D'après une photo de Ben Novakovic

L’exploitation de 1,6 million de dossiers de patients anglais par Google était ‘légalement inappropriée’

Le 2 mai 2016, nous rapportions que Google avait obtenu un accès aux données médicales en cours et historiques de plus de 1,6 million de patients anglais.

L’accord entre Google et le NHS, l’équivalent de la Sécurité sociale au Royaume-Uni, portait sur tous les patients de trois hôpitaux londoniens gérés par la fondation Royal Free NHS Trust.

Google, et sa filiale d’intelligence artificielle DeepMind, avaient ainsi accès à cinq ans d’informations sur les patients, qu’ils soient par exemple atteints du sida, dépendant de la drogue ou ayant eu recours à l’avortement.

En février 2016, Google avait annoncé qu’il travaillait avec la NHS développer un système nommé Streams qui présenterait des informations aux médecins et aux infirmières sur les patients atteints de problèmes rénaux.

En parfaite contravention du droit européen sur les données personnelles, la fondation n’a pas cru bon de prévenir les patients que leurs données seraient fournies gratuitement à une organisation commerciale, d’obtenir leur consentement, et de fournir un mécanisme pour refuser de participer.

Nous écrivions à l’époque que l’on voyait bien qu’il s’agissait de bien plus, que les données ne seraient pas utilisées seulement pour la recherche médicale, et que :

Cette marche forcée vers la santé numérique qui s’opère au profit des politiciens et des entreprises, et aux dépens des patients, ne peut que rompre la relation de confiance du patient aux services de santé : le secret médical devient une farce.

Les faits récents semblent nous donner raison. Les données n’ont pas été seulement utilisées à titre de test pour expérimenter avec un logiciel de diagnostic, mais exploitées pour détecter les insuffisances rénales et imposer des traitements.

Une lettre de Dame Fiona Caldicott, en charge de la protection des données pour le NHS, envoyée en février au Professeur Stephen Powis, le directeur médical du Royal Free Hospital, et dévoilée hier par Sky News, critique vertement la procédure.

Donner à Google un accès à 1,6 million de dossiers de patients identifiables était légalement inapproprié. Étant donné que Streams était en test, on ne pouvait s’appuyer sur Streams pour le traitement des patients. Les patients ne pouvaient raisonnablement s’attendre à ce que leurs dossiers soient ainsi exploités.

Pour Phil Booth, coordinateur de medConfidential, une association de promotion de la vie privée des patients, la lettre prouve que Google aurait dû savoir qu’elle devait effacer ce 1,6 million de dossiers qu’elle n’aurait jamais dû d’ailleurs recevoir. Google aurait enfreint la loi à l’occasion de trois contrats, ce qui fait dire à l’association que Google a la même attitude cavalière envers la loi et la sécurité qu’Uber.

Comme à son habitude, et en dépit de l’émoi du monde académique, Google/DeepMind ne trouve rien à redire à sa conduite, et vante les accélérations de traitements grâce à Streams.

On se rappellera qu’il n’y a pas si longtemps, la devise de Google était: Do no evil (ne fait pas le mal).