Protéger la vie privée des patients dans les bases de données médicales et les collections de photos médicales

Robert Bateman
13/05/2024

Les données de santé sont sans doute le type d’informations le plus sensible. Ne pas protéger la vie privée des patients peut conduire à des fraudes, créer une grave détresse et même mettre des vies en danger .

Mais les données de santé et les images médicales jouent un rôle de plus en plus important dans les traitements et la recherche. Les bases de données s’agrandissent et les données sur la santé se diversifient. La nécessité de mesures de sécurité et de confidentialité solides n’a jamais été aussi cruciale.

Cet article examine le cadre juridique de la protection des bases de données médicales et des collections de photos médicales, les méthodes permettant de sécuriser les données de santé et les graves conséquences d' un manquement à la protection de la vie privée des patients .

Introduction aux problèmes de confidentialité des patients dans les bases de données médicales et les collections de photos médicales

Les soins de santé placent le patient au centre de leur traitement et maintenir la confiance entre les patients, les praticiens et les établissements de santé est essentiel.

Depuis les Grecs de l'Antiquité, les médecins se sont engagés à garder les « saints secrets » de leurs patients dans le cadre du serment d'Hippocrate. Mais il est bien plus difficile aujourd’hui de préserver la confidentialité des informations médicales qu’il y a deux millénaires.

Étude de cas : les photos médicales d'un patient atteint d'un cancer ont été divulguées en ligne

En février 2023, le personnel du Leigh Valley Health Network (LVHN) a reçu un e-mail d' un groupe de ransomware connu sous le nom de BlackCat (ou ALPHV) indiquant :

"Nous disposons des données de votre clientèle de patients, à savoir leurs passeports, leurs données personnelles, leurs questionnaires, leurs photos de nus, etc."

BlackCat a menacé de publier l'information en ligne à moins que LVHN ne paie une rançon. Le prestataire de soins de santé a refusé de payer et BlackCat a commencé à divulguer des photos qu'il avait obtenues lors de l'attaque, notamment des photos identifiables de patients nus jusqu'à la taille .

L'un des patients atteints de cancer au LVHN a entendu parler de l'attaque dans les médias. Elle a envoyé un e-mail à ses médecins pour leur demander si son dossier médical était impliqué. Plus d'un mois plus tard, LVHN a appelé la patiente et lui a dit que ses « photos nues », montrant à la fois son visage et sa poitrine , avaient été compromises.

LVHN a présenté au patient des excuses et deux ans de surveillance du crédit en guise de compensation pour l'incident. Naturellement, le patient n’était pas satisfait de la réponse du prestataire de soins.

La patiente mène actuellement une action en justice contre LVHN visant à obtenir des dommages-intérêts « réels, consécutifs et nominaux », à la fois pour elle-même et pour « des centaines, voire des milliers » d'autres personnes touchées par la violation .

Pourquoi les violations de données médicales coûtent-elles si cher ?

Depuis 13 années consécutives, IBM constate que les violations d'informations de santé sont les violations de données les plus coûteuses . Et le coût des violations de données de santé a augmenté de 53,3 % entre 2020 et 2023, pour atteindre en moyenne près de 11 millions de dollars par incident .

Pourquoi les violations de données impliquant des données de santé sont-elles si coûteuses ?

●      La santé est un secteur étroitement réglementé et les régulateurs peuvent imposer des sanctions sévères. Même les pays dont les lois sur la protection de la vie privée sont généralement faibles protègent strictement les dossiers médicaux.

●      Les données de santé sont complexes et comprennent de nombreux types d’informations. Cette variété et cette complexité peuvent rendre les violations de données de santé plus difficiles à détecter, à prévenir et à atténuer .

●      Lorsque des antécédents médicaux sont divulgués, les gens peuvent ressentir de la détresse, de l'embarras et une atteinte à leur réputation . Les victimes de violations de données de santé ont donc beaucoup plus de chances de réussir en justice.

●      Les violations de données de santé peuvent conduire à une fraude à l'assurance . Lorsque les ressources sont mal allouées ou que les personnes sont traitées de manière inappropriée, la fraude peut coûter des vies ainsi que de l’argent.

