Récemment, le New York Times a analysé une base de données de localisation d’une entreprise qui achète et vend des données issues d’applications [1]. Il s’agit des données que les applications utilisent pour localiser une personne et afficher la météo ou les nouvelles locales sur son téléphone, par exemple. Malgré leur anonymisation, ces données parfois très précises sont mises à la disposition d’entreprises publicitaires, de commerçants ou même de fonds spéculatifs qui cherchent à connaître le comportement des consommateurs. Dans certains cas, la localisation est actualisée jusqu’à 14 000 fois par jour, ce qui génère une quantité d’informations phénoménale. Aux Etats-Unis, plus de 75 entreprises suivent et analysent les données de près de 200 millions d’appareils mobiles. Foursquare est l’une d’entre elles; comme son application est compatible avec de nombreuses applications très répandues (Twitter, Uber ou encore TripAdvisor), elle sait où se trouvent les appareils en temps réel. Sur la base de ces données, elle établit ensuite un profil indiquant où une personne est allée et vers où elle se dirige, dans le but d’influencer ses actions.
Bien qu’elles soient anonymes, les données de localisation peuvent révéler des détails très intimes sur une personne. En 2013 déjà, un article publié dans la revue Nature avait souligné le caractère unique des données de localisation [2], qui permettent de retrouver la trace d’une personne avec très peu d’informations externes. L’utilisateur doit certes donner son consentement pour activer et autoriser le transfert de ses données, mais malheureusement, peu de gens ont conscience des conséquences que cela implique. Même dans un domaine aussi sensible que celui de la santé, de nombreux Suisses seraient en effet prêts à fournir leurs données, comme l’a montré une enquête commandée par Comparis, publiée il y a quelques jours [3]. Les possibilités diagnostiques étant toujours plus nombreuses et faciles d’accès, il devient de plus en plus difficile d’anonymiser les données de santé. Il en va de même dans le domaine de la génomique ou du diagnostic moléculaire, dans lequel le traitement sûr et conforme à la loi de données à l’aide du cloud computing représente actuellement un véritable défi pour la recherche biomédicale.
Sans aller jusqu’aux grands réseaux de recherche, les problèmes commencent au cabinet médical déjà, lorsque les données médicales sont stockées dans le cloud ou que le cabinet est intégralement géré via un logiciel à distance. Ces données et programmes étant hors de la sphère d’influence directe du médecin, il faut s’assurer que les tiers qui traitent les données respectent les mesures de protection et de sécurité des données afin de préserver le secret médical. Cela est d’autant plus vrai lorsque des prestataires intermédiaires sont impliqués (p. ex. pour la facturation). Pour garantir le secret médical et le respect du devoir de diligence des médecins, la FMH a récemment élaboré un projet de contrat1 pour les services à distance (cloud), comprenant un ensemble d’exigences minimales. J’encourage vivement tous les médecins qui souhaitent franchir le pas à utiliser ce modèle et à exiger systématiquement des fournisseurs de services cloud qu’ils respectent ces consignes.
Références
1 Valentino-DeVries J, Singer N, Keller M, Krolik A. Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret. New York Times. 10 Dec 2018.
2 de Montjoye Y-A, Hidalgo CA, Verleysen M, Blondel VD. Unique in the Crowd: The privacy bounds of human mobility. Sci. Rep. 2013;3:1376.
