Compatibilité des cadres légaux applicables et mise en œuvre de projets big data en santé : approche comparative États-Unis et Royaume-Uni
- Par Adèle Lutun
Pages 30 à 35
Citer cet article
- LUTUN, Adèle,
- Lutun, Adèle.
- Lutun, A.
https://doi.org/10.3917/jdsam.183.0030
Citer cet article
- Lutun, A.
- Lutun, Adèle.
- LUTUN, Adèle,
https://doi.org/10.3917/jdsam.183.0030
Notes
-
[1]
FOYER Jean, Débats parlementaires, 1ère séance du mardi 4 octobre 1977 Journal Officiel n°79 du 5 octobre 1977 page 5782.
-
[2]
« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 1.
-
[3]
DEBET Anne, MASSOT Jean, METALLINOS Nathalie, Informatique et libertés : la protection des données à caractère personnel en droit français et européen. 1ère éd. Paris : Lextenso, 2015, p. 32 : « En adoptant, en 1978, une législation spécifique en matière d’informatique et de libertés, la France figure parmi les premiers pays à s’être dotée d’une loi après le Land de Hesse, en Allemagne, en 1970 et la Suède en 1973 ».
-
[4]
Organisation mondiale de la propriété intellectuelle, Indice mondial de l’innovation 2017 : la Suisse, la Suède, les Pays Bas, les États-Unis d’Amérique et le Royaume-Uni en tête du classement annuel, 15 juin 2017. Disponible sur : http://www.wipo.int/pressroom/fr/articles/2017/article_0006.html [consulté le 25/05/2018].
-
[5]
A l’exception d’un texte, le « Privacy Act [de 1974 aux Etats-Unis] dont le champ d’application est très restreint puisqu’il est limité aux fichiers détenus par les administrations fédérales ». Op. cit. 1.
-
[6]
Journal Officiel n°93 du 22 août 2014, page 13972 à 13973.
-
[7]
En anglais : « personal data ».
-
[8]
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
-
[9]
Royaume-Uni, Data Protection Act of 1998.
-
[10]
Etats-Unis, Health Insurance Portability and Accountability Act of 1996.
-
[11]
En anglais : « HIPAA Privacy of Individually Identifiable Health Information Rule ».
-
[12]
En anglais : « protected health information ».
-
[13]
En anglais : « covered entities ».
-
[14]
U.S. Department of Health & Human Services, Summary of the HIPAA Privacy Rule, 26 juillet 2013. Disponible sur : https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html [consulté le 1/04/2018] : « A major goal of the Privacy Rule is to assure that individuals’health information is properly protected while allowing the flow of health information needed to provide and promote high quality health care and to protect the public’s health and well being. The Rule strikes a balance that permits important uses of information, while protecting the privacy of people who seek care and healing. »
-
[15]
En anglais : « all individually identifiable health information ».
-
[16]
Le données dé-identifiées ne sont pas couvertes par la Norme, dans la mesure où la ré-identification n’aurait pas lieu dans une probabilité raisonnable.
-
[17]
Op. Cit. 9, Schedule 3, Section 4(3).
-
[18]
Information Commissioner’s Office, ICO fee and registration changes next year, 5 octobre 2017. Disponible sur : https://iconewsblog.org.uk/2017/10/05/ico-fee-and-registration-changes-next-year/ [consulté le 1/04/2018].
-
[19]
En anglais : « Information Commissionner Office ».
-
[20]
En anglais : « National Health Institutes ».
-
[21]
En anglais : « All of us ».
-
[22]
National Institute of Health, All of Us Research Program, 28 mars 2018. Disponible sur : https://allofus.nih.gov/sites/default/files/aou_core_protocol_v1.7_mar_2018.pdf [consulté le 1/04/2018].
-
[23]
The White House, Precision Medicine Initiative : Privacy and Trust Principles, 9 novembre 2015. Disponible sur : https://allofus.nih.gov/sites/default/files/privacy-trust-principles.pdf [consulté le 1/04/2018].
-
[24]
The White House, Precision Medicine Initiative : Data Security Policy Principles and Framework, 25 mai 2016. Disponible sur : https://allofus.nih.gov/sites/default/files/security-principles-framework.pdf [consulté le 1/04/2018].
-
[25]
En anglais : « data and research center ».
