Données de santé
4

Blockchain : un nouveau modèle pour la sécurité des données de santé ?

La chaîne de blocs (blockchain) : un nouveau modèle pour la sécurité des données de santé ?

blockchain

90% des cyberattaques par rançongiciel dans le monde lors du dernier trimestre 2016 ciblaient les établissements de santé https://www.lexsi.com/securityhub/ransomware-a-bonne-sante/. La chaîne de blocs, ensemble de bases de données décentralisées infalsifiables et pseudonimisées, semble offrir un remède à la vulnérabilité des données de santé tout en garantissant la transparence de leur utilisation. L’idée fait aussi son chemin auprès des sociétés de télécommunications qui voient dans cette technologie une solution à l’enjeu de sécurité des données en réaction à la cyberattaque mondiale du 12 mai (http://www.mirror.co.uk/news/uk-news/government-cuts-put-nhs-risk-10565402) qui a mis en danger la sécurité des patients. Paradoxe ou miracle de la technologie ? Cette solution est-elle juridiquement viable au regard des multiples référentiels et du règlement européen sur la protection des données à caractère personnel ?

Un maillon entre l’e-santé et la confidentialité des données de santé

Les récents partenariats public-privé signés en vue de mettre en œuvre la chaîne de blocs dans le domaine de la santé inscrivent cette technologie dans l’avenir de l’e-santé (voir les initiatives d’IBM Watson et la Food and Drug Administration http://www.computerworld.com/article/3156504/healthcare-it/ibm-watson-fda-to-explore-blockchain-for-secure-patient-data-exchange.html et de la filiale de Google, DeepMind Health, avec le NHS. https://www.theverge.com/2017/3/10/14880094/deepmind-health-uk-data-blockchain-audit).

Cette technologie permet de créer une nouvelle entrée (bloc/hash) dans le registre à chaque interaction avec une donnée de santé et d’indiquer pourquoi : par exemple, le fait qu’un test sanguin soit utilisé par le Service Sanitaire National (NHS) pour diagnostiquer une insuffisance rénale aiguë. Elle est aussi présentée comme une solution pour la résolution des réclamations en termes de paiement et d’assurance (smart contract) et la gestion des données générées par les objets connectés de santé.

Toutefois, cet attrait pour la sécurité des données de santé de la part de sociétés de télécommunications, de moteurs de recherche ou d’autres acteurs du numérique ne fait pas illusion quant à la réutilisation de ces données ultra sensibles pour leurs nouveaux modèles économiques bien éloignés du bien être des usagers. La vigilance doit rester de mise afin de ne pas faire accepter au patient une réutilisation de ses données de santé en dehors des finalités initiales (acte de soin) sous couvert de leur sécurisation.

Présenter la technologie de la chaîne de blocs comme nouveau bouclier anti-cyber attaque est en effet aussi abusif que de faire croire que chaque patient aura la maîtrise de ses propres données : professionnels de santé et patients ne deviendront pas les Alice et Bob de la cryptographie ! (les personnages Alice et Bob sont des figures classiques en cryptologie. Ces noms sont utilisés au lieu de « personne A » et « personne B » ; Alice et Bob cherchent dans la plupart des cas à communiquer de manière sécurisée). Susciter le désir de confiance des usagers ne doit pas être source de tromperie.

Le droit et les chaînes de blocs

L’absence de cadre juridique ad hoc concernant la chaîne de blocs ne fait pas de cette technologie une zone de non droit, bien au contraire. L’exigence de sécurité des données de santé est avant tout une obligation légale quelle que soit la technologie employée et quelle que soit sa modalité (publique, privée ou de consortium, en vertu du principe de neutralité technologique). L’ampleur de l’effet produit par le rançongiciel WannaCry a mis en lumière le défaut de sécurité des infrastructures touchées alors qu’elles sont tenues de respecter de multiples référentiels en la matière.

La chaîne de blocs s’analyse en un service de transactions (qu’il soit à titre onéreux ou gratuit) ayant pour objet des données à caractère personnel. Elle est donc couverte par le désormais fameux règlement européen 2016/679 sur la protection des données à caractère personnel (RGDP http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A32016R0679) qui n’exclut de son champ que les données anonymes (art.4).

