Patient Numérique

Dans la foulée de la convention pour “hackers éthiques” Black Hat 2019 (Las Vegas – 3-8 août), la newsletter “Privacy Project” du New York Times a consacré un article à un sujet qui avait été abordé, lors de la convention, par le Dr Mona Sobhani, directrice de la recherche au Center for Body Computing de Université de Californie du Sud (USC). Sujet en question: l’intérêt croissant qu’accordent les hackers à la “sensibilité” des données de santé.

Au-delà de problèmes bien connus et largement documentés (vulnérabilité des équipements médicaux mais aussi de la nouvelle engeance de dispositifs connectés, fraude à l’assurance, cyber-chantage…), la chose sur laquelle Mona Sobhani attirait l’attention est le fait que “toutes nos données sont des données santé”. Ou, du moins, le sont-elles potentiellement grâce à la “magie” des outils analytiques, des algorithmes et de la curiosité inépuisable de certaines sociétés commerciales (GAFA, fabricants d’objets connectés…).

C’est le champ d’action du “phénotypage numérique”. Autrement dit, l’extraction d’informations – révélatrices – sur base des comportements numériques de chacun (sites Internet visités, utilisation d’applis mobiles, échanges sur les réseaux sociaux…).

Depuis le type de termes utilisés dans nos conversations sur la Toile jusqu’à la fréquence des consultations de telle ou telle information ou la vitesse de frappe sur un clavier (physique ou virtuel), en passant par le type d’informations consultées ou d’achats effectués ou encore les mouvements des yeux dans une séquence vidéo publiée sur Internet ou la tonalité de la voix captée par les enceintes connectées ou les chatbots évolués, tout est susceptible d’être analysé et interprété pour déceler des signes avant-coureur de maladie, de dépression, de dégénérescence cognitive, pour juger de nos faiblesses ou besoins santé…

Le Dr Mona Sobhani dit particulièrement craindre l’usage que pourraient faire de ces données des acteurs tels que Google ou Amazon, de plus en plus intéressés par le secteur de la santé. “Ces sociétés ont amassé des quantités phénoménales de données, notamment via les dispositifs connectés. Or, ces derniers ne sont pas considérés comme des dispositifs médicaux par la FDA (Food & Drug Administration) et échappent dès lors à la loi sur la portabilité et responsabilité en matière d’assurance-santé. Le Health Insurance Portability and Accountability Act (Hipaa) garantit que vous pouvez exiger une copie de vos données santé. Par contre, si les sociétés high-tech exploitent nos données pour en déduire des indications sur votre santé, pourquoi ne peut-on y avoir accès?”

La question est dès lors la suivante: les Etats-Unis doivent-ils étendre la portée de la loi Hipaa aux données collectées par les dispositifs connectés ? ou une nouvelle réglementation distincte doit-elle mieux protéger les données des “fitness trackers” par exemple? A noter qu’un projet de loi en ce sens a été déposé, en juin, par les sénatrices Amy Klobuchar (démocrate) and Lisa Murkowski (républicaine).

Des questions qui intéressent bien évidemment les Européens, dans la mesure où les “majors” hi-tech et les concepteurs de dispositifs (santé) connectés sont souvent Américains…

A lire, ce document du Center for Body Computing de l’USC : “HIPAA Isn’t Enough: All Our Data is Health Data.”