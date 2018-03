Les outils informatiques utilisés ne devront comporter « aucune forme de publicité ou de promotion » et ne devront pas orienter les décisions cliniques « de façon à faire la promotion d'un médicament, d'un produit ou d'un service en particulier ». Pour le Collège des médecins, toute commercialisation doit être interdite, même si les données étaient rendues anonymes et même si les patients étaient consentants. « Il faut arrêter d'exploiter le service pour autre chose que ce que les clients [les médecins] demandent. »

« C'est une crainte légitime », confirme Richard Khoury, spécialiste des données massives et de l'anonymisation et professeur au département d'informatique et de génie logiciel de l'Université Laval (plus de détails au dernier onglet).

Ce qui est sûr, pour les experts consultés par La Presse, c'est que tout usage secondaire des données par les fournisseurs doit être formellement interdit par le gouvernement. « Même avec des données rendues anonymes, on peut découvrir beaucoup de choses. On n'a pas réfléchi assez longuement à toutes les implications et à toutes les mesures à prendre », prévient le secrétaire du Collège des médecins.

En 2015, le logiciel s'est mis à identifier automatiquement ses patients assurés chez Desjardins. « Quand je tentais de leur prescrire un médicament, le système déterminait si l'ordonnance lui semblait coûteuse et me suggérait des médicaments de rechange », raconte le D r Hervieux, qui a exigé que cette fonction soit désactivée.

Un médecin de famille de Lavaltrie, le D r David Hervieux, talonne les autorités depuis au moins trois ans. Il y a 15 mois, le ministère de la Santé lui avait répondu que le problème était « aussi malheureux que bien connu », mais qu'il ne voyait « aucun levier [lui] permettant d'intervenir » et cherchait comment « juguler cette pratique potentiellement contraire aux lois et règlements de protection des renseignements personnels si chers aux Québécois ».

Nos demandes de précisions ont fait rebondir le dossier au bureau du ministre. « Vous avez mis le doigt sur un enjeu réel. Maintenant que je suis au courant, on va agir, c'est certain », promet le D r Gaétan Barrette, qui a demandé à son contentieux d'« explorer les voies légales » pour pouvoir lancer des enquêtes.

Le ministère de la Santé et des Services sociaux a écrit à La Presse qu'il avait « effectué un rappel aux fournisseurs et aux médecins de leurs obligations déontologiques », mais qu'il n'avait « pas été en mesure de confirmer s'il y avait eu des échanges ou des ventes de données », auquel cas, le fournisseur visé aurait perdu sa certification.

« Un ministère aussi puissant que celui de la Santé est tout à fait capable de négocier fort avec des fournisseurs qui offrent des services à des milliers de professionnels de la santé », renchérit le professeur Bryn Williams-Jones, qui dirige des programmes de bioéthique à l'Université de Montréal. « Ça prend le courage politique de dire : on n'est pas à la merci des grandes entreprises, et s'il y a un problème de protection de la vie privée, on va favoriser un autre partenaire. Il doit négocier en fonction du bien commun, parce que ce sont nos impôts qui servent à payer ces services-là. »

Si les renseignements personnels sont supprimés d'un vaste ensemble de données avant leur transmission, a-t-on la garantie que notre vie privée sera protégée ? Non, répond Richard Khoury, professeur agrégé au département d'informatique et de génie logiciel de l'Université Laval. Explications.

COMMENT FAIT-ON POUR RENDRE LES DONNÉES ANONYMES ?

Rendre des données anonymes ne consiste pas à noyer des données dans la masse en se disant qu'on ne pourra les retrouver, précise le professeur et membre du Centre de recherche en données massives de l'Université Laval. Pour « anonymiser », on doit supprimer les attributs qui permettent d'identifier les individus (comme les noms et numéros d'assurance sociale, etc.). Il faut parfois supprimer aussi leurs « quasi-identifiants » (code postal, date de naissance et sexe, permettant des déductions faciles une fois combinés), à moins que leur combinaison n'apparaisse plusieurs fois.

Anonymiser entraîne toutefois une perte de précision des données, souligne le professeur, ce qui rend plus risquées les prises de décision qui en découlent.

EST-CE UNE PROTECTION SOLIDE ?

« Pas forcément, la crainte de "désanonymisation" [ou réidentification] est une crainte assez légitime, répond le professeur, car il existe des moyens assez faciles et précis d'y parvenir. »

La vaste majorité des gens ont certains attributs rares ou ont des combinaisons uniques d'attributs, dit-il. Même si on ne peut pas toujours trouver une personne précise, on a donc souvent une forte probabilité de trouver un individu en croisant la banque de données anonymes avec des banques de données qui ne le sont pas (registre électoral, Facebook, Twitter, etc.). « On pourra reconnaître la majorité des individus avec un niveau de confiance élevé. »

EST-CE ARRIVÉ ?

