Les données de santé des Belges, mal protégées, s’échappent en Russie

3M-donnees-illustration.jpg
Marin Driguez. CC BY-NC-ND.

En Belgique, tout ce que les hôpitaux comptent comme données de santé transite par l’entreprise américaine 3M. Le logiciel qu’elle fournit est incontournable dans le fonctionnement quotidien des établissements. 3M propose des services leur permettant de comparer leurs performances. Médor et Le Soir, dans une enquête commune, ont pu mettre la main sur les contrats de « benchmarking ». Nos données médicales, ultra-sensibles, sont vulnérables. Une faille de protection majeure se situe en Russie.

Les données hospitalières des Belges, mal protégées, sont directement accessibles par des informaticiens basés en Russie. Elles sont traitées par une société américaine de manière plus que douteuse au regard de la protection des données, dans des conditions opaques. Et ce, depuis des années. Ce scénario troublant, qui semble improbable, est pourtant bien réel.

Médor et Le Soir ont eu accès aux contrats de « benchmarking » qui lient une majorité d’hôpitaux belges à la société américaine 3M. «  Le transfert de ces données ne permet pas de garantir le niveau de sécurité du RGPD  », affirme Jean-Marc Van Gyseghem, avocat spécialisé en protection des données, qui a analysé les documents à la demande d’une partie prenante.

Le RGPD, c’est le règlement incontournable de l’Union européenne pour protéger les données personnelles des citoyens. Les tables de la loi du numérique. L’application de ce règlement est écornée par les contrats de « benchmarking » signés entre 3M et de nombreux hôpitaux belges. C’est l’avis des spécialistes en droit numérique que nous avons consultés. «  Je m’étonne de la mauvaise qualité de ces contrats, surtout pour des transferts de données de cette envergure  », déclare Franck Dumortier, chercheur au « Cyber and Data Security Lab » de la Vrije Universiteit Brussel. Le risque d’une mauvaise protection des données de santé : la revente de celles-ci à des fins commerciales, ou l’accès par des gouvernements étrangers. Le tout, sans le consentement des principaux intéressés : les patients.

3M, l’histoire d’un monopole de fait

Avant de proposer des contrats de « benchmarking » aux hôpitaux, 3M s’est installée dans le paysage de la santé publique belge dès la fin des années 80. Si bien installée que toute l’architecture de financement des hôpitaux est tributaire des services proposés par ce vaste conglomérat américain surtout connu pour ses post-it, ses rouleaux adhésifs, ses investissements dans l’industrie chimique ou pharmaceutique. Mais c’est dans le domaine des « systèmes d’information de santé » que 3M est liée à la santé publique belge. «  Les hôpitaux belges sont dépendants de 3M, regrette Yves Smeets, directeur général de Santhea, une fédération d’hôpitaux, majoritairement issus du secteur public. Leur position est incontournable. La situation est celle d’une privatisation de données de santé publique.  »

Ce que fournit 3M au service public fédéral Santé publique c’est un logiciel « groupeur » de son invention. Ce logiciel permet de réunir, dans un fichier informatique, les pathologies des patients d’hôpitaux en groupes de diagnostics homogènes. C’est un outil clef de la distribution du Budget des moyens financiers (BMF) de l’État belge qui répartit chaque année une enveloppe fermée aux hôpitaux du pays en fonction de leur activité. Le SPF calcule pour chaque catégorie de diagnostic – il en existe aujourd’hui 326 – des durées moyennes d’hospitalisation en fonction de 4 degrés de sévérité et des risques de mortalité.

Cette durée moyenne, pour chacune de ces milliers de sous-catégories est essentielle pour le budget des hôpitaux. Un établissement qui, pour une maladie et un degré de sévérité donnés, hospitalise moins longtemps ses patients que la durée moyenne nationale, obtiendra davantage de moyens financiers qu’un hôpital qui, pour le même diagnostic, hospitalisera pour des durées supérieures. L’enveloppe étant fermée, les hôpitaux sont en concurrence.

