« Avec la crise du Covid-19, les données de santé ont fait irruption dans nos vies », avance Coralie Lemke

INTERVIEW La journaliste Coralie Lemke publie l’essai Ma Santé, mes données, qui plonge dans les méandres des données de santé. Quelle est leur définition ? Leur protection (ou non protection) ? Et pourquoi séduisent-elles tant les Gafam ?

Propos recueillis par Oihana Gabriel
— 
Illustration d'un ordinateur.
Illustration d'un ordinateur. — Pixabay
  • Coralie Lemke, journaliste pour Sciences et Avenir, publie ce jeudi Ma santé, mes données.
  • Un essai qui invite à mieux connaître les données de santé et leur sécurité.
  • Attaques de cybercriminels contre des hôpitaux, inquiétudes liées à la surveillance via le pass sanitaire… Cet ouvrage montre l’étendue de cette problématique.

Sans doute n’avez-vous pas envie que le monde entier sache que vous avez fait un test du VIH ou de grossesse, que vous envisagez une opération des seins, ou que vous souffrez d’une maladie rare… Et pourtant, nous semons des traces sur Internet sans même nous en rendre compte. Qui peut y avoir accès ? Quels risques prenons-nous à partager avec notre portable (ou nos amis) nos performances en running, notre poids, nos pas ? Mercredi soir, l’Assistance Publique - Hôpitaux de Paris (AP-HP) a porté plainte, après avoir constaté le vol des données nominatives d'1,4 million de patients. Une nouvelle illustration du danger des cyberattaque visant nos données de santé.

Avec le Covid-19 et le pass sanitaire, de nombreux Français se sont inquiétés de voir le secret médical piétiné. Ce que ne contredit pas Coralie Lemke. Mais la journaliste de Sciences et Avenir, ancienne de 20 Minutes, montre que le risque est bien plus global. Elle publie ce jeudi Ma Santé, Mes données *, qui montre comment nous semons nos informations les plus précieuses et pourquoi elles sont si convoitées.

Coralie Lemke, journaliste et autrice de Ma santé, Mes données qui sort jeudi 16 septembre 2021.

Qu’est-ce qui vous a poussé à vous intéresser aux données de santé ?

Je me suis rendu compte que les données de santé, grâce à l’intelligence artificielle, c’est le carburant d’énormément de nouvelles recherches médicales. Quand on tire le fil, on voit qu’elles sont convoitées par des acteurs plus ou moins proches de la recherche… par exemple les Gafam ou les cybercriminels. D’ailleurs, les attaques de cybercriminalité ont augmenté de 475 % entre février et mars 2020 contre les structures de santé !

C’est quoi, une donnée de santé ?

C’est défini par la Commission nationale de l'informatique et des libertés (CNIL) comme une information qui renseigne sur l’état de santé passé, présent ou futur d’une personne. Cela recouvre des résultats d’analyses, une date d’entrée ou de sortie de l’hôpital, toutes les traces d’une carte Vitale… Plus complexes, certaines données ne rentrent pas dans les données de santé : les datas mesurées par les montres connectées, les pèse-personnes… sauf si elles sont croisées avec des données de santé. Par exemple, ma montre Fitbit montre que je fais 2.000 pas par jour, et une autre application donne mon taux de glycémie dans le sang ; ça renseigne sur un éventuel diabète.

Vous écrivez que le secret médical, c’est de l’histoire ancienne. Pourquoi ?

On a l’impression que la santé est l’un des derniers domaines où il reste une intimité. Mais le triangle longtemps en vigueur qui liait patient, médecin et Assurance maladie (via le remboursement des frais) n’existe plus. Les données sont agrégées dans des bases de données. Chaque passage en pharmacie ou à l’hôpital fait l’objet d’un suivi. S’ajoute tout ce qu’on sème à notre insu sur Facebook, notamment.

Et pourquoi est-ce embêtant ?

Il existe plusieurs types de menaces. Les premières, de type économique. Par exemple, un laboratoire se sert de mes données pour faire avancer un traitement contre la maladie de Parkinson. L’ennui, c’est que le jour où j’aurai besoin de ce traitement, je n’obtiendrai pas de ristourne. Le citoyen se fait léser. Le deuxième risque concerne la confidentialité. Si Facebook sait que je suis dépression, il peut me proposer des produits ciblés. Le pire, ce sont les deux combinées : un cybercriminel demande de l’argent pour récupérer tes données de santé et menace de les divulguer.

Pourquoi les Gafam se positionnent-elles de plus en plus dans le domaine de la santé ?

Il est extrêmement lucratif et elles le savent. Sauf qu’elles n’ont aucune expérience dans le domaine médical. Leur expertise, c’est l’algorithme. Il peut y avoir des partenariats très intéressants. Google s’est ainsi associé avec l’Imperial College de Londres et l’université américaine de Stanford pour mettre au point une IA qui surpasse les médecins dans le dépistage du cancer du sein. D’un autre côté, on voit que Facebook espère détecter des dépressions juste en analysant des posts ; d’un point de vue scientifique, ça n’a pas de sens.  En Australie, Facebook assurait aux annonceurs pouvoir identifier des failles psy chez les ados… pour leur proposer un produit adéquat au bon moment.

