90% des cyberattaques par rançongiciel dans le monde lors du dernier trimestre 2019 ciblaient les établissements de santé. La blochain, ensemble de bases de données décentralisées infalsifiables et pseudonimisées, semble offrir un remède à la vulnérabilité des données de santé tout en garantissant la transparence de leur utilisation. L’idée fait aussi son chemin auprès des sociétés de télécommunications qui voient dans cette technologie une solution à l’enjeu de sécurité des données. Paradoxe ou miracle de la technologie ? Cette solution est-elle juridiquement viable au regard des multiples référentiels et du règlement européen sur la protection des données à caractère personnel ?
Un maillon entre l’e-santé et la confidentialité des données de santé
Les récents partenariats public-privé signés en vue de mettre en œuvre la blockchain dans le domaine de la santé inscrivent cette technologie dans l’avenir de l’e-santé.
Cette technologie permet de créer une nouvelle entrée (bloc/hash) dans le registre à chaque interaction avec une donnée de santé et d’indiquer pourquoi : par exemple, le fait qu’un test sanguin soit utilisé par le Service Sanitaire National (NHS) pour diagnostiquer une insuffisance rénale aiguë.
Elle est aussi présentée comme une solution pour la résolution des réclamations en termes de paiement et d’assurance (smart contract) et la gestion des données générées par les objets connectés de santé.
Toutefois, cet attrait pour la sécurité des données de santé de la part de sociétés de télécommunications, de moteurs de recherche ou d’autres acteurs du numérique ne fait pas illusion quant à la réutilisation de ces données ultra sensibles pour leurs nouveaux modèles économiques bien éloignés du bien-être des usagers. La vigilance doit rester de mise afin de ne pas faire accepter au patient une réutilisation de ses données de santé en dehors des finalités initiales (acte de soin) sous couvert de leur sécurisation.
Présenter la technologie de la blockchain comme nouveau bouclier anti-cyber attaque est en effet aussi abusif que de faire croire que chaque patient aura la maîtrise de ses propres données : professionnels de santé et patients ne deviendront pas les Alice et Bob de la cryptographie ! (les personnages Alice et Bob sont des figures classiques en cryptologie. Ces noms sont utilisés au lieu de « personne A » et « personne B » ; Alice et Bob cherchent dans la plupart des cas à communiquer de manière sécurisée). Susciter le désir de confiance des usagers ne doit pas être source de tromperie.
Lire aussi : Robots soignants : un défi pour le Droit
Le droit et les blockchains
L’absence de cadre juridique ad hoc concernant la blockchain ne fait pas de cette technologie une zone de non droit, bien au contraire. L’exigence de sécurité des données de santé est avant tout une obligation légale quelle que soit la technologie employée et quelle que soit sa modalité (publique, privée ou de consortium, en vertu du principe de neutralité technologique). L’ampleur de l’effet produit par le rançongiciel WannaCry ou encore Ryuk a mis en lumière le défaut de sécurité des infrastructures touchées alors qu’elles sont tenues de respecter de multiples référentiels en la matière.
La blockchain s’analyse en un service de transactions (qu’il soit à titre onéreux ou gratuit) ayant pour objet des données à caractère personnel. Elle est donc couverte par le désormais fameux règlement européen 2016/679 sur la protection des données à caractère personnel (RGPD) qui n’exclut de son champ que les données anonymes.
Rappelons que ce texte préserve la possibilité pour les États membres de conserver ou d’instaurer des conditions supplémentaires ou des limitations pour les données génétiques, biométriques ou de santé et ne créée pas de cadre juridique unique pour celles-ci dans l’Union européenne. La protection des données de santé dépend de chaque État membre. On se réfèrera pour la sécurité de celles-ci pour la France à la politique de sécurité des systèmes d’information (SI) et à l’instruction de 2016 présentant aux ARS le plan de sécurité des SI qui comprend l’accréditation des laboratoires d’analyses médicales.
En effet, la défaillance des outils numériques de ces infrastructures présente un haut niveau de criticité (probabilité/impact). Les prestataires de services de blockchain en santé devront donc se plier à ces exigences et leurs contrats ne seront réellement « smart » qu’à condition de se conformer à ce cadre juridique complexe allant du RGPD aux instructions ministérielles.
Lire aussi : Logiciel RH : gérer avec succès le capital humain
Autre point d’achoppement, le droit à l’effacement des données garanti par le RGPD à toute personne dont les données sont traitées, droit qui s’exercera sans frais pour le demandeur. Les prestataires de services de registre distribué devront donc s’aligner avec cette obligation : inutile de rejeter la responsabilité de la publication de la donnée sur le registre vers l’utilisateur ou de lui réclamer le moindre Bitcoin !
Une blockchain en santé n’est pas un simple réseau social… Le droit à l’effacement concerne aussi tout lien vers ces données, ou toute copie ou reproduction de celles-ci.
- Comment le patient pourrait-il exercer ce droit dans un registre distribué public ou chaque nœud est un responsable de traitement ?
- Les prestataires de services de registre distribué ont-ils la puissance numérique pour opérer cet effacement ?
Sans compter qu’ils devront également être capables de donner aux personnes dont les données sont traitées un accès à celles-ci et de garantir leur portabilité vers d’autres prestataires.
Clarifier le cadre juridique de la blockchain en santé est un enjeu économique, car même si son lien avec le droit n’est pas évident, la sécurité juridique reste un facteur attractif pour les investisseurs.