Ce système de calcul budgétaire s’appuie intégralement sur la récolte de données. Les données médicales, diagnostics, traitements, durées d’hospitalisation sont la clef du financement. Elles sont traduites en codes, envoyées au SPF qui les fait passer au tamis du logiciel ‘’groupeur’’ de 3M et ressortent agrégées en groupes homogènes de diagnostics. Ces groupes de diagnostics sont une pièce maîtresse du financement des hôpitaux, car ils permettent de calculer les sacro-saintes moyennes, de classer les hôpitaux et de répartir le financement.

Les hôpitaux n’ont aucune obligation légale de se munir du logiciel de groupage de 3M utilisé par le SPF. «  Mais dans les faits, on ne peut pas faire sans, déplore André le Maire, directeur de l’information médicale chez Vivalia, intercommunale de soins de santé en province du Luxembourg. On confie un monopole de fait à une société privée. »

L’administration rend généralement sa copie deux à trois ans après la récolte de données. Du coup, chaque hôpital du pays (ou presque) s’est doté d’un logiciel groupeur pour savoir où il en est dans ses pratiques, pour calculer ses budgets prévisionnels et, éventuellement, redresser le tir.

Ce logiciel coûte cher. De 60 000 à 80 000 euros par hôpital. Pour Yves Smeets, «  La Belgique devrait développer son propre système de classification, comme l’Allemagne ». En 2017, la Cour des comptes relevait le « coût élevé » payé par chaque hôpital pour obtenir ce logiciel, «  parce que chaque hôpital négocie individuellement avec le fournisseur qui en détient le monopole  ». La Cour demandait à la ministre d’alors, Maggie De Block, d’examiner «  si elle peut réduire les coûts du logiciel (…) en prenant une licence d’utilisation nationale du logiciel  ». Une recommandation qui n’a pas été suivie d’effets.

La Cour des comptes notait alors que cette entreprise privée (3M) «  tire par ailleurs des recettes de la formation et du parangonnage (benchmarking)  » avec les hôpitaux. Un « parangonnage » où les données personnelles de santé des belges sont manipulées dans des conditions opaques, par des équipes situées en Russie.

3M-donnees-illu-2.jpg
Marin Driguez. CC BY-NC-ND

Le « benchmarking », la vie privée et le manque de protection

Pour comparer leurs « performances », sur base de données très récentes et de moyennes nationales en temps quasi réel, de plus en plus d’hôpitaux font appel à ce service de « benchmarking » de 3M. Il donne des indications essentielles pour le calcul des budgets, aide les hôpitaux à connaître leur classement, le tout sans avoir à attendre les résultats officiels du SPF deux à trois ans plus tard.

Le transfert des données des hôpitaux vers 3M à ces fins est cadré par trois contrats que Médor et Le Soir publient en intégralité (voir en fin d’article). «  Des contrats plutôt mal écrits, avec des trous, des manques et des termes qui se contredisent alors qu’un des grands principes du RGPD, c’est la transparence  », explique Romain Robert, juriste chez NOYB

Le premier est un contrat de base, définissant le cadre de la relation entre 3M et les hôpitaux, le second un contrat de service, qui détermine les conditions d’accès au portail numérique, là où les données sont transférées et les résultats affichés et, enfin, un contrat de traitement des données.

Pour Jean-Marc Van Gyseghem, l’un des problèmes majeurs de ces contrats, c’est l’imprécision qui entoure la notion de « données », mal définie, sans que l’on sache toujours quelles données serviront à quoi, comment seront spécifiquement traitées les données à caractère personnel. «  Il en découle un manque de clarté pour le moins suspect. Il est difficile de comprendre le sort qui sera réservé aux données transmises par les hôpitaux  », écrit Jean-Marc Van Gyseghem.

Du côté de 3M, qui nous a transmis ses réponses par écrit, on s’engage «  pleinement à respecter toutes les lois applicables, y compris la confidentialité des données. Nous collaborons avec les hôpitaux pour leur fournir les garanties requises par le RGPD  ».

