Le partenariat conclu entre DeepMind, la branche de Google dédiée à l'intelligence artificielle, et les hôpitaux londoniens pour concevoir une appli de suivi médical à partir de données récoltées auprès d'environ 1,6 million de patients, ne respecte pas la loi. C'est ce qu'estime la Cnil britannique dans sa décision en date du 3 juillet 2017.

Outre-Manche, les soupçons qui pesaient de longue date sur le milieu hospitalier londonien et sur DeepMind, la filiale de Google (Alphabet) dédiée à l’intelligence artificielle, sur leur non-respect des règles nationales de protection des données, viennent d’être confirmés par l’Information Commissioner’s Office (ICO, l’équivalent britannique de la Cnil).

Dans sa décision rendue ce lundi 3 juillet, l’organisme affirme que le NHS, le service de santé britannique « n’a pas respecté le règlement de protection des données en fournissant les informations concernant [près d’1,6 million de] patients à DeepMind » dans le cadre de leur partenariat.

Celui-ci visait au développement d’une application, Streams, censée permettre de repérer plus facilement, grâce aux données personnelles anonymisées des patients d’hôpitaux londoniens, de potentiels cas graves d’insuffisance rénale. L’échange de données a débuté « le 18 novembre 2015 pendant la phase de test », lorsque ces informations ne visaient pas à déployer le service d’analyse Streams mais uniquement à vérifier son fonctionnement.

Toute la question était de savoir si un tel partenariat nécessitait l’accord individuel de chacun des patients. La NHS a estimé que non, mais l’ICO vient de signifier son désaccord de la manière forte, en estimant que les patients n’ont pas bénéficié d’un «  niveau de transparence satisfaisant […] concernant l’usage de leurs données personnelles durant la phrase de test. »

« Ne pas avoir à choisir entre respect de la vie privée et innovation »

La présidente de l’institution, Eizabeth Dunham, précise : « Au vu des résultats de notre enquête, nous avons demandé [à la NHS] de signer un engagement pour adopter des changements assurant qu’elle se conforme à la loi, et nous travaillerons avec elle pour s’assurer que cela se concrétise. » Les soupçons de violation légale sur les données personnelles avaient d’abord été portés par le National Data Guardian, un organisme gouvernemental en charge de veiller sur les données médicales.

La Cnil britannique tient par ailleurs à partager 4 leçons tirées de son enquête, pour montrer que cette décision n’est pas une simple sanction mais permet au contraire de tirer des enseignements pratiques afin de mêler données médicales et respect des règles légales en matière de vie privée. « La question n’est pas de choisir entre la vie privée et l’innovation, affirme ainsi Elizabeth Dunham. Ce qui m’a frappée, c’est […] que ces manquements étaient évitables. Le prix à payer pour l’innovation n’était pas nécessairement l’érosion de droits sur les données personnelles légalement garantis. »

L’ICO appelle aussi le milieu médical à bien se documenter sur la législation en vigueur et à ne pas se précipiter dans ce genre de partenariat, soulignant que les études autour des données personnelles doivent être réalisées avant la conclusion d’une telle initiative et pas une fois que les données ont déjà été tranmises, comme cela a été le cas pour la NHS et DeepMind.

Enfin, la Cnil britannique rappelle que les capacités techniques ne sont pas à elles seul un argument convaincant pour nouer de tels partenariats. Elle estime que, dans ce cas de figure, il n’était ni « nécessaire » ni « proportionnel » de s’appuyer sur les données d’autant de patients pour tester l’application. Google a tout intérêt à tenir compte de cette décision pour ses futurs projets médicaux, l’entreprise souhaitant notamment, à terme, « prédire » nos futurs problèmes de santé.

Partager sur les réseaux sociaux