ARS Paca : alerte aux fuites de données

À l’heure du « Pass sanitaire », nos données de santé sont précieuses. D’après Cash Investigation, c’est en Europe un marché de 400 milliards d’euros ! Or ces données sont sensibles et particulièrement protégées. Pour les sécuriser, l’Agence régionale de santé Paca (ARS) a confié à IESS, « Innovation e-Santé-Sud » – une structure basée à Hyères (1) – le soin d’établir un état des lieux et d’accompagner les acteurs de la santé afin d’atteindre « un niveau de sécurité adapté à leur activité et à se mettre en conformité avec le RGPD », le fameux Règlement général de protection des données.

De quoi interpeler Keltoum Chaouche. Cette data scientist de vingt ans d’expérience passée par France Télécom, Orange mais aussi la CMA/CGM a travaillé à IESS en 2019. Et s’est fait licencier au bout de quatre mois. Une décision qu’elle conteste devant le tribunal administratif de Toulon. Elle a en outre alerté l’ARS mais aussi la Cnil (Informatique & libertés). La « Maison des lanceurs d’alerte », au regard du dossier qu’elle a produit et que le Ravi a pu consulter, l’a reconnue comme telle.

« IESS, explique-t-elle, est une antenne de l’ARS chargée de collecter et traiter les données issues des établissements hospitaliers de la Région. » Or, ce qu’elle dénonce, « c’est un non-respect du RGPD qui a pu entraîner une fuite de données de santé vers une start-up américaine. »

En 2019, IESS est chargée par l’ARS de mettre en place un outil pour anticiper les épisodes de tension au sein des services d’urgence. Pour ce faire, la structure collecte et analyse auprès de la cinquantaine d’établissements que compte la région les données des passages aux urgences. « Des données on ne peut plus sensibles, souligne la data scientist. Vous avez l’identifiant du patient, son âge, le motif de la consultation, comment il est venu, qui l’a pris en charge… Or, ces données ne sont pas anonymisés mais pseudonymisés. En les croisant, il est possible d’identifier les patients. »

Dans son « protocole de recherche », IESS estime à « deux millions » le nombre de passages rien que pour 2019. Avec, pour anticiper les tensions, un transfert des données toutes les dix minutes. Sans que les patients n’en sachent rien puisque, dans son protocole, IESS écrit que « l’information individuelle nécessiterait des efforts disproportionnés ».

Néanmoins, pour Keltoum Chaouche, « mettre en place un tel outil, c’est quelque chose que l’on aurait pu faire en interne. C’est mon métier et cela faisait partie de mes missions. Mais il a été décidé de faire appel à un prestataire extérieur » : Mondobrain, une start-up américaine spécialisée dans l’intelligence artificielle. Où officie le frère du directeur d’IESS Benoît Bresson, Laurent Bresson. Ce que reconnait sans peine ce dernier : « S’il a été fait appel à Mondobrain, c’est parce que mon frère est directeur d’IESS. Je lui ai dit qu’on avait des outils qui pouvaient être utiles pour son étude et, rien qu’en voyant le type de données, on pouvait faire des choses intéressantes. »

Mais, pour Keltoum Chaouche, « d’après le RGPD, le recours à un sous-traitant est très encadré. Surtout pour des données de santé et avec une société basée aux États-Unis où la protection des données n’est pas la même qu’en Europe ». Concrètement, jusqu’à peu (l’Europe l’a invalidé en 2020), il fallait que la société soit reconnue comme faisant partie d’une liste appelée le « bouclier de protection ». Ce qui n’était pas le cas de Mondobrain. De fait, à l’été 2019, quand IESS fait appel à cette firme fondée en 2014 par un Français, Augustin Huret, elle est en pleine tourmente (lire encadré).

Si le RGPD a été adopté en 2018, un an après, IESS en est encore à se mettre en conformité. Alors, quand, en août 2019, peu de temps après sa prise de fonction, Keltoum Chaouche est invitée à constituer le dossier de demande d’obtention d’autorisation auprès de la Cnil impliquant Mondobrain, elle ne cache pas sa surprise. Et indique : « N’ayant pas accès aux sources de l’algorithme, je ne peux le faire. » Elle commence à lister les éléments nécessaires. Notamment « le contrat de sous-traitance ».

Quelques jours plus tard, début septembre, elle demande à son directeur « en raison des risques » une « lettre de mission express ». En effet, comme elle le précise, la constitution du dossier vise à obtenir l’aval de la Cnil pour « l’installation de l’application » de Mondobrain sur les serveurs où se trouvent les données de santé. « Or, constate-t-elle, l’application est déjà installée et ce, sans autorisation. Je ne connais pas la date exacte mais elle a été effectuée avant ma prise de fonction. » Le lendemain, sa période d’essai de deux mois est renouvelée.

Pour constituer le dossier, elle demande à Mondobrain quels vont être les outils utilisés. Réponse de Laurent Bresson : « Il s’agit d’un algorithme de géométrie algébrique développé spécifiquement et non disponible dans les bibliothèques publiques. La base de ces travaux est la thèse d’Augustin Huret. » Mais, d’après Polytechnique par où il est passé, « nous n’avons pas de thèse au nom d’Augustin Huret soutenue à Polytechnique, ni en 1990 ni à une autre date ».