-
[26]
En anglais : « participant technology systems center ».
-
[27]
En anglais : « participant center ».
-
[28]
Pour le moment trois questionnaires ont été créés et sont présentés dans le protocole du programme de recherche.
-
[29]
National Institutes of Health, Closed Beta Updates and EHR Consent, 13 septembre 2017. Disponible sur : https://allofus.nih.gov/news-events-and-media/videos/dish-closed-beta-updates-and-ehr-consent [consulté le 1/04/2018].
-
[30]
National Institutes of Health, Working Group on Child Enrollment Highlights Scientific Opportunities for All of Us Research Program, 18 janvier 2018. Disponible sur : https://allofus.nih.gov/news-events-and-media/announcements/working-group-child-enrollment-highlights-scientific [consulté le 1/04/2018].
-
[31]
En anglais - Royal Free London NHS Foundation Trust. National Health Services, The NHS in England, 13 avril 2016. Disponible sur : https://www.nhs.uk/NHSEngland/thenhs/about/Pages/authoritiesandtrusts.aspx [consulté le 1/04/2018]. La plupart des hôpitaux en Angleterre est gérée par des « Fondations nationales de services de soins » (National Health Services foundation trusts). Introduits en 2004, ce sont des entités légales indépendantes qui se gouvernent eux-mêmes.
-
[32]
NHS Royal Free London, New app helping to improve patient care, 27 février 2017. Disponible sur : https://www.royalfree.nhs.uk/news-media/news/new-app-helping-to-improve-patient-care/ [consulté le 1/04/2018].
-
[33]
DeepMind, Helping clinicians get patients from test to treatment, faster, 27 février 2017. Disponible sur : https://deepmind.com/applied/deepmind-health/ [consulté le 1/04/2018].
-
[34]
POWLES Julia, HODSON Hal, Google DeepmInd and healthcare in an age of algorithms, 16 mars 2017. Disponible sur : https://link.springer.com/article/10.1007/s12553-017-0179-1#Fn2 [consulté le 1/04/2018].
-
[35]
BURGES Matt, NHS data on an ‘inappropriate legal basis’, 17 mai 2017. Disponible sur : http://www.wired.co.uk/article/deepmind-nhs-data-sharing-privacy-concerns [consulté le 1/04/2018].
-
[36]
En anglais : « national data guardian ». Cette entité conseille le système de santé et de soins afin de s’assurer que les données confidentielles sont traitées de manière appropriée. Le Gardien National des Données peut aussi réagir publiquement, comme dans le cas DeepMind, afin de susciter des réactions de la part des acteurs du domaine de la protection des données.
-
[37]
En anglais : « National Heath Service – NHS ».
-
[38]
ICO, Royal Free – Google DeepMind trail failed to comply with data protection law, 3 juillet 2017. Disponible sur : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/07/royal-free-google-deepmind-trial-failed-to-comply-with-data-protection-law/ [consulté le 1/04/2018].
-
[39]
ICO, Action we have taken – Royal Free London NHS Foundation Trust, juillet 2017. Disponible sur : https://ico.org.uk/media/action-weve-taken/undertakings/2014353/royal-free-undertaking-cover-letter-03072017.pdf [consulté le 1/04/2018].
-
[40]
DeepMind, The Information Commissionner, the Royal Free, and what we’ve learned, 3 juillet 2017. Disponible sur : https://deepmind.com/blog/ico-royal-free/ [consulté le 1/04/2018].
-
[41]
DeepMind, Trust, confidence and Verifiable Data Audit, 9 mars 2017. Disponible sur : https://deepmind.com/blog/trust-confidence-verifiable-data-audit/ [consulté le 1/04/2018].
-
[42]
En anglais : « Verifiable Data Audit ».
-
[43]
La structure de cet audit est calquée sur la blockchain : un registre recueille toutes les actions effectuées sur les données, une différence cependant : le registre développé par DeepMind n’est pas décentralisé.
-
[44]
Information Commissioner’s Office, Enforcement action, 23 mai 2018. Disponible sur : https://ico.org.uk/action-weve-taken/enforcement/ [consulté le 25/05/2018].
-
[45]
AUDUREAU William, Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook, 22 mars 2018. Disponible sur : https://www.lemonde.fr/pixels/article/2018/03/22/ce-qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html [consulté le 23/05/2018].
