Donnée je t’aime #5 : Santé !

Notre série sur la protection et la sécurisation des données personnelles touche à sa fin. Dans cet ultime épisode, nous gardons la même recette : une œuvre artistique fictionnelle et sa réalité en 2019. Après Black Mirror (sur le thème de l’immortalité digitale et des données des enfants), le film Her (sur l’amour) et les performances de l’artiste Lauren McCarthy (sur les assistants vocaux), ce dernier volet est un peu spécial. Pour conclure, nous nous appuyons sur trois œuvres : les séries Grey’s anatomy et Homeland ainsi que le film The Circle.

Sneak peek de l’épisode 8 de la 14^ème saison de Grey’s Anatomy – source : ABC

Comment créer un parallèle fiction/réalité sur la santé sans mentionner Grey’s Anatomy ? Série médicale culte, créée par Shonda Rimes en 2005, elle est devenue le show diffusé en prime time le plus long des Etats-Unis avec 342 épisodes (contre 331 pour Urgences). A noter que Les Feux de l’amour ne comptent pas, car la série est diffusée en journée (47 saisons, plus de 11 000 épisodes).

Dans le 8^ème épisode de la saison 14, les ordinateurs de l’hôpital deviennent un à un inaccessibles. Les écrans de suivi du rythme cardiaque des patients ne fonctionnent plus. Seul un message apparaît : « Nous contrôlons votre établissement. Nous avons pris possession de vos serveurs, de votre système d’information, des données de vos patients… Pour retrouver l’accès aux données médicales, vous avez besoin d’une clé de chiffrement que nous sommes les seuls à détenir ».

L’hôpital subit d’une attaque par ransomware : les cybercriminels retiennent les données numériques d’une victime tant que celle-ci n’a pas payé une rançon. Et la réalité est beaucoup plus proche de la fiction qu’on ne le croit. A titre d’illustration, en octobre 2019, un hôpital de l’Indre, situé dans la commune d’Issoudin, a été victime d’une attaque de ce type. Le directeur de l’établissement, interviewé par le journal local La Nouvelle République déclare :  « Les dossiers concernant les patients ne sont pas touchés. Ce qui l’est, c’est la messagerie et les dossiers administratifs, à savoir des dossiers que l’on partage et qui sont des notes ou des rapports. Ceux qui font ça ne sont pas intéressés par les données mais ce qu’ils veulent, c’est que l’on verse une rançon en échange de quoi, ils ne détruiront pas les données ». L’incident subi par cet établissement médical est loin d’être un cas isolé. En août 2019, 120 hôpitaux privés du groupe Ramsay Général de Santé, avaient subi une attaque simultanée.

En 2017, Philippe Loudenot, fonctionnaire de la sécurité des systèmes d’information (FSSI) des ministères sociaux, déclarait lors du 5ème congrès annuel de l’Association pour la promotion de la sécurité des systèmes d’information (Apssis) que les établissements de santé (et médico-sociaux) occupaient 80% de son temps. Il indiquait également avoir traité 1.341 incidents de cybersécurité volontairement remontés au ministère par les établissements de santé en 2016. Un chiffre qui représente entre trois et quatre attaques par jour[1].

Selon Vincent Trély, président du conseil d’administration de l’Apssis, interrogé en février 2019 par Korii, un média du groupe Slate, « les données se revendent entre 30 et 200 bitcoins, donc en tout entre 30 000 et un million d’euros ». Par données, le professionnel entend notamment les comptes rendus de consultation, les prescriptions ou encore le nombre de consultations d’un patient.

Il ajoute : « Ce n’est pas votre dossier à vous qui intéresse, sauf si vous vous appelez Emmanuel Macron. Mais ces bases de données permettent de nourrir des algorithmes. Qui s’intéresse à ça ? Les gouvernements ennemis, dans le cadre de l’espionnage, pour connaître la situation sanitaire d’un pays. Mais aussi les multinationales dans le milieu de l’assurance ou la pharmacie, qui exploitent ces données pour leur propre politique de développement ».