La data scientist doit revenir à la charge pour obtenir le « contrat de sous-traitance » et la « désignation officielle du DPO », le Délégué à la protection des données. En rappelant qu’en cas d’infraction, les sanctions peuvent aller « jusqu’à 20 millions d’euros » ou « 4 % du chiffre d’affaires ». Et s’interroge en voyant un supérieur lui demander non de « traiter le dossier sans avoir à impliquer systématiquement Mondobrain ». Début octobre, toujours incomplet, la demande d’autorisation ne peut être déposé à temps à la Cnil.

En parallèle, Keltoum Chaouche expérimente auprès des établissements aixois un dispositif pour prédire les épisodes de tension. Un outil analogue donc à celui que pourrait mette en place Mondobrain mais qu’elle développe en interne et qui, ne nécessitant le « transfert que de quatre mois d’historique », permet d’obtenir des alertes « 12 heures à l’avance ». Réaction de son directeur : « Vous avez mis en œuvre ce traitement sans mon autorisation. » Et d’asséner : « Votre action engage la responsabilité du Gip IESS. »

Le jour même, elle reçoit une convocation en vue de son licenciement au « cours de la période d’essai, sans préavis ni indemnité ». Une décision prise « au regard de vos difficultés à vous adapter au fonctionnement de notre groupement et à vous intégrer aux équipes ». Et le directeur d’IESS de dénoncer des « méthodes de travail contre-productives », une « attitude péremptoire », l’accusant même d’avoir « fait preuve publiquement d’impertinence ».

La data scientist alerte l’ARS. En vain. Pas plus de succès avec le président d’IESS, Charles Guepratte, accessoirement directeur du CHU de Nice. La Cnil se montre plus attentive. Le « service plainte » met tout de même un an à lui répondre. Alertée par la data scientist, la Cnil a interrogé IESS. Qui, pour se défendre, cite le « protocole de recherche » : « Mondobrain n’aura accès ni aux données ni à la base de données. » Elle n’est là, en substance, que pour « l’installation technique de l’application ». Tout en précisant : « Si toutefois IESS décide de faire intervenir Mondobrain (pour remédier à une anomalie ou réaliser un développement logiciel) un contrat de sous-traitance au sens du RGPD sera préalablement établi. » De toute manière, précise IESS, la démarche d’obtention d’autorisation auprès de la Cnil « n’a pas été menée jusqu’au bout » et le « projet d’étude mis en sommeil ».

Pas de quoi convaincre Keltoum Chaouche. Qui fait état d’un mail de septembre 2019 de Laurent Bresson où celui-ci évoque un « fichier contenant les datas nécessaires et ce pour les 48 services d’urgence et pour les trois dernières années ». Et d’attirer l’attention sur un autre document que l’on trouve dans le « mémoire en défense » qu’IESS a déposé auprès du tribunal administratif dans le cadre de la procédure qui l’oppose à son ancienne salariée.

Son titre ? « Enregistrement des traces des comptes à privilèges d’un sous-traitant ou partenaire participant à une activité d’hébergement de données de santé à caractère personnel ». Et qui indique que, depuis le 21 juin 2019, deux personnes de Mondobrain – Laurent Bresson et Olivier Desté – bénéficient d’un compte « admin » auprès du MiPiH, l’hébergeur des données de santé que traite IESS. Avant donc l’embauche de Keltoum Chaouche. Et avant qu’IESS n’entame la démarche auprès de la Cnil.

La structure n’en assure pas moins à la Cnil qu’« il n’a jamais été envisagé de transmettre des données, quelles qu’elles soient, aux Etats-Unis » et qu’« aucune transmission vers les Etats-Unis n’a jamais eu lieu ». Dans son mémoire en défense, IESS explique qu’« il s’agissait simplement pour la société MondoBrain de mettre à la disposition du Gip IESS un algorithme, et ce à titre gracieux ». Laurent Bresson nous certifie qu’il n’a « jamais eu accès aux données. Et si l’étude avait été menée à terme, Mondobrain n’y aurait pas eu davantage accès. Tout est très encadré. Que la société soit américaine aurait pu poser question. Mais cela n’aurait pas été insurmontable ».

À la Cnil, l’affaire étant « en cours d’instruction », on se refuse à tout commentaire. Même si l’autorité vient de produire un avis mettant en garde contre l’utilisation d’outils collaboratifs américains pour des questions de confidentialité. Et à l’ARS ? RAS : IESS « a la latitude pour retenir tel ou tel prestataire », indique le service communication et « a retenu Mondobrain dans le cadre d’une étude scientifique. Cette société a comme bon nombre d’acteurs du numérique un siège aux États-Unis et a été retenue pour fournir un programme, pas pour héberger des données à analyser ». Et de renvoyer vers IESS. Las, la com’ du GRADeS ne pipe mot : « Nous collaborons avec les autorités pour fournir les éléments nécessaires mais la procédure est en cours et aucun jugement n’a été rendu, on ne s’exprimera donc pas. »

En attendant, à Mondobrain, il y a eu du changement : suite à la procédure initiée outre-Atlantique par les actionnaires contre le fondateur de la start-up, Augustin Huret, un accord à l’amiable a été trouvé. A condition que ce dernier n’ait plus le moindre lien avec l’entreprise et n’en détienne plus aucune part ! Victime collatérale de ce bras de fer, Laurent Bresson, lui, a été licencié. Il a depuis monté sa propre boite : Data Tell Story. Littéralement : « les données racontent des histoires ». On ne saurait mieux dire !

1. Jadis un Gip (Groupement d’intérêt public) c’est un GRADeS (Groupement régional d’appui au développement de la e-Santé)