Vous vous penchez sur les tests génétiques… Derrière le côté ludique se cache une quête moins avouable.

Pour certaines des sociétés qui proposent ces tests, la partie "retrouver ses origines" n’est qu’un pan de leurs activités. Par exemple, 23andMe, une des plus grosses boîtes dans le secteur, a revendu 5 millions de profils génétiques à GSK pour qu’elle puisse faire de la recherche sur Parkinson. Elle l’avait déjà fait avec Pfizer. Or, on ne sait pas que ces données sont ensuite partagées. Certes, il y a un alinéa à cocher et la boîte avance que 80 % des gens ne s’y sont pas opposés. Mais c’est toujours pareil : est-ce qu’il y a consentement quand on n’a pas lu la ligne en minuscule ? Par ailleurs, les gens ne savent pas que ces tests sont interdits en France et punis par une amende !

Vous vous êtes intéressé également à Doctolib, 45 millions d’utilisateurs en France et maintenant interlocuteur indispensable avec la vaccination contre le Covid-19…

Des articles dévoilaient de gros problèmes de sécurité : des bases de données stockées sur des clefs USB, sans mot de passe, des failles de sécurité qui pouvaient prendre deux ou trois semaines à régler. Ce n’est pas Doctolib qui héberge nos données de santé, mais Amazon avec son service Amazon Web Services. Qui sait, donc, quand on fait une recherche « centre de dépistage VIH ». Ce n’est pas une donnée de santé en soi, mais cela informe quand même… La protection des données sur Doctolib a beaucoup changé, tout est chiffré maintenant.

On apprend également un épisode méconnu : la France a confié à Microsoft ses données de santé… pour ensuite faire machine arrière. Pourquoi ?

Les Gafam ont une super expertise technique, avec un cloud qu’ils peuvent développer rapidement. C’était donc un interlocuteur légitime pour la France… sauf que c’est une société américaine. En 2018, le Cloud Act a changé la donne : n’importe quel magistrat américain peut récupérer les données d’une entreprise américaine. C’est donc en contradiction avec le RGPD, qui interdit le transfert de données à l’étranger sans l’accord de la personne concernée. On était donc dans un genre de no man’s land législatif. La France a complètement rétropédalé. En 2020, Olivier Véran a publié un arrêté pour qu’aucune donnée de santé ne puisse être publiée en dehors de l’UE. Et s’est engagé à ce que d’ici à fin 2022, on trouve une autre solution que Microsoft.

En janvier 2022, chaque Français pourra avoir son Espace santé (qui remplace le Dossier médical partagé). Est-ce une bonne chose ?

Quand une solution est française, on est mieux protégé. Le problème est plus technique. Le DMP, c’est un vieux serpent de mer et il y a un problème d’adhésion des Français. Beaucoup de gens ouvrent un compte, mais combien s’en servent ? Un compte Doctolib est tellement plus simple : on retrouve son historique, ses examens…

Depuis le Covid-19, certains Français s’inquiètent d’être fichés. Pourtant, vous écrivez que c’est une « occasion manquée » d’informer les citoyens sur la protection de leurs données de santé…

Avec la crise du Covid-19, les données de santé ont fait irruption dans nos vies. Le pass sanitaire cristallise beaucoup de colère, mais il n’y a qu’une information : avez-vous fait un vaccin ou une PCR négative ? C’est l’arbre qui cache la forêt. La question est beaucoup plus vaste que le pass sanitaire. Il y a une certaine contradiction : certains s’insurgent contre la surveillance avec le pass sanitaire mais achètent une enceinte connectée.

Entre les fuites de données et les Gafam qui promettent une sécurité pour mieux la contourner, on sent une vraie défiance. Or, on aurait tort d’oublier de ces datas sont essentielles pour faire avancer la science…

C’est très paradoxal. Les données de santé, c’est la sphère du privé, mais c’est constitutif d’un bien commun. Agrégées, passées au peigne fin des algorithmes, elles peuvent faire avancer la société. Avec le Health Data Hub, on cherche à trouver des solutions contre les sarcomes, des tumeurs malignes. C’est super, mais le citoyen n’est pas au centre de cette démarche. Il n’y a même pas de débat en France. En Grande Bretagne, par exemple, ils ont lancé une consultation avant de créer un équivalent du Health Data Hub.

Partager ses données de santé semble beaucoup plus avantageux pour quelqu’un qui a un cancer rare que pour une personne en bonne santé…

C’est ce qu’on voit avec le succès de plateformes comme PatientsLikeMe ou en France Carenity, un réseau social qui compte 500.000 utilisateurs. Ces patients qui souffrent de maladie rare ou chroniques se regroupent pour échanger sur leurs maladies et acceptent de partager leurs données à des laboratoires qui pourraient trouver un traitement innovant.

* Ma Santé, Mes données, Premier Parallèle, jeudi 16 septembre 2021,17 €.