-
[46]
National Institutes of Health, Security : Protecting Participant Data, 3 mai 2018. Disponible sur : https://allofus.nih.gov/news-events-and-media/videos/dish-security-protecting-participant-data [consulté le 23/05/2018].
-
[47]
Elizabeth DENHAM est la présidente du Commissariat à la protection des données du Royaume-Uni.
-
[48]
DENHAM Elizabeth, The price of innovation didn’t need to be the erosion of legally ensured fundamental privacy rights, 3 juillet 2017. Disponible sur : https://iconewsblog.org.uk/2017/07/03/four-lessons-nhs-trusts-can-learn-from-the-royal-free-case/ [consulté le 1/04/2018].
« Dans ce bas monde, et surtout en notre temps, tout ce qui est neuf intrigue, inquiète et bientôt épouvante. A la fin des années soixante, l’informatique a commencé de préoccuper l’opinion et le législateur de nombreux pays étrangers. Chez nous, le phénomène a été, semble-t-il plus tardif. » [1]
2C’est ainsi que Jean FOYER, président de la commission des lois introduisait la discussion du projet de loi relatif à l’informatique et aux libertés en 1977 à l’Assemblée nationale. Près de quarante ans plus tard, le constat face aux technologies émergentes, notamment celles impliquant le traitement de données à caractère personnel, comme le big data en santé est le même : elles peuvent être effrayantes. Cependant, la préoccupation française au regard de l’informatique a grandi et a permis la genèse d’un texte fondateur remanié à de nombreuses reprises depuis son adoption, afin de créer un cadre vertueux pour le développement de l’informatique [2].
3La France s’est donc dotée relativement tôt d’une loi relative à la protection des données à caractère personnel [3], contrairement à deux pays en tête du classement annuel de l’indice mondial de l’innovation [4] : les États-Unis et le Royaume-Uni, ayant tous deux encadré le traitement de données à caractère personnel à compter de la fin des années 1990 [5].
4Ces deux pays s’illustrent notamment au travers de projets de big data en santé développés sur leur territoire. En français, le big data peut être traduit comme « mégadonnées » ou « données massives » et être défini [6] comme des « données structurées ou non dont le très grand volume requiert des outils d’analyse adaptés ». Ces données peuvent être variées, mais dans la majorité des cas, la technologie big data fait appel à des données à caractère personnel. Ainsi, la mise en œuvre de projets tels projets en santé est intrinsèquement liée à la prise en compte des exigences relatives à la protection des données à caractère personnel.
5Au Royaume-Uni comme en France, c’est un texte général qui encadre le traitement des données à caractère personnel [7]. En tant qu’État Membre de l’Union Européenne, le Royaume-Uni a transposé la Directive 95/46/CE [8] via une loi sur la protection des données de 1998 [9] promulguée en mars 2000. De leur côté, les États-Unis ont choisi une approche sectorielle de la protection des données. En 1996, le Congrès américain a adopté la « loi sur la portabilité et la responsabilité en assurance santé » [10] ayant pour objectif la simplification et l’harmonisation des procédures administratives dans le domaine de la santé, complétée par des Normes, telles que celle dédiée à la confidentialité des données de santé à caractère personnel [11].
6Il est donc nécessaire d’étudier la compatibilité de ces cadres légaux relatifs à la protection des données de santé à caractère personnel avec l’émergence de projets impliquant du big data en santé.
7Afin de répondre à cette interrogation, les textes applicables aux États-Unis et au Royaume seront succinctement introduits (I) avant de présenter deux programmes ayant recours aux techniques de big data en santé mis en œuvre dans chacun de ces pays (II).
I – L’encadrement des traitements de données de santé à caractère personnel aux États-Unis et au Royaume-Uni
8Il convient d’étudier les conditions d’application de la Norme des États-Unis et la loi relative à la protection des données du Royaume-Uni, notamment aux traitements de données à caractère personnel de santé faisant appel au big data (a) puis d’analyser les principes qu’elles consacrent et les exigences qu’elles imposent (b).
a – Conditions d’application des textes et définition des données de santé à caractère personnel aux États-Unis et au Royaume-Uni
9Chacun de ces textes, la Norme ou la loi sur la protection des données, s’applique aux responsables de traitement mettant en œuvre des traitements comprenant des données de santé à caractère personnel, selon des critères précis.