Si les cybercriminels s’en prennent aux établissements de santé, c’est aussi car ce secteur accuse un certain retard en termes de sensibilisation à la cybersécurité, par manque de temps comme de moyens. « Certaines structures hospitalières sont encore sous Windows XP. Ces infrastructures sont très obsolètes. Le premier hacker venu peut les casser. D’autant que certaines d’entre elles sont classées « opérateur d’importance vitale » : une atteinte à leur fonctionnement revient à une atteinte à la sécurité de la nation », déclare Loïc Guezo, stratégiste en cybersécurité chez Proofpoint et membre du Club de la sécurité de l’information français (Clusif), au sein du même article.

Un problème de sécurité qui n’est pas spécifique à la France. En septembre 2019, l’association de journalistes d’investigation américains ProPublica a mené une enquête sur la sécurité des données des patients américains. Elle a découvert que « des images médicales et des données de santé appartenant à des millions d’Américains […] sont hébergées sans protection sur Internet et disponibles pour toute personne ayant des connaissances basiques en informatique ».

Il s’agit des dossiers médicaux de cinq millions de patients aux Etats-Unis. 187 serveurs identifiés par les journalistes n’étaient pas protégés par des mots de passe ni par des précautions basiques de sécurité. « Ce n’est même pas du hacking, c’est entrer via une porte ouverte », déclare l’un des chercheurs interrogés par le média.

Au total, 16 millions de scanners ont été trouvés au cours de l’enquête, parfaitement identifiables : les noms, dates de naissance et numéros de sécurité sociale s’y trouvaient en clair. Une préoccupation dont le gouvernement américain est bien au fait ; selon le département de santé des Etats-Unis, les données médicales de 40 millions de patients ont été compromises au cours de ces deux dernières années.

Extrait de l’épisode 10 de la 2^ème saison d’Homeland. Source : Showtime

Les outils informatiques des hôpitaux et centres médicaux ne sont pas les seuls faillibles. Les équipements de santé eux-mêmes, comme les pompes à insulines connectées ou les pacemakers nouvelle génération présentent des failles de sécurité majeures. Dans l’épisode 10 de la deuxième saison d’Homeland, une série américaine centrée sur l’espionnage post 11 septembre, Nicholas Brody est un ancien marine, prisonnier de guerre d’Al-Qaida. Délivré par l’armée américaine, il se lance en politique et rencontre William Walden, vice-président des Etats-Unis et ancien directeur de la CIA. A peine leur échange entamé que ce dernier se plie de douleurs : son pacemaker est “hacké” à distance par un cybercriminel.

Hacker un pacemaker : réalité ou fiction ? En 2017, la Food and Drug Administration (FDA) – administration américaine qui autorise notamment la commercialisation des médicaments – a rappelé 465 000 pacemakers pour les mettre à jour. « Les chercheurs de la FDA ont prouvé qu’il était possible de prendre le contrôle du dispositif à une distance relativement courte ou accélérer le rythme cardiaque », écrit Usbek&Rica en septembre 2017.

Selon 01net.com, des chercheurs de la société WhiteScope ont quant à eux trouvé 8600 failles de sécurité au sein de pacemakers fabriqués par quatre sociétés différentes, toujours en 2017. A noter que ce chiffre englobe également les composants et logiciels tiers qui permettent de faire fonctionner l’appareil.

Des données qui n’ont pas échappé à Marie Moe, chercheuse en cybersécurité, elle-même pourvue d’un pacemaker. « Des hackers peuvent-ils briser mon cœur ? », est le titre presque poétique (s’il n’était pas si littéral) qu’elle a donné à sa conférence TEDx.

En 2016, suite à l’implantation du défibrillateur au sein de son corps, elle est prise d’une inquiétude : et si des cybercriminels étaient en mesure de pirater son équipement à distance ? Pour en avoir le cœur net, elle décide de le pirater elle-même. Aidée par son équipe de recherche, elle se procure des pacemakers sur eBay ou grâce à des professionnels du secteur médical.

La chercheuse a non seulement découvert qu’il était possible d’extraire les data des pacemakers mais surtout de les éteindre à distance (tout en restant assez proche des personnes ciblées). Ses recherches mettent également en lumière de nombreux défauts de configuration et bugs dont elle est elle-même victime. Son travail a ainsi en premier lieu servi à améliorer le fonctionnement de son propre device, et par extension, celui de tout un secteur.