C'est avec ces méthodes que les sociétés pharmaceutiques parviennent à savoir quel médecin précis prescrit quels médicaments précis, répond le professeur Bryn Williams-Jones, qui dirige les programmes de bioéthique à l'Université de Montréal et est rédacteur en chef de la Revue canadienne de bioéthique.

Une anonymisation ratée a aussi coûté cher à Netflix. En 2009, une mère de famille secrètement homosexuelle et trois autres clients ont poursuivi l'entreprise en l'accusant d'avoir « délibérément violé la vie privée de ses membres pour son bénéfice et sans le consentement des individus », rapporte le professeur Khoury. La résidante de l'Ohio a déclaré qu'elle n'aurait jamais noté de films si elle avait su que l'information serait incluse dans un ensemble de données, expliquant que si son orientation sexuelle devenait publique, « cela nuirait à [sa] capacité de garder son emploi, de soutenir sa famille et de vivre paisiblement avec ses enfants dans sa communauté ».

Netflix (qui a réglé à l'amiable sans admettre sa responsabilité) avait transmis aux participants à un concours les notes accordées à près de 18 000 films par près d'un demi-million de clients (après avoir enlevé leurs renseignements personnels). Il suffisait de croiser une poignée d'informations (titre des films notés, notes accordées et dates) avec celles se trouvant sur des sites d'utilisateurs enregistrés (comme IMDb) pour découvrir qui était qui.

Le problème, c'est que les amateurs de cinéma se permettaient de noter une plus grande variété de films sur Netflix, parmi lesquels des titres susceptibles de révéler leur religion, leurs préférences sexuelles ou leur allégeance politique.

Netflix a versé 9 millions pour régler un cas similaire deux ans plus tard, ajoute le professeur Khoury.

QUE PRÉVOIT LA LOI AU QUÉBEC ?

La Loi sur la protection des renseignements personnels dans le secteur privé exige qu'avant toute collecte, une entreprise obtienne le consentement des individus et leur fournisse un objectif précis pour cette collecte. La même loi interdit le partage des informations rendues anonymes ainsi que leur diffusion en dehors du Québec, affirme le professeur Khoury. « Il ne faut pas qu'elles se retrouvent dans un paradis de données où des gens pourraient en faire ce qu'ils veulent. Ce ne sont pas tous les pays du monde qui ont de bons règlements. »

Le ministre de la Santé, Gaétan Barrette, a indiqué à La Presse qu'il était en train de vérifier si la Commission d'accès à l'information, chargée d'appliquer cette loi, pouvait enquêter sur l'utilisation des dossiers médicaux électroniques.

« Depuis 10 ou 20 ans, on a enlevé leurs pouvoirs à ces structures parce qu'elles sont sous-financées, ce qui les rend incapables de faire leur travail », déplore toutefois le professeur Williams-Jones.

Au fédéral, un juge a écrit en 2016 que les métadonnées « [pouvaient] dévoiler des détails spécifiques et intimes sur des individus », rapporte le professeur Khoury. Le magistrat a donc décidé que le Service canadien du renseignement de sécurité ne pouvait les conserver de façon indéfinie dans une banque, et devait se limiter aux informations « strictement nécessaires » aux fins d'enquête.

LA TRANSMISSION DE DONNÉES RENDUES ANONYMES PEUT-ELLE ÊTRE ACCEPTABLE ?

« Ça pourrait être acceptable de dire que l'État, pour le bien commun, peut les utiliser, car le citoyen en bénéficie, répond le professeur Williams-Jones. Mais ça doit être explicite qu'on recueille des données pour le bien public. Et il faut faire savoir aux gens qu'on a fait le travail de sécurisation en amont, pour s'assurer que cela ne leur nuira pas. »

Le bioéthicien voit d'un tout autre oeil leur utilisation par des entreprises. « Dans ce cas-là, comme citoyen, on n'est pas du tout au courant et on est totalement à l'extérieur de cet échange. Il y a prise de contrôle unilatérale de l'information, dit-il. Ça porte atteinte à la relation de confiance entre un patient et son médecin. Le médecin n'est plus capable de faire ce que les lois exigent de lui. »

« Les données massives créent des possibilités immenses de changer notre société, pour le meilleur et pour le pire. Il est essentiel d'exiger la transparence et [la reddition de comptes] de la part de nos gouvernants et des industries. »

COMMENT DIFFÉRENCIER LES DONNÉES EN JEU ?

Les données massives sont un « ensemble phénoménal de données », indique le professeur Khoury. Que ce soit sur le plan du volume (permettant de rassembler une vaste quantité de données sur la même personne), de la vélocité (plusieurs milliers de messages à la seconde) ou de la variété (textes, images, etc.). Le Québec comptant plus de huit millions d'habitants et leurs dossiers médicaux étant détaillés, cela représente des données massives, estime-t-il.

Les métadonnées sont des « données à propos de données » (ou associées à des données). Dans le cas d'un dossier médical, il peut s'agir de la date et de l'heure d'une consultation, du nombre de consultations, du nombre de médicaments prescrits, etc. Ce sont parfois des renseignements consolidés ou des statistiques.