Vie privée : l’étrange parcours de vos données de santé
▻https://plus.lesoir.be/362026/article/2021-03-22/vie-privee-letrange-parcours-de-vos-donnees-de-sante
Vous pensiez que vos données médicales vous attendaient tranquillement à l’hôpital. En réalité, elles transitent par une filiale d’un conglomérat américain, sont stockées en Allemagne et traitées en Russie. Ce qui n’est pas sans risque pour votre vie privée. Une enquête menée par « Le Soir » et le magazine « Médor ».
Depuis plusieurs années, vos données d’hospitalisation s’échappent en Russie. C’est là-bas que les bureaux d’un sous-traitant de la société 3M sont installés. Un transfert d’informations sensibles – des données de santé, entre autres – qui n’est actuellement pas organisé en respectant l’ensemble des garanties essentielles prévues par le RGPD (règlement général sur la protection des données, NDLR).
En cause ? Des contrats « passoires » d’un point de vue vie privée passés entre 3M Belgium et des hôpitaux du pays, qui portent sur la fourniture d’un logiciel informatique, dont les prestataires de soins de santé peuvent difficilement se passer. Le Soir et Médor ont pu les consulter.
Quasi tous les patients concernés
Premier problème : les risques pèsent sur les données médicales d’un nombre considérable de patients belges.
Le recours au logiciel développé par l’Américain 3M et commercialisé par sa filiale belge est en effet quasi généralisé en Belgique, conséquence, entre autres, d’un vieux monopole instauré par le biais de nos autorités (lire ci-dessous). « Une majorité des hôpitaux l’utilisent », confient responsables d’hôpitaux et différentes fédérations du secteur, sans jamais communiquer de chiffres précis. La dépendance à ce programme est une réalité, particulièrement pour les structures de plus petites tailles. « Personne n’arrive aux chevilles de 3M. L’outil est essentiel », précise, notamment (beaucoup d’intervenants ont préféré s’exprimer « off the record » sur ce dossier), André le Maire, directeur de l’information chez Vivalia, intercommunale des soins de santé en province du Luxembourg.
Son objectif ? Épauler les hôpitaux dans leur gestion financière. En Belgique, l’État les finance par type d’hospitalisation et de patients. Des budgets découpés en « blocs » et calculés sur base de moyennes nationales mesurées dans tous les établissements du pays, avec un décalage de plusieurs années dans le temps (le budget 2020 est ainsi délivré sur base des moyennes de 2018 et 2017).
Le logiciel de « benchmark » offre aux clients de 3M, les hôpitaux, contre rémunération bien sûr, la possibilité de se comparer entre eux, presque en temps réel, via une analyse poussée et segmentée. En d’autres mots, si un hôpital constate que, pour une certaine pathologie et un certain type d’hospitalisation, ses médecins engagent des moyens trop importants par rapport à ceux de leurs pairs (durée de séjour trop longue, trop d’actes fournis…), il peut, directement, rectifier le tir. « En résumé, on peut tout de suite aller voir les médecins pour leur dire : vous consommez trop dans votre pratique médicale, les autres sont plus performants que vous », simplifie le directeur d’une clinique wallonne.
Des contrats « brouillon »
Deuxième problème : les contrats conclus entre 3M et les hôpitaux sont peu respectueux des garanties prévues par le RGPD.
Un gros hôpital du pays, qui ne souhaite pas être cité, explique « avoir refusé d’utiliser l’outil de “benchmarking” en raison d’un procédé trop risqué appliqué à des données sensibles. Notamment parce que les contrats engagent pour trois années et parce que les données sont traitées en Russie ».
Nous avons confronté les documents en notre possession à l’expertise de deux juristes spécialisés. Jean-Marc Van Gyseghem, d’abord, chercheur en droit à l’UNamur, avocat spécialisé dans la protection des données personnelles, associé chez Rawling Giles qui avait, à la demande d’une partie prenante, déjà réalisé une analyse complète de leur compatibilité avec le droit européen. Franck Dumortier, ensuite, chercheur Cyber and Data Security LAB à la VUB et consultant en sécurité des données, qui a examiné les termes à notre demande. Les deux confirment que l’hôpital en question a raison de se méfier.