L’entreprise insiste sur le fait que «  toutes les données traitées sont codées, pseudonymisées et cryptées  ». Une information à ne pas négliger. Car lorsqu’une donnée personnelle est pseudonymisée, celle-ci est couverte pour le RGPD, contrairement à une donnée anonymisée. Quelle est la différence ? «  On parle d’anonymisation lorsque le lien entre la personne et la donnée est brisé  », explique Jean-Marc Van Gyseghem. Lorsqu’une donnée est « pseudonymisée », l’identité du patient peut lui être réattribuée grâce à l’utilisation d’une « clef » informatique. A priori, cette clef, ce sont les hôpitaux qui la possèdent, même si les contrats ne sont pas clairs à ce sujet. Pour Franck Dumortier, «  nulle part on ne peut s’assurer que le portail 3M ne contient que des données pseudonymisées  ».

En réalité, même avec toutes ces précautions, le lien entre le nom du patient et ses données de santé est très difficile à atténuer, vu les caractéristiques très intimes et individuelles qu’elles couvrent. Elles sont facilement recoupables – un informaticien d’un niveau correct peut vite retrouver quel patient, atteint d’insuffisance cardiaque a été hospitalisé 8 jours, dans tel hôpital, pour une péritonite au mois de mars. Elles nécessitent donc davantage d’attention en termes de sécurité.

Les garanties offertes par 3M en termes de chiffrement et de pseudonymisation, si elles existent dans la pratique, semblent mal cadrées au niveau juridique. Franck Dumortier soulève un «  défaut d’énumération  » des mesures de sécurité prévues par 3M pour protéger ces données.

3M-sous-traitants.png

Parmi les sous-traitants de 3M, des informaticiens basés en Russie s'occupent du code source et de la base de données.

Des contrats aux multiples failles

En cas de brèche dans la protection des données, de fuite incontrôlée, ce sont les hôpitaux qui en paieront les conséquences. 3M s’est bien protégée. Les juristes que nous avons consultés relèvent que la «  division des rôles  » inscrite dans ces contrats pose de sérieux problèmes. Une division «  très critiquable  » selon Franck Dumortier. En effet, entre 3M et les hôpitaux, ces derniers sont considérés comme les «  responsables du traitement des données  » alors que 3M n’est qu’un sous-traitant.

Pour le juriste de la Vrije Universiteit Brussel, les hôpitaux et 3M devraient être considérés comme «  co-responsables  » du traitement des données.

Une distinction essentielle. Car si 3M devient «  co-responsable  », alors l’entreprise se verrait contrainte à respecter «  une obligation de transparence à l’égard des personnes concernées  ». Et ces dernières pourraient exercer leurs droits tant auprès des hôpitaux que de 3M. En cas de plaintes de citoyens, de sanctions financières par exemple, telles que le RGPD les prévoit, les hôpitaux ne seraient plus les seuls à en assumer les conséquences. «  Vu la situation de quasi-monopole de 3M, il y a beaucoup de chances que les hôpitaux ne puissent pas négocier la division des rôles. Le contrat de 3M ressemble beaucoup à un contrat d’adhésion, à prendre ou à laisser  », écrit Franck Dumortier. 3M prend pourtant des décisions qui, en théorie, ne peuvent incomber à des sous-traitants que sous certaines conditions.

Le choix par 3M d’un sous-traitant américain - Smart Analytics - qui a la main sur les données hospitalières des Belges depuis la Russie - là où opèrent ses informaticiens - est certainement l’une des plus grandes failles de ces contrats. Ce transfert «  ne permet pas de garantir le niveau de sécurité requis par le RGPD  », pense Jean-Marc Van Gyseghem.

3M insiste sur un point : les données personnelles «  sont physiquement stockées dans l’espace économique européen  ». Elles le sont, en effet, sur des serveurs situés en Allemagne. Les informaticiens de Smart Analytics accèdent au portail de données de 3M depuis la Russie pour remplir leur mission de maintenance et de mise à jour de la base de données. Cet accès est bien un transfert de données à caractère personnel au sens du RGPD.

Le principe phare du règlement en matière de transfert de données personnelles hors de l’Union européenne est assez simple : il est interdit. En théorie du moins. En pratique, ces transferts peuvent avoir lieu vers des pays dont la protection des données est jugée équivalente au pays de l’UE par la Commission européenne et fait l’objet d’une décision « d’adéquation ». Ce qui n’est ni le cas des États-Unis, ni de la Russie. En l’absence d’une telle décision d’adéquation, le transfert de ces données personnelles peut avoir lieu dans le cadre de contrats entre opérateurs, censés s’assurer du niveau de protection des données. On parle de « clauses contractuelles types » (CCT).