10D’un côté, aux États-Unis, la Norme renforce la protection des « données de santé protégées » [12] traitées par certains « acteurs concernés » [13] et créé un jeu de standards nationaux destinés à encadrer l’exercice des droits et l’information des personnes concernées [14]. Aux États-Unis, l’application de la Norme est ainsi conditionnée par la qualité des acteurs et des données traitées.
11La Norme confidentialité aux États-Unis s’applique à un nombre limité d’« acteurs concernés » qui sont les organismes d’assurance maladie, de centralisation des données, les prestataires de soins de santé appelés à transmettre électroniquement des données de santé à caractère personnel, ainsi qu’à leurs partenaires commerciaux.
12La Norme s’applique à « toutes les données de santé permettant d’identifier un individu » [15], détenues ou transmises par les « acteurs concernés » et leurs partenaires commerciaux, sous quelque forme que ce soit : orale, écrite ou électronique. Ces données sont les « données de santé protégées », soit des informations qui, incluant des données démographiques, sont relatives à (i) l’état physique ou mental, ou à la condition d’une personne, passé, présent ou futur, (ii) la délivrance de soins à un individu ou, (iii) des paiements passés, présents ou futurs pour des soins délivrés à un individu, et qui identifient un individu, ou pour lesquels il y a une probabilité raisonnable que ces données puissent être utilisées pour identifier une personne [16].
13D’un autre côté, au Royaume-Uni, le texte encadre le traitement des données à caractère personnel qui sont des données relatives à des personnes vivantes qui peuvent être identifiées (i) par une donnée, ou (ii) par une donnée et toute information qui est possédée, ou qui pourrait être possédée par le responsable de traitement, et qui inclus l’expression d’une opinion à propos de la personne et n’importe quelle indication des intentions du responsable de traitement ou de toute autre personne au regard de l’individu.
14La loi sur la protection des données distingue une catégorie de données à caractère personnel comme étant sensibles, notamment les données relatives au physique, à la santé mentale ou à la condition d’une personne, qui seront considérées comme des données de santé pour la suite de l’article.
15En définitive, les définitions des données de santé à caractère personnel par la Norme ou la loi sur la protection des données sont relativement proches, cependant leurs critères d’application sont différents. La différence principale réside dans le fait que la Norme des États-Unis conditionne son application à des critères organiques et matériels : les « acteurs concernés » qui traitent les « données de santé protégées ». A l’inverse, pour que la loi du Royaume-Uni s’applique il suffit que le critère matériel de traitement des données à caractère personnel, qui peuvent être des données de santé, soit rempli. Ceci étant notamment dû aux approches résolument différentes des deux pays, l’un ayant transposé une directive européenne au champ d’application vaste et l’autre ayant adopté un texte spécifique aux données de santé strictement définies et traitées par une liste d’acteurs donnée.
16Après avoir étudié la définition des données de santé à caractère personnel et le champ d’application du cadre légal au Royaume-Uni et aux États-Unis, il convient désormais d’étudier les principes qui gouvernent ces deux textes et qui guident les acteurs souhaitant mettre en œuvre des projets de big data en santé impliquant le traitement de données à caractère personnel.
b – Principes et exigences s’appliquant aux traitements de données à caractère personnel aux États-Unis et au Royaume-Uni
17Aux États-Unis, la Norme établit un certain nombre de principes relatifs à l’utilisation et à la communication des « données de santé protégées » par les « acteurs concernés ». Par exemple, la Norme impose aux « acteurs concernés » de fournir aux personnes concernées par le traitement de données à caractère personnel une politique de confidentialité des données, comprenant des items obligatoires. La Norme exige la mise en place de mesures appropriées afin de garantir la confidentialité des « données de santé protégées », pose des limites et des conditions à l’utilisation et la communication de telles données sans l’autorisation du patient. Enfin, la Norme consacre des droits pour les patients, notamment le droit d’accès à leurs dossiers médicaux et d’en obtenir une copie ou de demander la rectification de données les concernant.
