Les données personnelles vont-elles devenir le pétrole du XXIe siècle ? Partant de ce postulat, les données de santé seront certainement les plus prisées. Les attaques informatiques se sont multipliées ces dernières années, faisant de la santé un secteur plus piraté que la finance.
Récemment la cyberattaque de grande ampleur WannaCry a mis hors service le National Healthcare System (NHS) au Royaume-Uni. C’est dire combien la sécurité devrait être considérée comme enjeu majeur par les professionnels du secteur. Bretagne Développement Innovation a choisi d’organiser une journée sur ce thème croisé de la cybersécurité et de la santé, le 30 novembre à Rennes, dans le cadre de l’European Cyber Week. Cette journée s’adresse aux acteurs des deux domaines. Des experts scientifiques et industriels du monde de la santé et de la cybersécurité aborderont de façon pédagogique, passionnante et illustrée, les principaux sujets liés à la cybersécurité.
Baptiste Le Coz est le directeur général adjoint du Sib, un acteur public majeur et global du numérique au service de la santé. Rencontre avec un expert qui pose les enjeux de ce sujet qui nous concerne tous.
Quelles sont les activités du SIB que vous représentez ?
Basé à Rennes, le SIB est une entreprise publique au service de ses adhérents/clients qui sont en majorité des hôpitaux, des cliniques et d’autres acteurs du monde public. Notre chiffre d’affaires en 2017 sera d’environ 29 millions d’euros, nous employons presque 250 collaborateurs. Nous sommes éditeurs de progiciels médicaux et décisionnels et intégrateur global de logiciels administratifs et médicaux. Nous proposons également un service d’hébergement et détenons l’agrément d’hébergeur pour les données de santé à caractère personnel. La sécurité est au cœur de notre offre de services. Nous ouvrirons d’ailleurs en 2018 un département de cybersécurité transversal à l’ensemble de nos activités et qui renforcera notamment le Security by design.
Qui est concerné par les données de santé ?
Tout le monde ! Malheureusement nous serons pratiquement tous des patients à un moment de notre vie. A défaut de l’être, nous avons des enfants, des parents, des conjoints qui sont concernés par des questions de santé. Et, plus largement, cette question concerne aussi les adeptes des objets connectés. On achète des bracelets, des montres pour courir etc…Ils contiennent des informations qui seraient des mines d’or pour une compagnie d’assurances ou une mutuelle. Dès que l’on est sensibilisé à ces questions, on n’utilise plus ces objets de la même façon. L’adage dit : « si le produit est gratuit c’est que vous êtes le produit ». Cela n’a jamais été autant valable qu’avec les données de santé au sens large. Combien valent réellement les bracelets connectés ? Qu’est-ce qui est le plus profitable : le bracelet ou les données collectées par lui ?
Comment se place la France au niveau international ?
D’un point de vue philosophique, la France reste une exception qui est en train de faire tache d’huile. On a une vision très protectrice des données, avec la création de la CNIL en 1978. Sur les données de santé, la protection est maximale : elles ne peuvent être stockées ailleurs qu’en France. Aux Etats-Unis, l’exploitation de la donnée personnelle ne pose aucun problème. Un nouveau règlement européen applicable en mai 2018 (Règlement Général sur la Protection des Données) tend à renforcer la protection des citoyens, notamment sur la question de leurs données de santé.
Où en est la sensibilisation des professionnels de santé ?
Les premiers concernés sont évidemment les acteurs qui produisent de la donnée, la stockent et la manipulent au quotidien. Il s’agit donc des professionnels de santé. Cela concerne aussi les fabricants de matériel, les opérateurs réseau, et télécom ; il s’agit en fait de l’ensemble de l’écosystème digital santé. Des journées cyber et santé comme celle que vous organisez sont très intéressantes pour les professionnels car elles permettent de les former et de les mobiliser. Pour les professionnels de santé, la sensibilisation s’inscrit de façon institutionnelle avec notamment l’application progressive des référentiels issus de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) qui fixe le cadre de la sécurisation des systèmes d’information de santé. Ce cadre vise à protéger les citoyens de tout mésusage de leurs données de santé personnelles et gagner leur confiance dans les nouveaux usages de l’informatique.
Comment sécuriser ce type de données sensibles ?
On parle beaucoup de l’anonymisation des données. Spontanément, on se dit qu’il suffit d’enlever le nom et le prénom pour rendre la personne anonyme. Sauf qu’un patient admis aux urgences qui habite à tel endroit avec tel type de pathologie, beaucoup de gens peuvent le reconnaître. On pourrait transformer le sexe de la personne. Or, en changeant cette caractéristique, on modifie la donnée médicale. Il en va de même pour l’âge. Bref, l’anonymisation des données reste complexe. Tout dépend des usages prévus de ces données anonymisées.
Nous n’en sommes donc qu’aux prémices de l’anonymisation des données de santé…
Effectivement, je dirai qu’il s’agit d’un domaine de recherche et développement. Bien sûr, on sait anonymiser certaines données pour les exploiter. Par exemple, les données de facturations entre les hôpitaux et l’assurance maladie mais quand on parle de données de santé liées aux traitements des pathologies, c‘est beaucoup plus compliqué. Ce domaine reste à explorer, on n’en est qu’aux débuts.