Rappelons que ce texte préserve la possibilité pour les Etats membres de conserver ou d’instaurer des conditions supplémentaires ou des limitations pour les données génétiques, biométriques ou de santé (art.9 in fine) et ne créée pas de cadre juridique unique pour celles-ci dans l’Union européenne. La protection des données de santé dépend de chaque Etat membre. On se réfèrera pour la sécurité de celles-ci pour la France à la politique de sécurité des systèmes d’information (SI) http://esante.gouv.fr/sites/default/files/asset/document/pgssis_2015-05-11_v1_ok.pdf  et à la récente instruction de 2016 présentant aux ARS le plan de sécurité des SI qui comprend l’accréditation des laboratoires d’analyses médicales.

En effet, la défaillance des outils numériques de ces infrastructures présente un haut niveau de criticité (probabilité/impact). Les prestataires de services de chaîne de blocs en santé devront donc se plier à ces exigences et leurs contrats ne seront réellement « smart » qu’à condition de se conformer à ce cadre juridique complexe allant du RGDP aux instructions ministérielles.

Autre point d’achoppement, le droit à l’effacement des données garanti par le RGDP à toute personne dont les données sont traitées, droit qui s’exercera sans frais pour le demandeur.  Les prestataires de services de registre distribué devront donc s’aligner avec cette obligation : inutile de rejeter la responsabilité de la publication de la donnée sur le registre vers l’utilisateur ou de lui réclamer le moindre Bitcoin !

Une chaîne de blocs en santé n’est pas un simple réseau social… Le droit à l’effacement concerne aussi tout lien vers ces données, ou toute copie ou reproduction de celles-ci.

  • Comment le patient pourrait-il exercer ce droit dans un registre distribué public ou chaque nœud est un responsable de traitement ?
  • Les prestataires de services de registre distribué ont-ils la puissance numérique pour opérer cet effacement ?

Sans compter qu’ils devront également être capables de donner aux personnes dont les données sont traitées un accès à celles-ci et de garantir leur portabilité vers d’autres prestataires.

Clarifier le cadre juridique de la chaîne de blocs en santé est un enjeu économique car même si son lien avec le droit n’est pas évident, la sécurité juridique reste un facteur attractif pour les investisseurs.

Note de la Rédaction : Nathalie Devillier participait à l’atelier Blockchain lors du congrès e-HealthWorld Monaco en compagnie d’Adnan El Bakri, InnovHealth, de David Manset, Directeur R&I Almerys et de Sajida Zouarhi, Orange Labs et co-fondatrice de Chaintech

Partagez :
  • googleplus
  • linkedin
  • tumblr
  • rss
  • pinterest
  • mail

Docteur en droit international - Coach d’hackathons - Emission avec Christine Ockrent : UE/USA et données personnelles, mHealth, droit comparé/business models, pôle santé connectée/Unesco, gérontechnologie/éthique, évaluatrice H2020 - Enseignant chercheur à GEM : droit de l’e-santé et de la télémédecine en mode [facilitation graphique] + [classe inversée] (+ESSEC +fac de médecine) - Fait des speechs FR/EN/ES, apprend le portugais, fan de Buenos Aires, a écrit le livre "Droit de la télémédecine et de l'e-santé" - Rédactrice en chef Journal International de Bioéthique et Journal de Médecine Légale Droit Médical.

Il y a 4 commentaires

  • PY.D dit :

    Article très intéressant. Rares sont ceux qui accordent autant d’importance au droit et à la protection des données à caractère personnel.

    Il est en effet indispensable d’inclure la protection des données à caractère personnel dès la conception des projets utilisant les technologies de registres distribués. A n’en pas douter, la conformité de ces technologies au RGPD sera une des clés de leur acceptation et de leur développement.

    Comme soulevé dans l’article, l’exercice des droits des personnes concernées sur leurs données peut à première vue sembler problématique :
    – le droit à la rectification ; comment mettre à jour les données une fois inscrites dans une chaines de blocs ? ;
    – le droit à l’effacement ; comme expliqué dans l’article ;
    – auprès de qui exercer ces droits, lorsque comme le dit très bien l’auteure, chaque noeuds pourrait être qualifier de responsable de traitement…? Afin d’éviter tout problème, la répartition des obligations de chacun passera nécessairement par un encadrement contractuel.

    En bref, de beaux challenges attendent les ingénieurs et les juristes !

  • Nathalie dit :

    Bonjour,
    Vous pourrez lire début 2018 un article de recherche sur le sujet à paraître à la Revue trimestrielle de droit commercial: je posterai le lien
    N’hésitez pas à utiliser cet espace pour contribuer au sujet
    Passez un bel été
    Nathalie

  • Laisser un commentaire

    Un avis ?
    Laissez un commentaire !

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Retourner en haut de page