AVANT-PROPOS : les articles de la rubrique « Ailleurs sur le web » ne représentent pas les positions de notre tendance, mais sont publiés à titre d’information ou pour nourrir les débats d’actualités.
SOURCE : Usbek & Rica
Entretien avec le juriste Nicolas Samarcq autour de la protection des données de santé. L’occasion de revenir sur le développement de la télémédecine en ces temps de crise sanitaire, ainsi que sur le projet de création en France d’un Health Data Hub à des fins de recherche médicale.
Nom, sexe, numéro de téléphone ou encore adresse mail du patient. Voici quelques-unes des informations relatives à 6 158 rendez-vous de la plateforme Doctolib qui ont été, en juillet dernier, rendues accessibles à « un ou plusieurs tiers de façon frauduleuse ». Si le service a fait savoir que cet accès illégal n’a pas été causé par son site web ni son logiciel de gestion mais par « des rendez-vous pris sur certains logiciels tiers connectés à Doctolib » (sans plus de précisions), l’incident met en lumière la valeur cruciale des données de santé, dans le contexte pandémique actuel mais aussi au-delà.
Développement de la télémédecine, projet français d’un Health Data Hub à des fins de recherche médicale, multiplication des cyberattaques depuis la course au vaccin contre la Covid-19… Pour y voir plus clair, nous avons posé quelques questions à Nicolas Samarcq, juriste spécialiste de la conformité « Informatique et Libertés » et administrateur de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP).
On évoque beaucoup, depuis le confinement au printemps 2020, la question de la protection des données de santé, dans le cadre notamment du développement de la télémédecine. Ces données sont-elles particulièrement vulnérables aux cyberattaques ?
Les risques concernant les données de santé sont les mêmes que pour les autres types de traitements. La particularité de ce sujet est plutôt liée à l’impact pour les personnes concernées. Très récemment, par exemple, on a appris que le système d’information d’un établissement de santé allemand avait été bloqué par un rançongiciel, provoquant le décès d’un de leurs patients qui n’a pas pu être pris en charge à temps. C’est la première fois qu’un événement de ce type est communiqué, même si ce n’est sans doute pas la première fois que cela arrive.
L’origine des atteintes et des violations relatives aux données de santé sont donc fondées sur les mêmes mécaniques que dans d’autres domaines. Les conséquences matérielles et morales sont en revanche plus élevées, puisqu’on voit avec cet exemple allemand qu’elles peuvent aller jusqu’au décès. L’indisponibilité d’une donnée de santé ne provoque pas simplement l’indisponibilité d’un service en ligne, mais potentiellement l’indisponibilité d’un bloc opératoire : plus la pathologie est lourde, plus le retard dans la prise en charge lié à la vulnérabilité du système d’information aura des effets graves sur le patient.
C’est-à-dire ?
Prenons un autre exemple. Si un ordinateur portable non chiffré d’une société de commerce en ligne est perdu, c’est le fichier Excel avec le nom de tous les clients de cette entreprise qui va principalement être compromis. En termes d’impacts matériels, on peut considérer que ce n’est pas si grave – même si certains types de commerces pourraient toujours révéler des données sensibles comme une orientation sexuelle, par exemple. En revanche, s’il s’agit d’un ordinateur portable appartenant à un établissement de santé, le risque sera plus élevé pour les personnes concernées.
« Certaines dispositions américaines peuvent obliger Amazon à transférer les données qu’il héberge vers les services de renseignement »Nicolas Samarcq, juriste et spécialiste de la protection des données
Ces violations des données personnelles peuvent par ailleurs prendre plusieurs formes, comme une indisponibilité temporaire ou définitive, des accès illégitimes aux informations médicales… En 2014, le dossier médical de l’ancien pilote de Formule 1 Michael Schumacher avait notamment été volé lors de sa prise en charge suite à son accident de ski. Il peut aussi y avoir une fuite des données qu’on peut retrouver ensuite indexées sur Internet, comme cela a été le cas dans certains établissements médicaux français dont les ordonnances se sont retrouvées dans les résultats de recherche de Google.
La question des données de santé est aussi liée à celle de leur hébergement. Par exemple, Doctolib confie ses données à Amazon Web Services et à d’autres acteurs du cloud, en avançant qu’elles sont de toute façon chiffrées de bout en bout et donc inexploitables par le renseignement américain. Cela veut-il vraiment dire qu’elles ne présentent aucun risque de compromission ?