Autre spécialiste en cybersécurité, autre TEDx, autre pathologie. En 2015, Salvatore Iaconesi, hacker éthique, consultant pour des multinationales et professeur, donne une conférence sur une expérience qui aurait pu être tragique. Atteint d’une tumeur au cerveau, il peine à obtenir une photo de celle-ci de son médecin. Il décide alors de pirater l’hôpital qui le soigne et obtient ainsi l’intégralité de son dossier médical. Il le met en ligne et appelle les internautes à l’aider.

Il reçoit alors près d’un demi-million de prises de contacts, certaines très sérieuses (90 médecins et chercheurs lui ont apporté leur aide), d’autres plus personnelles (messages de soutien, poèmes…). Un artiste fera même une impression 3D de sa tumeur. Chaque nouvelle information qu’il reçoit de son médecin est alors discutée avec une équipe de spécialistes via la plateforme qu’il a créée afin d’établir la meilleure stratégie pour guérir. Aujourd’hui, Salvatore Iaconesi va bien et en spécialiste de l’open source, se veut un exemple parfait de la mise à disposition des données médicales au plus grand nombre.

Comme Salvatore, de nombreuses voix s’élèvent pour rendre un maximum de données de santé publiques, dans le but de faire avancer la recherche et/ou de permettre aux patients de profiter de la monétisation de leurs propres données.

Michèle Anahory, Olivier Spreux (tous deux avocats en droit de la santé), Robert Chu et Alexis Normand (responsables de la start-up Embleema) signent tous les quatre une tribune publiée dans Le Monde en janvier 2019. Pour eux, chaque « citoyen devrait pouvoir autoriser l’exploitation de ses données, sous forme de licences, pour des finalités définies et être rémunéré en redevances ».

Pour eux, le constat est simple : « Quand elle cible une pathologie, la recherche pharmaceutique acquiert à grands frais des dossiers médicaux numérisés. Par exemple, l’acquisition de l’éditeur de logiciels Flatiron par Roche, début 2018, pour 1,9 milliard de dollars (1,65 milliard d’euros) a permis au laboratoire de mettre la main sur les historiques médicaux complets d’environ 200 000 patients cancéreux, soit quelque 10 000 dollars par dossier. Même si la finalité est légitime, puisqu’il s’agit d’accélérer le développement des traitements, les patients n’en savent rien ».

Le collectif précise encore : « Nos données sont bien considérées comme des actifs par les plateformes, qui les agrègent et les vendent. […] La valeur des données des citoyens européens s’élèvera à quelque 1000 milliards d’euros en 2020. Les individus ne retirent aucun bénéfice de ce commerce florissant ».

Deux des signataires de cette tribune, Robert Chu et Alexis Normand, en savent quelque chose. Leur start-up Embleema a levé 3 millions d’euros en février 2019. Cette levée de fonds a notamment été réalisée en partenariat avec Pharmagest, entreprise française spécialisée dans la commercialisation de solutions numériques pour les pharmacies.

Embleema a développé une plateforme numérique intitulée PatientTruth (en français, la vérité du patient), fondée sur la blockchain, qui « veut redonner aux patients le contrôle sur leurs données médicales pour accélérer le lancement de nouveaux traitements », expliquent Les Echos en février 2019.

« C’est une amélioration immense par rapport au modèle actuel où des intermédiaires […] capturent toute la valeur de la donnée dont la source : patient, hôpital ou centre de recherche ne reçoit aucune rémunération, voire n’est pas au courant qu’elle est vendue », explique Robert Chu, président d’Embleema, aux Echos.

En 2017, Verily, la filiale santé de Google a lancé le projet Baseline : 10 000 volontaires ont été recrutés pour être équipés d’une batterie d’objets connectés (et cela va même jusqu’aux capteurs sous leur matelas). Le but ? Suivre à distance et pendant quatre ans l’évolution de leur santé.

Dans la recherche médicale, cela s’appelle une étude de cohorte. Il s’agit d’une pratique assez courante qui consiste à observer dans le temps l’évolution de l’état de santé d’une population définie. Seul fait nouveau : Google est le premier acteur non issu du monde académique à en lancer une. Le projet Baseline est monté en partenariat avec les universités de Stanford et de Duke. Montant des fonds nécessaires : 100 millions de dollars. A noter que Verily a levé un milliard de dollars en janvier 2019.

