Cybersécurité Social

Les lois de confidentialité à la traîne derrière les technologies de la santé

17 décembre 2015

author:

Les lois de confidentialité à la traîne derrière les technologies de la santé

Droits réservés – The Washington Post / Worldcrunch – 20 novembre – Charles Ornstein | ProPublica

Dès qu’elle a repéré le test de paternité à domicile dans sa pharmacie de quartier, Jacqueline Stokes a su qu’il fallait qu’elle l’essaye. Pas parce que cette trentenaire de Floride doutait de l’identité du père de sa fille, non, plutôt parce que quand, comme elle, on témoigne un tel intérêt pour la génétique, on ne peut pas résister.De retour chez elle, elle a suivi attentivement les instructions : elle a frotté l’intérieur de la bouche de son mari et de leur fille avec un coton-tige, placé les échantillons dans la pochette prévue à cet effet puis les a envoyés à un laboratoire. Quelques jours plus tard, la consultante en sécurité informatique s’est connectée pour obtenir les résultats. Une partie de l’adresse web du laboratoire a attiré son attention et son instinct professionnel a vu juste. En modifiant légèrement l’URL, une arborescence est apparue et lui a donné accès aux résultats de tests de quelque 6 000 personnes.

Le site a été fermé après la récrimination émise par Stokes sur Twitter. Mais lorsqu’elle a contacté le département américain de la santé et des services sociaux au sujet de la violation évidente de la vie privée des patients concernés, elle s’est heurtée à une réponse surprenante : les fonctionnaires ne pouvaient rien faire à ce sujet.

Selon la loi fédérale appelée « Health Insurance Portability and Accountability Act » (HIPAA), votée par les États-Unis en 1996 et qui concerne entre autres la vie privée du patient, ne sont protégées que les données conservées par les prestataires de santé, les assureurs et les centres de données, ainsi que leurs partenaires commerciaux. Les tests de paternité à domicile ne relèvent pas de la compétence de cette loi. Les sociétés qui produisent des appareils connectés tels que le Fitbit qui mesure l’activité cardiaque et le sommeil, les sociétés de tests génétiques telles que 23andMe et les services web d’hébergement, où les individus peuvent stocker leurs dossiers médicaux, n’en dépendent pas non plus.

Dans plusieurs cas, la vie privée d’utilisateurs de ces nouveaux services a été compromise, provoquant embarras, voire conséquences juridiques.

En 2011, par exemple, une société australienne n’a pas correctement sécurisé les détails de centaines de tests de paternité et de dépistage de drogue, les rendant accessibles par simple recherche Google. La société a déclaré avoir rapidement réglé le problème.

Cette même année, certains utilisateurs de l’appareil Fitbit ont constaté que les données entrées dans leurs profils en ligne, concernant notamment leur activité sexuelle et la fréquence des rapports — dans le but d’aider à calculer le nombre de calories brûlées — étaient accessibles à tous, l’entreprise ayant configuré les profils comme « publics » par défaut. Déclarant prendre la vie privée de tous ses utilisateurs « très au sérieux », Fitbit a rapidement remédié à la situation.

L’année dernière, les forces de l’ordre américaines, alors à la recherche de suspects d’un meurtre commis dans l’Idaho en 1996, ont eu recours à une base de données généalogiques accessible au public. Après avoir trouvé une « très bonne adéquation » avec l’ADN du sperme trouvé sur la scène du crime, la police a obtenu un mandat de perquisition permettant d’obtenir le nom de la personne incriminée. Un autre mandat a obligé le fils du suspect à fournir un échantillon ADN, échantillon qui a prouvé l’innocence du jeune homme.

L’incident a effrayé les amateurs de généalogie ; AncestryDNA, qui gérait la base de données en ligne, a fermé boutique au printemps dernier. « Il apparaît que le site a été utilisé à des fins autres que celles auxquelles il était destiné, nous amenant à cesser nos activités », indique le site.

