) sont par exemple très nom­breuses aux États-Unis : il s’en pro­duit en­vi­ron une par jour, cha­cune concer­nant plus de 500 per­sonnes ! Elles se dé­ve­loppent aus­si en Eu­rope, y com­pris en France. Pour ga­ran­tir le suc­cès de la mé­de­cine P4, il est donc im­pé­ra­tif de re­le­ver les dé­fis qu’elle en­gendre en ma­tière de pro­tec­tion des don­nées. Sup­pri­mer les iden­ti­fiants (nom, adresse, date de nais­sance, etc.) ne suf­fit pas à ga­ran­tir l’ano­ny­mi­sa­tion des don­nées. En ef­fet, cer­taines de ces in­for­ma­tions sont elles-mêmes iden­ti­fiantes, au pre­mier chef les don­nées gé­no­miques, qui sont uniques pour chaque in­di­vi­du (rai­son de l’im­por­tance des traces ADN en in­ves­ti­ga­tion cri­mi­nelle). Plu­sieurs ar­ticles scien­ti­fiques ont d’ailleurs mon­tré com­bien il était fa­cile de désa­no­ny­mi­ser des don­nées gé­né­tiques (1). Les re­cherches en ma­tière de pro­tec­tion de don­nées mé­di­cales se dé­ve­loppent gros­so mo­do se­lon deux axes. Le pre­mier concerne le ren­for­ce­ment de la pro­tec­tion contre les at­taques par in­tru­sion. Il n’est pas ac­cep­table que la com­pro­mis­sion d’un seul ser­veur (par exemple par le biais d’un lo­gi­ciel mal­veillant) abou­tisse à l’ac­cès abu­sif aux don­nées mé­di­cales per­son­nelles qu’il contient. Heu­reu­se­ment, la cryp­to­gra­phie per­met de ré­pondre à ce pro­blème, no­tam­ment par la Se­cure Mul­ti-Par­ty Com­pu­ta­tion [cal­cul mul­ti­par­tite sé­cu­ri­sé, NDLR], qui fait en sorte que l’ac­cès abu­sif aux don­nées re­quière la prise de contrôle par l’at­ta­quant d’un nombre de ser­veurs que l’on peut rendre ar­bi­trai­re­ment éle­vé. De plus, une nou­velle tech­nique de chif­fre­ment des don­nées – le chif­fre­ment ho­mo­morphe – per­met en théo­rie de faire des cal­culs sur des don­nées chif­frées, sans avoir ac­cès à la ver­sion en clair. Ce­ci per­met de confier des trai­te­ments par exemple à un ser­vice de cloud dont la sé­cu­ri­té ne se­rait pas ga­ran­tie. Mal­heu­reu­se­ment, ces tech­niques cryp­to­gra­phiques en­traînent des coûts éle­vés, no­tam­ment du fait du nombre très im­por­tant d’opé­ra­tions qu’elles né­ces­sitent : elles ne sont donc pas en­core ex­ploi­tables com­mer­cia­le­ment. Une autre ap­proche consiste alors à s’ap­puyer sur des pro­ces­seurs de cal­cul sé­cu­ri­sés au ni­veau du ma­té­riel. Ce­ci ré­sout le pro­blème des per­for­mances mais né­ces­site de faire confiance au four­nis­seur du­dit pro­ces­seur ; par ailleurs, des vul­né­ra­bi­li­tés ont été iden­ti­fiées dans les pro­duits com­mer­cia­li­sés. Il n’y a donc pas de so­lu­tion par­faite.

UNE NOU­VELLE LÉ­GIS­LA­TION

Le se­cond axe de re­cherche concerne l’iden­ti­fi­ca­tion et la pré­ven­tion des vul­né­ra­bi­li­tés sta­tis­tiques. Comme dé­jà men­tion­né, à des fins de re­cherche mé­di­cale et de trai­te­ment, il est né­ces­saire de pou­voir don­ner l’ac­cès à un nombre gran­dis­sant de don­nées mé­di­cales à un nombre lui-même crois­sant de cher­cheurs et de cli­ni­ciens. Or, par­mi ceux-ci, se trou­ve­ront for­cé­ment des per­sonnes in­dé­li­cates ou dont les or­di­na­teurs ne se­ront pas cor­rec­te­ment pro­té­gés. Le risque est donc que des at­taques soient lan­cées contre ces don­nées, dans le but de désa­no­ny­mi­ser leurs pro­prié­taires, d’ac­cé­der à cer­tains de leurs at­tri­buts ou de re­trou­ver des re­la­tions de pa­ren­té. Cet axe de re­cherche vise ain­si à cal­cu­ler le ni­veau de risque en­cou­ru face à ce type d’at­taque et à éla­bo­rer les contre-me­sures ef­fi­caces. Nous sommes au dé­but d’une ère nou­velle. L’amé­lio­ra­tion de la san­té et des per­for­mances humaines va pas­ser par une nu­mé­ri­sa­tion crois­sante. La ges­tion des énormes vo­lumes de don­nées in­duits passe par la concer­ta­tion entre spé­cia­listes de la mé­de­cine, de la sé­cu­ri­té in­for­ma­tique, de la bio­in­for­ma­tique, de l’éthique, et de la lé­gis­la­tion. Sur ce der­nier point, l’Union eu­ro­péenne se montre of­fen­sive. En mai 2018, en­tre­ra en vi­gueur un nou­veau Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées, qui im­pose des règles pré­cises concer­nant la ges­tion des don­nées per­son­nelles. Toutes les or­ga­ni­sa­tions de­vront s’y confor­mer, sous peine de lourdes sanc­tions. (1) M. Gym­rek et al., Science, 339, 321, 2013.

Aux États-Unis, il se pro­duit en­vi­ron une cy­be­rat­taque contre des hô­pi­taux ou des as­su­rances ma­la­die par jour

Très prometteur sur le plan thé­ra­peu­tique, le profil gé­no­mique qui s’af­fiche ici sur un écran mène fa­ci­le­ment à son unique pro­prié­taire.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.