La sécurité sociale britannique a conclu un partenariat avec PA Consulting afin d’analyser, à des fins statistiques, les quantités gigantesques de données de santé dont elle dispose.
Le cabinet, pour des raisons de performances techniques, a choisi d’utiliser le service Google BigQuery. Ce choix, au regard des risques qu’il présente, fait aujourd’hui débat en Grande Bretagne.
Les britanniques deviennent-ils, eux aussi, attentifs à leurs données personnelles ?
En Grande Bretagne, les citoyens et le gouvernement sont moins sensibles à cette problématique qu’en France. Mais cette affaire fait pourtant la une. Il faut reconnaitre que les données manipulées sont sensibles, que les résultats des analyses encore davantage et que le choix d’utiliser le service de Google semble avoir été fait sans en mesurer tous les risques.
En effet, la NHS (National Health Service) indique que les données de santé manipulées ne permettraient pas d’identifier un individu, et que Google n’aurait pas le droit d’accéder aux données. Et pourtant, la précision géographique de ces données semble permettre, par des jeux de recoupage, de retrouver des individus (les valeurs statistiques finissant pas se baser sur un nombre très limité d’individus, parfois un seul, ce qui permet de les identifier).
En définitive, à trop vouloir banaliser la situation, la NHS a mis le débat sur le devant de la scène. Reste à savoir si cet évènement n’est qu’un feu de paille ou de nature à faire évoluer en profondeur l’attention que porte les britanniques à leurs données personnelles.
Diffusion des données de santé, un exemple reproductible en France ?
De par la LIL, une telle situation est plus difficilement imaginable en France.
Au sens de la loi, les données de santé sont sensibles et leur manipulation nécessite une autorisation. Le transfert de données à un tiers serait soumis à une validation par la CNIL, qui n’aurait pas été accordée si le transfert ne garantissait pas l’anonymat.
À noter toutefois, exemple parmi d’autres, que la CNIL avait dénoncé il y a moins d’un an l’accès donné par l’hôpital de Saint-Malo à des prestataires à des dossiers médicaux non anonymisés. Ces deux actualités démontrent une nouvelle fois l’importance pour les assureurs et mutuelles, gros collecteurs de données de santé, de bien évaluer et anticiper les risques résultant de leur manipulation de données de santé.