C’est bien une CCT qu’a signée 3M avec Smart Analytics. On y parle bien de « transfert » de données. D’importateur et d’exportateur. Les données circulent.

La législation russe ? Pas analysée

Le petit souci, c’est qu’un arrêt du 16 juillet 2020 de la Cour de justice de l’Union européenne – une affaire portée par Max Schrems, de NOYB, justement – a sérieusement réduit le champ d’application de ces CCT. «  Leur mise en œuvre est devenue impraticable  », écrit Jean-Marc Van Gyseghem. Désormais, des garanties supplémentaires de protection des données doivent être apportées. 3M assure avoir suivi la jurisprudence de la cour grâce à «  un second processus de pseudonymisation  », aux contours assez flous, entre 3M et Smart Analytics, conformément aux «  recommandations du comité européen de la protection des données  ».

Sauf que les recommandations de ce comité sont bien plus serrées qu’une simple pseudonymisation. Une analyse fouillée de la législation russe doit être réalisée. Le droit russe permet-il de garantir la protection des données, même pseudonymisées ? Les autorités russes, par exemple, pourraient-elles avoir accès aux données de santé belges ? Rien n’est dit à ce sujet. «  Les hôpitaux auraient dû évaluer la législation russe, notamment en ce qui concerne l’accès des autorités publiques aux données (…) avant de choisir 3M  », ajoute Franck Dumortier.

Mais ce qui étonne encore plus c’est l’absence apparente de cadre formel de protection des données lors de leur transfert en Russie. Les représentants de Smart Anaytics ont apposé leur paraphe à la CCT conclue avec 3M à partir du siège de leur entreprise, à Washington. Mais il devrait y avoir un autre cadre contractuel, une CCT entre Smart Analytics et son entité russe, sa propre filiale. Existe-t-elle ? 3M ne le mentionne pas. Aux yeux de Romain Robert, « il est surprenant de voir que les données sont envoyées en Russie mais qu’aucune garantie contractuelle ne semble avoir été mise en place avec le prestataire russe, alors que cela est obligatoire en vertu du RGPD, surtout vers un pays comme la Russie qui n’offre pas de protection des données européennes équivalente à celle garantie au sein de l’Union européenne. »

Face à la fragilité de ces contrats, les fédérations hospitalières réagissent diversement. Santhea ne répond pas. L’Unessa, «  n’a pas connaissance du contenu des contrats  ». Quant aux potentielles violations du RGPD, «  cela ne relève pas de la responsabilité  » de la fédération. En Flandre, la fédération d‘hôpitaux Zorgnet-Icuro, inquiète, a confié une étude au cabinet d’audit Ernst & Young pour évaluer d’éventuels problèmes de conformité avec le RGPD. Certaines suggestions de modifications des contrats ont été faites – comme la réduction du nombre de catégories de données transférées – mais dans l’ensemble, pas de problème majeur à signaler. Nous avons demandé à accéder à cette étude.

Il n’est pourtant pas impossible qu’à la première plainte d’un patient, les amendes tombent sur les hôpitaux, tant les protections des données personnelles offertes par 3M semblent fragiles.

Vous pouvez aussi consulter en intégralité les contrats 3M / Hôpitaux belges :

Contrat de service pour l'accès au portail de benchmarking 3M Contrat de traitement de données Contrat de service pour la participation au projet 3M Benchmark Report RHM
Tags
  1. Comparaisons des performances entre établissements hospitaliers

  2. Centre européen pour les droits numériques, une ONG basée à Vienne et fondée par l’activiste Max Schrems.

Dernière mise à jour

Vous avez une question sur cet article ? Une idée pour aller plus loin ?

ou écrivez à pilotes@medor.coop

Un journalisme exigeant peut améliorer notre société. Voulez‑vous rejoindre notre projet ?

La communauté Médor, c’est déjà 3310 membres et 1682 coopérateurs

Médor est un média indépendant. Notre site ne contient pas de pub. Toutefois, il utilise quelques cookies pour faciliter son utilisation. Lisez notre politique de cookies pour en savoir plus.
En savoir plus