Les images médicales , telles que les radiographies, les IRM et les diapositives pathologiques, sont essentielles à la plupart des dossiers médicaux. Comme nous l’avons vu dans l’affaire LVHN ci-dessus, les dégâts peuvent être particulièrement graves en cas de violation de photos médicales.

Lois couvrant la vie privée des patients et les données de santé

Comme indiqué, les dossiers médicaux et les photos médicales sont soumis à des règles particulièrement strictes. Voici un aperçu de quelques exigences légales concernant les données médicales en Europe et aux États-Unis.

L'Europe

Les données personnelles révélant la santé d'un individu sont un type de « données de catégorie spéciale » en vertu du Règlement général sur la protection des données (RGPD) , qui s'applique au Royaume-Uni et dans l'Espace économique européen (EEE).

Voici comment certains principes de traitement des données du RGPD pourraient s'appliquer aux informations de santé :

●      Minimisation des données : traiter les informations de santé uniquement lorsque cela est nécessaire dans un but spécifique. Dans la mesure du possible, supprimez les identifiants des dossiers médicaux. Si le visage d'une personne apparaît sur une photo ou un scanner médical, floutez le visage pour masquer l'identité de la personne.

●      Limitation de stockage : Ne stockez pas les informations de santé « sous une forme permettant l'identification » plus longtemps que nécessaire. Supprimez ou anonymisez les données de santé dès que vous n’en avez plus besoin (sauf si vous êtes légalement tenu de les conserver pendant une certaine période).

●      Sécurité : Protéger les informations de santé via des « mesures techniques ou organisationnelles appropriées » telles que la restriction de l'accès aux informations médicales ou le flou des identifiants sur les photos médicales.

Plusieurs pays de l’UE ont infligé les plus lourdes amendes RGPD aux organisations qui ne respectaient pas les règles et principes de traitement des données de santé. Par exemple:

●      Croatie : 5,8 millions d'euros délivrés à une agence de recouvrement de créances qui n'a pas réussi à démontrer sa « base légale » pour le traitement des données de santé.

●      Portugal : 4,3 millions d'euros contre l'agence nationale des statistiques pour transfert illégal de données de recensement (y compris des informations sur la santé) vers les États-Unis.

●      Pays-Bas : 3,7 millions d'euros contre le fisc, en partie à cause d'un traitement de données de santé sans base légale.

Il s’agissait tous de cas complexes impliquant plusieurs violations du RGPD, mais dans chaque cas, la sanction était plus sévère car les violations concernaient des données de santé.

États-Unis

Aux États-Unis, les prestataires de soins de santé et leurs « associés commerciaux » sont réglementés par la Health Insurance Portability and Accountability Act (HIPAA) , qui protège les « informations de santé protégées » (PHI) et les PHI électroniques (ePHI).

La HIPAA contrôle étroitement la manière dont les prestataires de soins de santé stockent et utilisent les informations sur la santé . La loi prévoit des règles plus souples pour les « ensembles de données limités » dont des informations telles que les noms, les identifiants biométriques et les « images photographiques de plein visage » ont été supprimées.

Voici quelques-unes des sanctions les plus élevées en vertu de la HIPAA :

●      Anthem Inc. a payé une amende HIPAA de 16 millions de dollars après que des attaquants ont volé les données médicales de près de 80 millions de personnes. En plus de l'amende, la société a également réglé un procès pour 115 millions de dollars.

●      Premera Blue Cross a payé une amende de 6,85 millions de dollars après qu'un piratage ait compromis les informations de santé personnelles de plus de 10 millions de personnes. Encore une fois, la société a réglé un recours collectif distinct , cette fois pour 74 millions de dollars.

●      Advocate Health Care payé 5,5 millions de dollars après le vol de quatre ordinateurs dans ses bureaux, affectant plus de 4 millions de patients.

Mais la HIPAA ne couvre pas toutes les entreprises traitant des données de santé, c'est pourquoi certains États ont adopté des lois sur la confidentialité pour combler les lacunes de la HIPAA .

●      Au cours des dernières années, environ 16 États , dont la Californie, le Texas et Washington, ont adopté de nouvelles lois sur la protection de la vie privée.

●      Ces nouvelles lois s'inspirent du RGPD de l'UE et affectent les entreprises de presque tous les secteurs.