Je suppose que Doctolib a fait le choix dans son contrat avec Amazon d’une localisation des données au sein de la zone Union européenne – en Irlande par exemple. Dans ce cas, conformément à la législation actuelle, il ne devrait pas y avoir de transfert direct de données vers les États-Unis.
La question que l’on peut se poser n’est pas liée à la localisation des données mais au fait qu’il s’agit d’une entreprise dont la maison-mère est de droit américain, et donc soumise à certaines dispositions locales. Certaines d’entre elles font qu’elle a l’obligation, sur injonction de l’administration, de transférer des données vers les services de renseignement. L’interrogation que Doctolib et les établissements qui l’utilisent doivent avoir est celle-ci : les données que je confie aux entreprises américaines d’hébergement des données sont-elles suffisamment anodines pour que ce risque réglementaire demeure limité par rapport au service rendu ?
Je pense notamment au Cloud Act, qui est en vigueur depuis 2018 aux États-Unis et qui permet aux agences gouvernementales américaines d’obtenir la saisie légale de toutes les données localisées dans les data centers appartenant à des entreprises américaines, que ces données soient situées aux États-Unis ou à l’étranger. C’est le fameux principe de l’extraterritorialité juridique. En tant qu’établissement sanitaire ou médico-social, faire le choix d’un sous-traitant pour externaliser des prises de rendez-vous ou d’autres services doit donc s’accompagner d’une réflexion sur le sujet.
Depuis quelques mois, le projet Health Data Hub – du nom de cette nouvelle « plateforme française » destinée à croiser des bases de données de santé existantes à l’échelle nationale à des fins de « recherche médicale » – fait aussi polémique, notamment parce qu’il implique actuellement l’entreprise américaine Microsoft. Quel regard portez-vous sur ce projet ?
Effectivement, c’est surtout le choix de Microsoft pour héberger les données qui a été pointé du doigt. Le problème se pose de façon encore plus importante que dans le cas du service Doctolib, parce que le Health Data Hub a vocation à héberger et à traiter les données de l’ensemble des Français et des résidents sur le territoire pris en charge par l’Assurance maladie. Cette décision est donc aussi une question de souveraineté, puisqu’elle concerne un traitement impulsé par l’État à des fins de recherche. La nationalité du sous-traitant en charge de ces données a forcément une importance particulière d’un point de vue politique.
« En termes de cybersécurité, les principales forces de guerre économique sont actuellement basées en Chine, en Russie et aux États-Unis »Nicolas Samarcq, juriste et spécialiste de la protection des données
Dans un avis qu’elle a rendu sur le sujet, la CNIL [Commission nationale informatique et libertés, ndlr] demande que la solution d’hébergement du Health Data Hub soit modifiée dans les plus brefs délais, en pointant le caractère spécifique des données hébergées. Les informations pseudonymisées recueillies dans le cadre de ce Health Data Hub sont en effet des données médicales précises et particulièrement sensibles. À l’inverse, on ne retrouve pas forcément directement des données de santé sur Doctolib : il s’agit surtout de prises de rendez-vous. Il s’y trouve donc le nom et le prénom du patient, sa civilité… Ces données ne sont pas complètement anodines pour autant, car elles concernent aussi le professionnel de santé et sa spécialité, et c’est principalement grâce à cette dernière information qu’on pourrait en déduire une pathologie.
L’entreprise de cybersécurité finlandaise F-Secure a récemment publié un rapport qui montre que la course au vaccin pour la Covid-19 a renforcé le nombre d’attaques lancées par des hackers envers les laboratoires de recherche. Selon ce même rapport, ces attaques proviendraient essentiellement de groupes russes ou chinois. Ce constat vous surprend-il ?
Non, pas vraiment. En termes de cybersécurité, les principales forces de guerre économique sont actuellement basées en Chine, en Russie et certainement aux États-Unis, même s’ils restent sans doute plus discrets. Dans les entreprises, beaucoup de RSSI[responsables de la sécurité des systèmes d’information, ndlr] peuvent témoigner que les tentatives d’attaques se déroulent à des horaires assez précis, à partir desquels ils peuvent déduire des origines géographiques qui confirment cette analyse. C’est d’ailleurs le cas dans tous les domaines. N’oublions pas qu’il existe des soupçons de malveillance de la part de la Russie dans un certain nombre d’élections présidentielles occidentales récentes.