Rappelons-le : les données manipulées, parce qu’elles concernent votre dossier de santé, sont précieuses. Il s’agit du résumé minimum hospitalier (qui contient un numéro de patient et de séjour propre à l’hôpital, les actes infirmiers et médicaux invasifs posés, vos pathologies…) et des données de facturation (données de contact du patient, médicaments prescrits, date d’entrée et de sortie…). Il est impératif – le secret médical n’existe pas pour rien – que ces informations ne tombent pas dans les mains de n’importe qui, qu’elles ne soient pas un jour utilisées « contre vous », à des fins discriminantes notamment. C’est pourquoi, elles sont classées « sensibles » par le RGPD. Leurs traitement, stockage et transfert sont encadrés par des règles complexes et strictes.
Dans le cas qui nous occupe, le parcours effectué par les données est le suivant : un premier transfert est opéré depuis les hôpitaux vers 3M Belgium, un deuxième transfert est ensuite effectué depuis 3M Belgium vers Smart Analytics, présentée comme une entreprise américaine mais dont les bureaux sont localisés en Russie. Les données sont « physiquement » stockées en Europe (en Allemagne, précisément) mais « elles sont rendues accessibles en Russie, ce qui constitue bien un transfert au sens du RGPD », précise Franck Dumortier.
Pour de tels voyages, les principes de sécurité informatique recommandent de « gommer » le lien entre les données et l’identité des patients. Soit via l’anonymisation : le procédé est alors irréversible, le lien brisé et tout problème en termes de vie privée est, de facto, écarté. Soit via la pseudonymisation : le procédé est réversible, plus ou moins difficilement, selon les mesures de sécurité déployées (niveau de cryptage, etc.). Les contrats 3M ne mentionnent jamais l’anonymisation. « Sur base des documents que j’ai pu voir, les données personnelles qui seront manipulées ne sont pas listées avec suffisamment de précision. En outre, le contrat rend la pseudonymisation obligatoire uniquement pour le transfert vers Smart Analytics, pas pour le stockage des données en Allemagne, c’est un problème. Par ailleurs, en ce qui concerne la transmission des données vers la Russie, le type et le niveau de pseudonymisation ne sont pas assez détaillés dans le contrat », poursuit Franck Dumortier.
Traduction ? En cas de hacking, il est impossible de savoir si les données stockées en Allemagne seront suffisamment protégées pour empêcher la ré-identification des patients. En ce qui concerne les données transmises vers la Russie, nul ne sait avec précision sur quelles données « pseudonymisées » les autorités russes pourraient mettre la main. En tous les cas : 3M ne s’engage pas contractuellement à apporter un niveau de protection suffisant à ces égards.
Un transfert sans balise vers la Russie
Comme 3M sous-traite la maintenance et la mise à jour des bases de données à une entreprise logée dans un pays tiers, le principe d’adéquation s’impose : le niveau de protection des données sensibles dans le pays tiers en question doit être le même qu’en Europe. Aux États-Unis comme en Russie, ce n’est pas le cas. Le transfert peut cependant avoir lieu dans le cadre de contrats (une clause contractuelle type dans le jargon ou « CCT », NDLR) passés entre entreprises.
3M a bien signé une CCT avec Smart Analytics USA mais il n’y a pas de trace à notre connaissance d’un tel document avec ses bureaux russes. « Un arrêt récent de la Cour de Justice européenne remet en outre fortement en question la validité des CCT », explique Jean-Marc Van Gyseghem. « À la lecture du contrat, il nous semble très difficile de considérer ce transfert vers la Russie comme conforme au RGPD. La responsabilité des hôpitaux pourrait clairement être engagée en cas de problème ».
Parmi, les complications possibles, comme mentionné plus haut, les services secrets russes pourraient très bien contraindre Smart Analytics à leur communiquer les données pseudonymisées…
« En décidant de traiter les données en Russie, 3M définit pourtant un moyen essentiel de leur traitement. Il s’agit là d’un indice parmi d’autres, selon moi, pour considérer que l’entreprise est “coresponsable”. Or le contrat la considère comme un simple sous-traitant », poursuit Franck Dumortier.
Une telle requalification des rôles impliquerait beaucoup plus de transparence pour le patient. Une base légale, soit son consentement éclairé ou un texte de loi qui encadrerait le traitement de ses données par l’entreprise privée, premièrement. Une obligation pour 3M de décrire au patient quelles données sont utilisées, par qui et dans quel but, ensuite. Enfin, 3M verrait sa responsabilité accrue en cas de violation constatée.