●      Presque toutes ces nouvelles lois classent les informations liées à la santé comme un type de « données sensibles » et obligent les entreprises à mettre en œuvre des « mesures de sécurité raisonnables » pour protéger ces données.

Utiliser des bases de données médicales et des collections de photos dans le domaine de la santé

Il existe d’innombrables utilisations des données médicales, notamment :

●      Diagnostic

●      Planification du traitement

●      Recherche

●      Éducation

De plus en plus, les données sur la santé sont utilisées pour la recherche basée sur l'IA .

En novembre 2023, des chercheurs de l’Imperial College de Londres ont montré comment un modèle d’IA entraîné sur « plus d’un million d’images provenant de programmes de dépistage réels » pourrait contribuer à améliorer la détection du cancer du sein.

Mais si la recherche en santé basée sur l'IA peut générer des avantages significatifs, de grandes collections de photos médicales peuvent également présenter d'énormes risques en matière de confidentialité et de sécurité .

Problèmes de sécurité dans les bases de données médicales et les collections de photos médicales

Les recherches sur l’état de la sécurité des images médicales ont révélé des résultats choquants.

●      En 2019, des chercheurs de Greenbone Networks ont découvert 5 millions d'images de patients « non protégées sur Internet ».

●      Une étude de suivi réalisée en 2020 a révélé une augmentation considérable du nombre de photos d’examen disponibles en ligne : plus d’un milliard d’images médicales et de dossiers de patients.

●      une enquête plus approfondie a révélé que le problème n'était toujours pas résolu .

Les raisons de ce mauvais paysage de sécurité sont complexes : des centaines de prestataires de soins de santé stockent des images médicales sur des milliers de serveurs mal sécurisés .

Mais il existe un autre moyen de garantir que les photos identifiables ne tombent pas entre de mauvaises mains : l'anonymisation .

Anonymiser les données médicales et protéger la vie privée des patients

Si les données médicales sont véritablement anonymes , elles ne peuvent pas être utilisées pour identifier un patient. Même si des données anonymes sont compromises, cela n’aura aucune incidence sur la confidentialité médicale d’un patient.

Mais qu’est-ce qui rend une donnée médicale « anonyme » ?

La norme d'anonymisation de l'UE est particulièrement stricte . Les régulateurs de la protection des données approuvent le test en trois parties suivant pour aider à décider si une donnée donnée est anonyme.

●      Est-il encore possible de distinguer un individu ?

●      Est-il encore possible de relier des enregistrements relatifs à un individu ?

●      Peut-on déduire des informations concernant un individu ?

de généralisation et de randomisation des données , lorsqu’elles sont correctement exécutées, peuvent atteindre un niveau élevé d’anonymisation dans les ensembles de données agrégées.

Bien entendu, toutes les données médicales ne peuvent ni ne doivent être anonymisées . Dans la plupart des contextes, les dossiers médicaux doivent être liés à un patient spécifique.

Mais lorsqu'il est possible d'anonymiser des parties d'un dossier médical tout en utilisant les données aux fins prévues, le principe de minimisation des données vous oblige à le faire .

Photos médicales anonymisées

Même si les photos médicales doivent être stockées dans un dossier médical plus volumineux et identifiable, elles doivent rarement contenir elles-mêmes des informations identifiables .

Plus tôt, nous avons examiné une étude de cas impliquant une patiente atteinte d’un cancer du sein dont les images médicales ont été divulguées en ligne. Cet incident aurait pu être beaucoup moins grave si le prestataire de soins avait flouté le visage de la patiente afin qu'elle ne soit pas identifiable .

Les visages flous et autres identifiants peuvent rendre une image anonyme. Le Comité européen de la protection des données (EDPB) déclare :

brouillant par exemple (une) image sans possibilité rétroactive de récupérer les données personnelles que l'image contenait précédemment, les données personnelles sont considérées comme effacées conformément au RGPD. »

En d’autres termes : si vous brouillez effectivement tous les identifiants sur une photo médicale, la photo ne contiendra plus de données personnelles . Du point de vue du RGPD, le flou des identifiants sur les photos « efface » les données personnelles .

