Dans le quatrième article de la série « Réimaginer les soins de santé », nos chercheurs et chercheuses se penchent sur la confidentialité des données et la santé. Le volume des données de santé ne cesse de croître, le secteur de la santé générant à lui seul 30 % du volume mondial.1 Dans le même temps, les individus du monde entier continuent de manipuler leurs données de santé sur de multiples plateformes numériques. Cette situation soulève de nouveaux défis en matière de protection des données personnelles et de la vie privée.
Si, dans de nombreux pays, les données du secteur de la santé sont hautement contrôlées et réglementées par des lois sur la protection des données, ce n’est pas le cas des données de santé enregistrées sur les plateformes grand public et qui appartiennent aux géants de la technologie tels que Google, Apple, Facebook, Amazon et Microsoft – qu’il s’agisse de rendez-vous avec des médecins ou des cliniques, de photos et de notes sur des problèmes de santé, de recherches et de requêtes sur ChatGPT ou de détails partagés sur des affections.
Ces données dites « données de santé fantômes » peuvent fournir un aperçu détaillé de la santé d’un individu. Combinées à diverses sources, elles peuvent offrir un niveau de détail similaire à celui des dossiers médicaux classiques. Les géants de la technologie se sont intéressés à ce domaine, car le secteur est lucratif. Les dépenses de santé mondiales atteignant un nouveau record de 9 000 milliards de dollars, soit environ 11 % du PIB mondial. 2
« Si vous consultez les politiques de confidentialité de Google Calendar, par exemple, les données d’agenda ne sont pas considérées comme sensibles parce que cet outil n’a pas été conçu pour les données de santé spécifiquement. Si vous prenez un rendez-vous dans une clinique d’avortement, ces informations sensibles sont connues du fournisseur de service. Cela arrive à un moment où nous sommes de plus en plus nombreux à créer des profils numériques de notre santé », explique le professeur Kévin Huguenin à HEC Lausanne. Il dirige également le laboratoire de sécurité de l’information et de protection de la vie privée de l’Université de Lausanne.
Avec une doctorante de son équipe, Yamane El Zein, et d’autres collègues, Kévin Huguenin a étudié la création de données de santé fantômes. Dans un premier temps, l’objectif était de comprendre, en organisant des groupes de discussion avec des chercheurs et chercheuses suisses dans les domaines du droit, des technologies de l’information et de la santé, ainsi qu’avec des étudiant·e·s, les types d’informations créées et les comportements qui mènent à leur création. Une enquête en ligne à grande échelle a ensuite été menée aux Etats Unis afin de déterminer à quel point ces comportements sont connus et répandus dans la population.
L’étude a montré que la création de données de santé dites fantômes est très répandue et que les gens prennent rarement des mesures de protection pour la limiter. Plus de 80 % d’entre eux inscrivent des rendez-vous médicaux dans leur agenda numérique, 78 % achètent des produits de santé en ligne et 95 % saisissent des informations relatives à la santé dans les moteurs de recherche. En fait, de nombreux individus font exactement le contraire, intentionnellement ou par inadvertance, en synchronisant des données dans le « cloud », ce qui exacerbe les risques.
« Je ne veux pas convaincre les gens de ne pas partager ou de ne pas créer de telles données sur leur santé. Je veux simplement qu’ils en soient conscients. Tout le monde doit savoir que l’utilisation d’un outil numérique a des conséquences et nous devons disposer de toutes les informations nécessaires pour peser le pour et le contre », explique le Prof. Huguenin.
Il ajoute : « Il faut que les gens comprennent que lorsqu’ils inscrivent des données médicales dans leur agenda, Google ou Microsoft peuvent les lire. Le géant de la technologie peut alors établir leur profil sur la base de ces données et les communiquer à des annonceurs. Ces données ne sont pas systématiquement considérées comme médicales et ne bénéficient donc pas du niveau de protection exigé par la loi pour les données relatives à la santé. »
L’une des conclusions de l’étude est qu’il s’agit d’un défi important, car un nombre significatif de personnes interrogées ont adopté des comportements qui contribuent à la prolifération des données de santé fantômes. Il n’est pas surprenant que la réglementation entre maintenant en vigueur. Quelques états américains, du Washington au Nevada, ont mis en place des lois sur ces données de santé. Après des années de réglementation légère, les législateurs sont en train de rattraper leur retard.
« Il est probable que la protection de la vie privée des individus en matière de santé devienne une question plus importante dans un avenir proche », conclut le Prof. Huguenin.
Références :
- Data, digital worlds, and the avatarization of health care, Jane Thomason, Global Health Journal, mars 2024
- Dépenses mondiales de santé, Organisation mondiale de la santé, décembre 2022
- Shadow Health-Related Data: Definition, Categorization, and User Perspectives, Yamane El Zein, Kavous Salehzadeh Niksirat, Noé Zufferey, Mathias Humbert and Kévin Huguenin, Proceedings of the European Symposium on Usable Security (EuroUSEC), Oct 2024.