Laurent Alexandre, chirurgien et essayiste, interrogé par Les Echos déclarait en 2017 : « Baseline est un terrain d’essai pour Google, qui commence petit pour apprendre avant de monter en puissance. Mon intuition est que, d’ici dix ou vingt ans, les plate-formistes auront créé leurs propres cohortes, à non pas 200.000 mais plusieurs dizaines de millions de personnes, et s’en serviront pour refaire sur une échelle industrielle les études médicales jusqu’ici sujettes à caution ».

Et le chirurgien n’a peut-être pas tort. Le slogan de Baseline est le suivant : « Nous avons cartographié le monde, maintenant, cartographions la santé humaine ».

Quand Google n’acquiert pas les données médicales de patients volontaires, la multinationale les achète aux sites web référencés sur son moteur de recherche. C’est du moins ce qu’a révélé une enquête du Financial Times reprise par Les Echos en novembre 2019.

« L’investigation du quotidien des affaires britannique révèle en effet que les sites de santé les plus populaires au Royaume-Uni partagent les données médicales les plus sensibles de leurs internautes avec des dizaines de sociétés du secteur de la publicité en ligne dans le monde entier. Et ce, sans demander de façon claire le consentement des personnes concernées, comme l’exige le règlement général sur la protection des données européen […]. Environ 80 % des 100 sites étudiés sont concernés », détaille Les Echos.

Et le quotidien économique de poursuivre : « Les exemples donnés par le « Financial Times » ont de quoi faire frémir une profession médicale tenue au serment d’Hippocrate. Drugs.com a envoyé des noms de médicaments à DoubleClick, filiale de Google […] BabyCenter a envoyé des informations sur le cycle d’ovulation à Amazon. La British Heart Foundation ou Bupa, un prestataire de médecine privé, ont transmis des mots-clefs comme “maladie du coeur” ou “envisage un avortement” à Scorecard Research et BlueKai, filiale d’Oracle ».

Le Royaume-Uni n’est pas un cas isolé. En septembre 2019, une autre enquête, cette fois-ci menée par Privacy International – une ONG qui milite contre la violation de la vie privée – s’est intéressée à 136 pages web particulièrement populaires, toutes centrées sur la dépression. Celles-ci étaient disponibles en France, en Allemagne et au Royaume-Uni.

« 76,04% de ces pages contiennent des trackers tiers ayant des visées marketing », détaille l’article. Là encore, la filiale de Google DoubleClick, mais aussi AdSense, font partie des entreprises ayant positionné le plus de trackers sur ces pages.

« Une information qui révèle à quel moment une personne se sent triste ou anxieuse – spécifiquement si elle est combinée à d’autres données à propos de ses intérêts et habitudes – peut être utilisée pour cibler des internautes quand ils sont les plus vulnérables », analyse Privacy International.

Ainsi, qu’il s’agisse de vendre des produits ou des services à des internautes, commercialiser leurs données de santé aux géants du secteur, permettre aux patients de gagner un revenu complémentaire en vendant leurs data et/ou faire avancer la médecine et le développement de nouveaux traitements, la question des données de santé reste épineuse. Nouvelle, face à une application du droit parfois balbutiante et clairement inégale d’un pays à l’autre, cette problématique nous concerne pourtant tous : car ces données, ce sont avant tout les nôtres.

Loin d’imposer une réponse toute faite, que ce soit sur nos données de santé, celles de nos enfants, celles captées par nos maisons, celles que nous laisserons après notre mort ou encore celles que nous partageons avec nos IA conversationnelles, nous espérons que cette série de contenus vous aura fait réfléchir. Car l’utilisation de nos données n’est pas une problématique du futur, comme le montrent toutes ces œuvres d’anticipation que nous avons mis en lumière, mais bien une question du présent.

Participez aux prochains épisodes de notre série !  

Donnée je t’aime c’est fini ! Si cette série vous a plu ou fait réfléchir, dîtes-le nous ! Et surtout, envoyez-nous les thèmes qui vous intéressent pour une prochaine série. Notre adresse mail : communication.ocd@orange.com. A bientôt !

Pour (re)découvrir les épisodes de donnée, je t’aime :

#1 : les assistants vocaux

#2 : nos amis les bots

#3 : l’immortalité virtuelle

#4 : data d’un enfant du siècle

Notes

[1]Le chiffre exact est 3,7.