18Au Royaume-Uni, les principes de la Directive européenne sont transposés dans la loi sur la protection des données, et doivent donc être respectés par les responsables de traitement souhaitant mettre en œuvre des traitements de données à caractère personnel de santé incluant du big data. Au titre du principe de licéité du traitement, un traitement doit nécessairement avoir une base légale. L’utilisation de ces données sensibles est soumise à des conditions plus strictes [17] que les données à caractère personnel classiques. En effet, les bases légales pouvant être invoquées pour les traitements de données sensibles à caractère personnel sont réduites par rapport à celles des traitements de données à caractère personnel. Par ailleurs, les responsables de traitement doivent s’enregistrer, moyennant des frais variant, selon la taille de l’entreprise, entre 55 et 1000 livres sterling [18], auprès de l’autorité chargée de la protection des données : le Commissariat à la protection de la vie privée [19].
19L’esprit des exigences posées par les deux textes est ici divergent. En effet, la Norme est un texte sectorisé, dédié à la création de standards pour la protection de données de santé protégées, soumettant les « acteurs concernés » des obligations spécifiques à leur domaine d’activité. La Norme se rapproche des normes de l’Organisation internationale de normalisation (ISO), par exemple, qui listent des obligations pratiques à mettre en œuvre par les acteurs souhaitant se conformer à ces standards.
20A l’opposé, la loi sur la protection des données du Royaume-Uni s’applique aux données à caractère personnel en général, dont certaines dispositions spécifiques sont relatives aux données sensibles. Par ailleurs, cette loi transpose une directive européenne structurée autour de grands principes relatifs au traitement de données à caractère personnel, tels que la licéité et la loyauté des traitements, la détermination d’une finalité explicite et légitime pour le traitement ou encore la nécessité de collecter des données adéquates, pertinentes et non excessives au regard de la finalité établie.
21Les responsables de traitements recourant au big data en santé doivent donc s’assurer de la conformité de leurs traitements avec les exigences des textes rapidement présentés ci-dessus notamment afin de gagner la confiance des personnes concernées fournissant des données alimentant leur programme. Une négligence de leur part les exposant également au risque d’être sanctionnés par les autorités de protection des données.
II – Les programmes ayant recours aux techniques de big data en santé mis en œuvre au Royaume-Uni et aux États-Unis
22Ces dernières années, plusieurs programmes en santé recourant au big data ont été développés au Royaume-Uni et aux États-Unis. Ceux qui seront présentés font état de particularités intéressantes : l’un mis en œuvre par une structure publique se basant sur le volontariat de citoyens américains (a), l’autre est le fruit d’un partenariat public privé réutilisant de données déjà collectées dans le cadre du soin (b).
a – La mise en place d’une cohorte massive aux États-Unis
23Les « Instituts américains de la santé » [20] ont lancé en 2016 le programme « Nous tous » [21]. Ce programme de recherche vise à recruter plus d’un million de volontaires et à rassembler leurs données au sein d’une base de données massive, afin d’obtenir une cohorte représentative de la population américaine réelle, ayant l’envergure nécessaire pour réaliser des recherches sur une large variété de maladies et détecter des corrélations entre des expositions biologiques et/ou environnementales [22].
24Conscients des enjeux en termes de respect de la vie privée, le Gouvernement et les Instituts américains de la santé ont communiqué autour des exigences de confiance, de confidentialité [23] et de sécurité [24] concernant les données traitées dans le but de rassurer les futurs participants.
25La structure de la cohorte est organisée autour de composants, recrutés via des appels d’offre, dont un « centre de support pour les données et la recherche » [25] dédié à la centralisation, l’organisation et la sécurité de la base de données et un « centre de technologie des systèmes participants » [26] dédié à l’expérience des participants et qui développera des applications et des sites internet afin de permettre l’inscription de volontaires, de transmettre les données et de recevoir des mises à jour.
26Le recrutement actif des participants, qui doivent être âgés de plus de 18 ans et vivre aux États-Unis, se déroule sur une durée de cinq ans via les établissements de soins partenaires répartis sur l’ensemble du territoire ou par inscription en ligne sur le « Centre de participant en ligne » [27].
27Lors de cette étape, les participants reçoivent les informations relatives au programme de recherche, consentent et doivent transmettre des informations relatives à leur historique médical et leur style de vie. Des données de mesure (pression sanguine, poids et taille, etc.) et des prélèvements biologiques pourront être effectués dans un centre d’inscription.