Actuellement, c’est l’hôpital qui encaissera quasi toutes les conséquences d’une mauvaise utilisation des données. Avec, notamment, des sanctions financières à la clé, potentiellement très lourdes. « Si une plainte est déposée par un patient et reçue, ce qui n’est pas le cas à ma connaissance, une annulation du contrat est possible, comme une amende qui peut aller jusqu’à 20 millions d’euros », expose Hielke Hijmans, président de la chambre contentieuse de l’Autorité de protection des données.
Le patient, grand perdant ?
Au sein des hôpitaux, le sujet est visiblement sensible ces derniers mois. On nous confirme cependant partout – même si le contrat ne le prévoit pas obligatoirement – que « les données sont cryptées avant envoi à 3M ». Via un logiciel fourni par l’entreprise mais développé par un tiers. Des sources internes, notamment actives dans les départements de sécurité informatique, disent avoir, malgré la présence de cet outil, des inquiétudes, qu’elles ont parfois partagées avec leur direction : « 3M nous a juste dit qu’il s’agit d’un programme de cryptage. En fait, l’hôpital encode les données et le logiciel tourne mais on n’en sait pas plus. Aucune information n’est communiquée. Les contrats ne sont jamais lus à fond, une question de priorités » ; « On peut imaginer que 3M pourrait facilement décrypter les données »…
Le dossier a donc atterri sur le bureau des fédérations du secteur. Du côté francophone, Santhea (fédération des hôpitaux publics) n’a pas donné suite à nos questions ; l’Unessa (fédération des hôpitaux privés) dit ne pas pouvoir se prononcer sur « des contrats auxquels elle n’a pas accès ». Du côté néerlandophone, Zorgnet Icuro, fédération des hôpitaux flamands, a récemment commandé une analyse de la conformité des contrats au RGPD au cabinet EY. Ce document ne nous a pas été communiqué. « Sur le plan technique, EY n’a relevé aucun problème ni danger concernant le traitement des données et la sécurité des systèmes (…). Les changements suggérés ne signifient pas que les contrats actuels enfreignent le RGPD, ils clarifient plutôt le rôle et les responsabilités de chaque partie », assure un responsable. 3M se serait engagé à effectuer les modifications recommandées lors du renouvellement des contrats.
Deux détails qui n’en sont pas : la problématique d’une sous-sous-traitance à la Russie ne semble pas avoir été abordée par l’audit d’EY, qui confirme également le fait que 3M n’est qu’un sous-traitant. L’entreprise n’aurait donc à l’avenir pas grand-chose de plus à justifier au patient inquiet du sort réservé à sa vie privée.
Ce dernier serait-il le grand perdant ? « Il a droit, en tout cas, à plus de transparence. Actuellement, il ne sait rien. Mais je pense que les hôpitaux sont également victimes de la position quasi-monopolistique de 3M », estime Jean-Marc Van Gyseghem.
Les explications de 3M Belgium
Amandine Cloot et A.C.
« 3M Belgium reconnaît la sensibilité des données relatives à la santé qui lui sont confiées et a pris des mesures significatives pour assurer la protection des droits et libertés des personnes concernées lorsque leurs données sont traitées par nos produits. Nous collaborons étroitement avec les hôpitaux belges pour leur fournir les garanties requises par le RGPD, dans nos contrats en tant que sous-traitant, pour leur compte. 3M Belgium propose à ses clients des contrats de traitement des données, ainsi qu’une description de nos garanties pour permettre aux délégués à la protection des données des hôpitaux d’évaluer leur pertinence. Toutes les données traitées sont codées, pseudonymisées et cryptées avant d’être soumises aux serveurs. Ni 3M Belgium, ni ses sous-traitants, n’ont la capacité d’identifier les patients individuels dans l’ensemble des données fournies par les hôpitaux. En outre, toutes les données sont physiquement stockées dans l’Espace Économique Européen. Nous utilisons un sous-traitant, dénommé Smart Analytics, qui a fait l’objet d’une évaluation complète et qui s’est engagé contractuellement à fournir le même niveau de protection que celui que 3M Belgium offre aux hôpitaux belges. Le personnel de Smart Analytics étant situé en Russie, des clauses contractuelles types (CCT) sont conclues afin de garantir aux personnes concernées l’opposabilité de leurs droits et des recours juridiques effectifs. »
#[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #santé (...)
##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##3M