« Rendre publiques ses données génétiques, c’est ni plus ni moins autoriser l’accès à tous ses dossiers médicaux, passés et futurs », a déclaré Erin Murphy, professeur à la University School of Law de New York.

Selon les experts, la véritable ampleur du problème reste cependant difficile à déterminer, étant donné que bon nombre d’entreprises ne savent pas quand les informations médicales qu’elles stockent sont consultées à des fins frauduleuses. Toute une flopée de données potentiellement sensibles est ainsi à risque : diagnostics médicaux, marqueurs de maladie sur les gènes d’une personne, détail sur la paternité des enfants, etc.

Ce qui est clair, c’est que le Bureau des droits civils — l’agence de la santé et des services sociaux en charge de la fameuse loi HIPAA — n’a pris aucune mesure dans 60% des cas, pour la seule raison que les plaintes avaient déposées trop tard, ou retirées, ou parce que l’agence n’avait aucun pouvoir sur l’entité accusée. Ce dernier cas de figure concerne une proportion croissante des plaintes enregistrées, a déclaré une porte-parole du Bureau des droits civils.

Une loi de 2009 a appelé le Département de la santé à travailler de concert avec la Commission fédérale du commerce — qui s’occupe des pratiques commerciales déloyales ainsi que des vols d’identité — afin de soumettre au Congrès, dans l’année, une liste de recommandations concernant ces organisations de traitement des données médicales qui ne tombent pas sous le coup de la HIPAA. Six ans plus tard, aucune recommandation n’a été émise.

Le rapport est « en cours de finalisation », a déclaré Lucie Savage, directrice du Bureau du Département de la santé et des services sociaux pour le du coordinateur national des technologies d’information de la santé.

Rien de tout cela n’a été utile à Jacqueline Stokes, notre trentenaire de Floride et consultante principale au sein du cabinet de sécurité informatique Mandiant. Quatre mois après avoir déposé plainte auprès du Bureau des droits civils, on lui a suggéré de contacter la Commission fédérale du commerce. C’est à ce moment-là qu’elle a jeté l’éponge.

« C’est encore un peu trop le bazar pour l’instant », dit-elle.

Les progrès de la technologie permettent aujourd’hui aux patients de contrôler leur propre santé et contrôler ce qui jusque-là leur était impossible : à leur disposition, des balances connectées à Internet pour garder un œil sur leur poids; des électrodes reliées à leurs iPhones pour surveiller leur rythme cardiaque; des casiers virtuels pour ranger leurs dossiers médicaux…

« Les données médicales de consommateurs sont de plus en plus nombreuses », a déclaré Julie Brill, commissaire de la Commission fédérale américaine du commerce, lors d’un forum l’an dernier. Mais de nombreux utilisateurs ne se rendent pas compte que beaucoup des données sont stockées « à l’extérieur du silo que constitue la loi HIPAA. »

La HIPAA vise à faciliter la circulation de l’information médicale électronique, en assurant la protection de la vie privée et de la sécurité des données tout au long de la vie. Elle ne concerne que les prestataires de santé qui traitent les données par voie électronique. Une loi de 2009 y a adjoint les partenaires commerciaux qui gèrent les informations médicales pour le compte de ces entités. Les contrevenants sont passibles d’amendes et même de peines de prison.

« Si on voulait élaborer une loi sur la vie privée en partant de zéro, ce n’est pas comme ça qu’on s’y prendrait », a déclaré Adam Greene, un ancien responsable du Bureau des droits civils, aujourd’hui avocat dans le secteur privé à Washington.

En 2013, l’association à but non lucratif californienne Privacy Rights Clearinghouse a étudié 43 applications mobiles de santé et de fitness, gratuites et payantes. Le groupe a constaté que certaines ne fournissaient aucun lien vers une politique de confidentialité et que celles qui en proposaient une ne décrivaient pas de façon précise la façon dont elles transmettaient ces informations. Par exemple, de nombreuses applications, connectées à des sites tiers à l’insu des utilisateurs, envoient des données de manière non cryptée, exposant potentiellement des renseignements personnels.