28Par la suite, les participants seront invités à participer à des enquêtes [28] afin de transmettre des données relatives à la démographie, leur état de santé général ou encore leur consommation de drogue, tabac, alcool. Les dossiers médicaux électroniques des participants peuvent également être transmis, et mis à jour bi-annuellement au sein de la base de données.
29L’ensemble des données est hébergé dans un système en nuage sécurisé au sein du « Centre de support pour les données et la recherche ». Les chercheurs qualifiés pourront ensuite accéder aux données via une plateforme, à la suite de la signature d’un engagement de confidentialité par le biais duquel ils attestent ne pas extraire les données auxquelles ils auront accès. Les participants ont également accès à leurs données, à des statistiques globales et aux résultats d’études conduites sur leurs données via le portail des participants.
30Le directeur du programme, Eric Dishman, a annoncé le 13 septembre 2017 [29] que plus de 18 000 personnes avaient débuté le processus d’inscription au cours de la phase béta étendue lancée en juin 2017. M. Dishman précisait que l’activité principale des acteurs du programme était de recueillir les dossiers médicaux et les réponses aux enquêtes réalisées auprès des participants ainsi que d’effectuer un toilettage des données. Le Directeur insistait sur le fait que pour le moment, l’attention était portée à la qualité et la fiabilité des données recueillies, avant d’ouvrir l’accès aux données aux chercheurs. Si le lancement national de la cohorte a eu lieu le 6 mai 2018, l’ouverture aux chercheurs pourrait avoir lieu entre 6 et 12 mois après cette date.
31La cohorte est en perpétuelle évolution car des données issues d’objets connectés utilisés par les participants pourraient également être versées prochainement dans la base de données et des participants âgés de moins de 18 ans pourraient être recrutés, comme le préconise la publication d’un rapport du groupe de travail dédié à l’inclusion d’enfants [30] dans « Nous tous », soulignant l’intérêt scientifique d’une telle inclusion.
32Ce programme est donc mis en œuvre par une structure publique. Hormis les gagnants des appels d’offre relatifs à la communication, l’ensemble des structures ayant remporté les financements sont des universités, des établissements d’enseignement ou de santé publics ou privés. Au Royaume-Uni, le projet big data qui sera présenté n’a pas été réalisé dans le cadre d’une cohorte massive mais a pour but d’évaluer une application mobile développée par une structure privée.
b – L’utilisation de données massives pour prédire une maladie grave au Royaume-Uni
33Le 30 septembre 2015, un accord a été signé entre la « Fondation Libre Royale du Service sanitaire national » [31] (Royal Free London NHS Foundation Trust) et DeepMind, une société détenue par Google, qui développe l’application « Streams », capable de détecter des symptômes d’insuffisance rénale aigue deux heures avant le personnel soignant [32] et de les alerter lorsque l’état d’un patient se détériore.
34Selon les termes de l’accord, DeepMind pouvait accéder à des données identifiantes issues de dossiers médicaux détenus par la Fondation pour réaliser un essai de sécurité sur l’application Streams [33], d’ores et déjà déployée et utilisée depuis février 2017 par les équipes de soins des hôpitaux de la Fondation.
35Les données transmises comprennent des informations concernant 1.6 millions de patients qui ont été traités durant les cinq années précédentes ainsi que des données issues des dossiers électroniques de radiologie.
36A la suite d’alertes lancées en début d’année 2017 par des universitaires [34] et des journalistes [35], le Gardien National des Données [36] a adressé un courrier au responsable médical du Service sanitaire national [37] interrogeant la gestion des données par la Fondation et Deepmind, notamment au regard de la base légale pouvant être invoquée pour l’essai de sécurité réalisé avec les données.
37Le Commissariat à la protection de la vie privée a ensuite enquêté et publié une déclaration [38] en juillet 2017 indiquant que de nombreux manquements aux principes établis par la loi sur la protection des données avaient été découverts à l’occasion des investigations :
- Concernant le principe de loyauté et de licéité des traitements : les patients n’ont pas été informés du traitement de leurs données par DeepMind pour des finalités d’essais cliniques de sécurité et la Fondation n’a pas établi que les conditions du nouveau traitement échappaient à l’obligation de recueillir le consentement éclairé des patients.
38Par ailleurs, la Fondation n’a pas indiqué de base légale pour le traitement des données destinées au test de sécurité de l’application. Selon le Commissaariat, ce principe a été enfreint, les patients ne pouvant avoir raisonnablement pensé que leurs données allaient être traitées pour une telle finalité et que les mécanismes d’information étaient inappropriés.
