Le 2 mai 2016, nous rapportions que Google avait obtenu un accès aux données médicales en cours et les données historiques de plus de 1,6 million de patients anglais.
L’accord entre Google et le NHS, l’équivalent de la Sécurité sociale au Royaume-Uni, portait sur tous les patients de trois hôpitaux londoniens gérés par la fondation Royal Free NHS Trust.
Google, et sa filiale d’intelligence artificielle DeepMind, avaient ainsi accès à cinq ans d’informations sur les patients, qu’ils soient par exemple atteints du sida, dépendant de la drogue ou ayant eu recours à l’avortement.
En février 2016, Google avait annoncé qu’il travaillait avec la NHS développer un système nommé Streams qui présenterait des informations aux médecins et aux infirmières sur les patients atteints de problèmes rénaux.
En parfaite contravention du droit européen sur les données personnelles, la fondation n’a pas cru bon de prévenir les patients que leurs données seraient fournies gratuitement à une organisation commerciale, d’obtenir leur consentement, et de fournir un mécanisme pour refuser de participer.
Nous écrivions à l’époque que l’on voyait bien qu’il s’agissait de bien plus, que les données ne seraient pas utilisées seulement pour la recherche médicale, et que :
Cette marche forcée vers la santé numérique qui s’opère au profit des politiciens et des entreprises, et aux dépens des patients, ne peut que rompre la relation de confiance du patient aux services de santé : le secret médical devient une farce.
Mi-mai 2017, une lettre de Dame Fiona Caldicott, en charge de la protection des données pour le NHS, envoyée en février au Professeur Stephen Powis, le directeur médical du Royal Free Hospital, était dévoilée par Sky News: elle critiquait vertement la procédure.
Donner à Google un accès à 1,6 million de dossiers de patients identifiables était légalement inapproprié. Étant donné que Streams était en test, on ne pouvait s’appuyer sur Streams pour le traitement des patients. Les patients ne pouvaient raisonnablement s’attendre à ce que leurs dossiers soient ainsi exploités.
Aujourd’hui, l’Information Commisioner’s Office (ICO), l’équivalent britannique de la CNIL, le confirme officiellement: la fondation Royal Free NHS Trust n’a pas respecté la loi sur la protection des données personnelles (Data Protection Act) quand elle a fourni les dossiers médicaux de 1,6 million de patients à Google DeepMind.
Sa directrice, Elizabeth Denham, commente : *
« Le potentiel de l’exploitation créative de données pour le traitement des patients et les améliorations cliniques ne fait aucun doute, mais le prix de l’innovation n’a pas besoin d’être l’érosion du droit fondamental au respect de la vie privée. »
Le Trust doit donc désormais établir une base légale pour toute future coopération avec le projet Google DeepMind, clairement définir les mesures de protection des données personnelles qui rendront tout essai légal, établir une évaluation d’impact sur la vie privée, en particulier sur les nouvelles mesures de transparence, et commanditer un audit de l’essai, dont les résultats seront partagés avec l’ICO, et que l’ICO pourra publier à son bon vouloir.
On peut regretter toutefois que l’ICO n’ait pas sanctionné financièrement, comme elle est habilitée à le faire, ni la fondation Royal Free NHS Trust, ni Google DeepMind, pour ce qui nous apparaît comme un délit flagrant et un mépris conscient et volontariste, depuis le début, du droit fondamental à la protection des données personnelles.
* Traductions: Le Diligent