« Le risque de fuite de données est réel »
Quel regard portez-vous sur le dossier « ARS-Paca-IESS-Mondobrain » ?
Il montre à quel point les problématiques inhérentes au recueil et au traitement de données sensibles de santé sont prises à la légère et à quel point le processus de contrôle est insuffisant et défaillant. Si les patients ont consenti à figurer dans les bases de données, ils ne l’ont pas fait au traitement par une start-up américaine. Une mise à jour aurait été indispensable. D’autant qu’on a affaire à des données non pas anonymisées mais pseusodymisées et particulièrement sensibles. Ce qui aurait nécessité la mise en place auprès de la Cnil (Informatique et libertés) d’une AIPD, une Analyse d’impact relative à la protection des données, avant tout traitement. Or, là, ce qui est dénoncé, c’est, avant même tout contact avec la Cnil, la mise en place de l’application et des accès ouverts pour deux salariés de Mondobrain ! Avec un logiciel dont les sources ne sont pas ouvertes et une structure basée aux États-Unis. Il y a donc bien un danger réel de fuites de données qui aurait demandé que toutes les précautions soient prises.
Quels risques à recourir à une société américaine ?
Les entreprises étasuniennes sont soumises à l’extraterritorialité du droit américain : le Patriot Act et le Cloud Act qui donnent aux autorités américaines un accès aux données que ces entreprises stockent, même si le stockage a lieu ailleurs qu’aux États-Unis. Snowden avait révélé des accords et compromis frauduleux entre des entreprises et les services de renseignement US. Les recommandations et mises en garde de la Cnil sont nombreuses. Mais le processus là est clairement défaillant.
C’est-à-dire ?
Le dossier témoigne de la mauvaise compréhension du RGPD (Règlement général de protection des données) et de l’AIPD ainsi que du rôle de la Cnil. Ces processus sont nécessaires pour valider en amont tout traitement, qui doit lui se conformer à la réglementation et non l’inverse. Or, on utilise aujourd’hui la CNIL et le RGPD pour obtenir à tout prix et a postériori l’autorisation. Il est impératif de changer cette façon de faire : c’est aux traitements de s’adapter à la réglementation, et non pas à cette dernière et à la Cnil de servir de caution pour justifier tout et n’importe quoi. Ce décalage, il est urgent d’y pallier. Notons d’ailleurs le terme d’expérimentation qui revient souvent pour justifier des traitements illégaux. En y associant de plus en plus la Cnil comme avec ce concert pour tester le « pass sanitaire » et un logiciel d’identification biométrique. Ce terme est utilisé pour minimiser les faits et faire accepter tout et n’importe quoi.
Dans quel contexte s’inscrit cette affaire en Paca ?
Le Health Data Hub, les scandales de fuites et les failles du « pass sanitaire » montrent que les partenariats public/privé dysfonctionnent, servant avant tout les intérêts privés. En érigeant l’intelligence artificielle en solution magique, dont l’efficacité irait de soi et le bénéfice ne ferait aucun doute, confiées quasi exclusivement à des acteurs privés aux pratiques opaques, nous ne faisons que démontrer l’inverse : que les problématiques effets de bord sont trop nombreux, que les risques en terme de fuites de données et menace de libertés individuelles sont trop grandes. Ce dossier indique qu’il faudrait aussi mieux protéger les lanceurs d’alerte.
Propos recueillis par Sébastien Boistel