- Concernant le principe de minimisation des données en lien avec la finalité du traitement : la Fondation a insisté sur le fait qu’un nombre élevé de dossiers médicaux était nécessaire pour assurer l’efficacité et l’efficience du test de sécurité de l’application, cependant cet argument n’a pas convaincu le Commissariat, qui indique par ailleurs que certains détails présents dans les dossiers médicaux ne semblaient pas être nécessaires au regard de la finalité du traitement et que cela constitue un manquement au principe.
- Concernant le principe de transparence : ce principe a été enfreint, en ce que les personnes n’ont pas été informées de l’utilisation de leurs données et n’ont pu faire valoir leurs droits ou s’opposer au traitement de leurs données.
- Concernant le principe de mettre en place des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données : selon l’autorité de protection des données, l’accord n’a pas ensuite été formalisé contractuellement entre DeepMind et la Fondation. De plus, la Fondation ne s’est pas suffisamment assurée des mesures prises par DeepMind afin de respecter ces obligations, enfreignant donc le principe [39].
39La signature d’un engagement de mise en conformité a été préférée à une sanction financière. En quelques mots, il a été imposé à la Fondation de (i) justifier légalement les traitements de données à caractère personnel mis en œuvre dans le cadre du projet conclu avec DeepMind, (ii) de démontrer le respect de son obligation de confidentialité à l’égard des patients lors de futurs essais impliquant des données à caractère personnel, (iii) de réaliser une analyse d’impact sur la vie privée, en insistant sur la transparence, et enfin (iv) de conduire un audit de l’essai, dont les résultats devront être communiqués au Commissariat à la vie privée qui pourra les publier, s’il le souhaite.
40En réaction [40], DeepMind a développé sur son site internet de nombreuses rubriques [41] axées autour de thèmes tels que « la sécurité des données », « la confidentialité et la transparence » et « l’audit des données vérifiable » [42] permettant aux partenaires hospitaliers de s’assurer que les données sont traitées conformément aux instructions données [43].
41La pédagogie dont a fait preuve le Commissariat vis-à-vis de la Fondation est intéressante car l’autorité de protection des données anglaise sanctionne régulièrement [44] des responsables de traitement négligents, à l’aide d’amendes importantes publiées sur leur site et relayées par de nombreux médias. Le cadre légal anglais applicable aux traitements de données de santé à caractère personnel, relativement proche du cadre français, permet le développement de programmes respectueux de la vie privée, si tant est que les obligations soient respectées par les responsables de traitement.
42Pour conclure, la mise en conformité des programmes existants ou la mise en œuvre de programmes conformes aux exigences nécessitent un investissement de la part des responsables de traitement.
43Les « Instituts américains de la santé » ont accentué leurs efforts de transparence et de pédagogie à l’égard des participants du programme « Nous tous ». A titre d’exemple, et probablement pour répondre aux craintes de participants faisant suite au scandale de Cambridge Analytica [45], le Directeur du programme a publié une vidéo début mai soulignant que la préservation de la sécurité des données des participants était leur plus importante responsabilité [46]. Cette obligation de transparence et d’exemplarité est notamment la contrepartie des importants moyens de publicité déployés pour cette cohorte qui vise à recruter de nombreux participants : les individus doivent être convaincus que leur participation à ce programme ne les expose pas à des risques importants de divulgation de leurs données de santé à caractère personnel afin de faire la démarche de rejoindre le projet de recherche.
44A l’opposé, les tests conduits pour l’application « Streams » au Royaume-Uni ont été opaques pour les patients concernés, principalement car les données étaient déjà disponibles au sein des dossiers médicaux des hôpitaux du Fonds partenaire. Toutefois, la position de l’autorité de protection des données du Royaume-Uni démontre qu’elle n’est pas opposée au développement de nouvelles technologies ou aux partenariats publics / privés permettant le transfert de données sensibles. En effet, l’ensemble des communications publiques d’Elizabeth Denham [47] sur le sujet « Streams » rappelle que le potentiel important de telles applications n’est pas remis en cause, mais que « de telles avancées ne doivent pas se faire au détriment du droit fondamental à la vie privée » [48].