Les dossiers médicaux de 1,6 million de patients londoniens ont été placés entre les mains d’une entreprise appartenant à Google : c’est ce qu’a révélé, à la fin du mois d’avril, l’hebdomadaire britannique New Scientist, déclenchant de nombreuses inquiétudes outre-Manche.
Ces données, qui concernent les patients de trois hôpitaux de Londres gérés par le National Health Service (NHS), ont été confiées à Google DeepMind, une entreprise spécialiste de l’intelligence artificielle. Elle a été rendue célèbre cette année grâce aux exploits de son programme AlphaGo, le premier à avoir battu l’humain au jeu de go.
Le partenariat entre le NHS et DeepMind n’avait rien de secret : en février, l’entreprise avait annoncé travailler avec cet organisme pour développer une application, Streams, aidant les médecins à surveiller les patients ayant des problèmes de reins. Mais un document dévoilé par le New Scientist montre que cet accord va bien plus loin que ce qui avait été annoncé.
Ce ne sont pas seulement les dossiers des malades des reins qui ont été transmis à l’entreprise, mais ceux de tous les patients, et ces fichiers contiennent des données ultrasensibles remontant jusqu’à cinq ans : résultats d’examens, indications d’overdose, avortements, VIH, mais aussi des rapports quotidiens de l’hôpital sur l’activité du patient, son emplacement ou encore ses visiteurs.
Les patients n’ont pas été informés
Streams épluche ces données en temps réel pour aider le personnel hospitalier à détecter le plus rapidement possible les cas d’insuffisance rénale aiguë. Cette pathologie, qui évolue extrêmement vite, peut s’avérer mortelle si elle n’est pas prise en charge assez tôt. Mais on ne sait pas pourquoi DeepMind aura accès à des données au-delà du système de détection des insuffisances rénales.
La révélation de l’ampleur des données collectées a suscité de nombreuses interrogations et inquiétudes. L’organisation MedConfidential, qui s’intéresse à la sécurité des données médicales, a dénoncé le manque de transparence de ce partenariat : « Les patients devraient savoir comment leurs données ont été utilisées. Que cache DeepMind ? Et pourquoi ? Vont-ils nous rendre des comptes sur la façon dont ils ont utilisé les données des patients ? », peut-on lire sur son site.
La critique qui revient le plus souvent est que les patients n’ont pas été informés de ce partenariat, et n’ont donc pas donné leur accord pour transférer leurs données à DeepMind. Mais le NHS a souligné que ce type de partenariat était courant et qu’il en existait déjà 1 500 – impossible de demander l’accord explicite des patients pour chacun d’entre eux.
« Ce n’est pas la première fois », confirme Neil Lawrence, chercheur en machine learning à l’université de Sheffield. « C’est mis en lumière parce qu’il s’agit de Google, mais il pourrait y avoir d’autres entreprises plus inquiétantes », explique-t-il, soulignant que de petites structures dépendant entièrement de ce type de projet étaient potentiellement plus problématiques qu’une organisation très surveillée comme Google.
Pour ce spécialiste de l’intelligence artificielle, le type d’analyses auxquelles se livre DeepMind sur ces données « va sauver des vies ». Mais à condition que le public l’accepte. Il faut donc, plaide-t-il, « que ces accords soient plus ouverts à l’avenir ».
Des données pour quelle utilisation ?
L’autre grande inquiétude concerne la sécurité de ces données et l’utilisation que pourrait en faire Google. Le cofondateur de DeepMind, Mustafa Suleyman, y a répondu dans les colonnes du Guardian, assurant qu’en tant qu’entreprise de Google, DeepMind disposait de« l’infrastructure la plus sécurisée pour gérer les données les plus sensibles du monde ».
L’accord avec le NHS prévoit quelques garde-fous : les données sont anonymisées, hébergées sur le territoire britannique, ne peuvent pas être utilisées par d’autres entités de Google, et DeepMind devra effacer sa copie à l’expiration de l’accord, prévue fin septembre 2017. « Le droit européen considère les données de santé comme très sensibles, mais il y a des exceptions liées à la recherche médicale », précise Jonathan Price, avocat spécialiste des données personnelles et des droits de l’homme. « Dans le cas de DeepMind, c’est ce genre d’exception qui s’applique, et ils sont soumis aux mêmes limitations que les professionnels de santé », qui manipulent quotidiennement ce type de données.
« Il faut être prudent »
Cela ne suffit pas à rassurer Eerke Boiten, spécialiste en cybersécurité à l’université du Kent : « Exploiter les données personnelles est le business de Google. Je ne pense pas qu’on puisse leur faire confiance. Il n’y aura aucun moyen de vérifier si les données ne seront pas utilisées à d’autres fins », assure le chercheur qui, lui aussi, s’interroge sur le secret régnant sur les contours du partenariat.
Pour lui, la transparence devrait aussi passer par la publication de l’algorithme utilisé par DeepMind pour traiter ces données : « Dans la recherche médicale traditionnelle, on utilise des données pour tester une hypothèse. Là, on va utiliser un programme pour poser une question beaucoup plus générique, et voir s’il détecte un modèle. Il faudra prendre garde à distinguer la causalité et la corrélation, être sûr que les informations obtenues dans cette masse de données sont valables plus généralement. La recherche en big data dans les données de santé est très prometteuse, mais il faut être prudent sur les biais. »
Et l’enjeu est loin d’être anecdotique : selon une étude du NHS, 40 000 personnes meurent chaque année au Royaume-Uni d’insuffisance rénale aiguë.
Aucun commentaire:
Enregistrer un commentaire