Images photographiques intégrales sous HIPAA

Aux États-Unis, la HIPAA inclut un principe similaire. La loi autorise les prestataires de soins de santé à rendre les informations de santé « non identifiables individuellement » en supprimant certains types de données d'un dossier médical, notamment les « images photographiques du visage ».

Ainsi, le flou des visages signifie que la photo peut être utilisée à des fins plus diverses , même sans le consentement du patient (à condition que la photo ne soit pas liée à d'autres informations permettant d'identifier le patient).

Même les organisations non soumises à la HIPAA devraient anonymiser les données médicales et les photos lorsque cela est possible.

Les nouvelles lois des États américains sur la protection de la vie privée, comme le California Consumer Privacy Act (CCPA) et le Colorado Privacy Act (CPA), excluent les informations anonymisées et anonymisées des règles . Cela pourrait inclure des photos médicales dans lesquelles les visages des personnes sont flous.

Protection des données biométriques et mesures de sécurité pour la vie privée des patients

Nous avons étudié comment le flou des visages et d'autres identifiants transforme les données personnelles (images d'individus identifiables) en données anonymes.

Néanmoins, il existe des considérations en matière de confidentialité, même pendant le processus d'anonymisation .

Outils biométriques et Gallio PRO

Les prestataires de soins de santé et autres organisations sont directement responsables de tout logiciel tiers qu'ils utilisent et doivent faire preuve de diligence lors du choix d'un fournisseur.

Certains logiciels d'anonymisation utilisent l'identification biométrique pour analyser le visage d'une personne et détecter chaque fois que cette personne apparaît sur une photo. Les données biométriques utilisées à des fins d'identification sont des « données de catégorie spéciale » en vertu du RGPD et des « données sensibles » en vertu de nombreuses autres lois sur la protection des données et la vie privée.

L’utilisation de la biométrie pour identifier une personne est considérée comme un traitement de données à haut risque soumis à des contrôles stricts, et comporte un risque de sanctions sévères en cas de mauvaise utilisation.

Anonymisation des visages pour les photos médicales

L'utilisation du logiciel d'anonymisation Gallio PRO est moins risquée que l'utilisation d'une anonymisation reposant sur des techniques biométriques.

●      Le modèle d'anonymisation Gallio PRO utilise des techniques de vision par ordinateur pour détecter des modèles dans de vastes ensembles de données.

●      Un ensemble de données dérivé de photos réelles est utilisé pour entraîner le modèle, qui apprend à reconnaître les visages dans diverses conditions d'éclairage, résolutions d'image et environnements.

●      Cette méthode de formation conduit à des taux de précision plus élevés , réduisant ainsi le risque de manquer les visages des personnes lors de l'anonymisation des photos.

●      Les images faciales sont transformées en données non identifiables au cours du processus de formation. Aucune image identifiable de visages de personnes ne reste dans le système d'IA. Cette méthode permet de préserver la vie privée de toute personne dont le visage apparaît sur les photos de formation.

Le logiciel Gallio PRO n'apprend jamais à reconnaître les individus , mais à savoir à quoi ressemble « un visage humain ». Les techniques de formation respectueuses de la vie privée permettent au logiciel d'atteindre des taux de précision élevés sans aucun risque significatif pour les individus.

Protéger la vie privée des patients dans les bases de données médicales et les photos médicales

●      Les données de santé et les images médicales font partie des types de données personnelles les plus sensibles .

●      Les cyberattaques contre les prestataires de soins de santé sont extrêmement coûteuses et peuvent causer des dommages importants aux patients.

●      Les chercheurs ont démontré à plusieurs reprises que de nombreuses données médicales sont mal sécurisées. De nombreux incidents de cybersécurité très médiatisés ont entraîné des fuites d’images médicales et de données de santé.

●      Lorsque des photos médicales de personnes sont divulguées, les régulateurs peuvent imposer de lourdes amendes et les tribunaux peuvent accorder des dommages et intérêts importants aux patients concernés.

●      L'anonymisation des photos des patients est un moyen essentiel de protéger la vie privée des patients et de respecter les obligations légales.

●      Pour minimiser les risques liés à la confidentialité et à la protection des données, utilisez un logiciel d'anonymisation capable d'atteindre des taux de précision élevés sans recourir à l'identification biométrique.