« Les consommateurs ne devraient pas supposer que les données qu’ils confient à des applications mobiles sont privées — cela vaut également pour les données médicales qu’ils jugent sensibles », a indiqué l’association.

Imaginez une femme qui porte un moniteur fœtal sous ses vêtements, envoyant des alertes à son téléphone. Le dispositif « parle » à son smartphone via la technologie sans fil Bluetooth ; sa présence sur un réseau peut être détectée par d’autres, les renseignant sur le fait que cette personne est enceinte ou qu’elle s’inquiète de la santé de son bébé.

« Nous avons très souvent vu cela dans le marché de la technologie », a déclaré David Kotz, professeur de sciences informatiques à l’université de Dartmouth et chercheur principal d’un projet financé par le gouvernement fédéral pour développer une technologie sécurisée dans le domaine de la santé et du bien-être. « La plupart du temps, ce sont les capacités de l’application ou du dispositif qui font vendre, et à moins qu’il y ait une raison commerciale, une pression de la part des consommateurs ou une réglementation fédérale, la sécurité et la confidentialité ne font pas partie des priorités. »

En Floride, Jacqueline Stokes fait partie de ces personnes qui sont éprises de technologies médicales émergentes. Il y a quelques années, elle s’est précipitée pour s’inscrire sur 23andMe afin d’analyser son profil génétique. Et quand elle est tombée enceinte, elle a tout de suite acheté un test censé pouvoir déterminer le sexe du fœtus (et qui, soit dit en passant, s’est trompé).

Le kit de test de paternité qui a suscité son intérêt au début de l’année annonçait une « précision garantie » pour « 1 père présumé et 1 enfant ». Il a été produit au Nouveau-Mexique par les laboratoires d’essais génétiques GTLDNA, puis par une branche de la compagnie General Genetics Corp.

Lorsque Jacqueline s’est connectée pour voir ses résultats, elle a remarqué une adresse Internet inhabituelle sur son écran ; elle s’est alors demandé ce qu’il adviendrait si elle la modifiait, en supprimant l’identifiant qui lui avait été assigné. C’est ainsi qu’elle est tombée sur un dossier source contenant les résultats de milliers d’autres personnes, auquel elle avait eu accès en un seul clic. « Ce n’est pas vraiment du piratage », a-t-elle dit. « C’est plutôt une porte grande ouverte ».

Bud Thompson, directeur de General Genetics jusqu’au mois dernier, a d’abord prétendu ne pas avoir entendu parler de la découverte de Stokes. À la suite de quoi un courriel officiel a tenu lieu d’explication.

« Il y a eu une erreur de codage dans le logiciel qui a permis à quelqu’un d’être en mesure de consulter les résultats des autres clients. La personne en a informé le laboratoire et le site a immédiatement été fermé pour résoudre ce problème », écrit-il. « Depuis cet incident, nous avons vendu cette branche de notre entreprise et nous avons cessé toutes les activités du laboratoire. »

Déjà secouée par son expérience, Jacqueline Stokes a été particulièrement découragée par la réponse du Bureau du Département des droits civils. « J’ai été choquée de recevoir ce message de la part du gouvernement, me disant que mes données n’étaient pas protégées par la législation en vigueur et que, par conséquent, personne ne s’intéresserait à mon cas », a-t-elle déclaré.

Le directeur adjoint de l’agence pour la protection des renseignements médicaux a assuré qu’il n’y avait là aucune forme de désintérêt : bien qu’il délègue quelques dossiers aux autorités policières, le Bureau des droits civils arrive à peine à gérer les plaintes qui relèvent de sa compétence.

«  On voudrait bien pouvoir s’occuper de tout le monde », a déclaré Deven McGraw. « Nous nous efforçons d’être un endroit où chacun peut obtenir une aide adaptée, mais nous n’en avons tout simplement pas les moyens ».

Ornstein est grand reporter chez ProPublica, une organisation de presse à but non lucratif basée à New York. Andrea Hilbert, chercheur, a contribué à ce rapport.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *