Chronique Internet

Inquiétant Dr Google

d'Lëtzebuerger Land vom 15.11.2019

Jusqu’ici, l’expression « Dr Google » renvoyait à l’habitude, quelque peu pernicieuse et sans aucun doute risquée, de vouloir diagnostiquer, voire traiter, ses problèmes de santé à coup de recherches sur le Web. Une nouvelle acception s’y est ajoutée ces derniers jours. Le Wall Street Journal a révélé cette semaine que les données médicales de quelque 50 millions de patients ont été transférées dans l’opacité la plus complète d’un prestataire de services de santé à Google. Présent dans 21 États, d’inspiration catholique et administrant quelque 2 600 hôpitaux et centres de santé, Ascension est le deuxième plus grand prestataire du genre aux États-Unis. L’opération de transfert, baptisée Project Nightingale, a été jugée tellement attentatoire au respect des données personnelles qu’un des 300 membres de l’équipe-projet conjointe de Google et Ascension a jugé bon de lancer l’alerte.

En cause, la décision prise par Ascension, dans le cadre d’un contrat passé avec la firme de Mountain View, de gérer à l’avenir sur le cloud de ce dernier les données de santé de ses cinquante millions de patients. Le lanceur d’alerte a publié, dans un clip publié sur Daily Motion, une centaine de pages relatives à Project Nightingale, y compris son calendrier et les tâches incombant aux différents participants des deux partenaires à l’horizon de mars 2020. Au passage, il épingle les problèmes que

posent à ses yeux ce montage. Pourquoi un projet de cette envergure n’a-t-il pas été rendu public ? Sans doute, fait-il valoir, parce que les patients concernés n’auraient pas consenti à ce que leurs données soient ainsi transférées. Le lanceur d’alerte estime indispensable de leur donner le droit de ne pas consentir à ce transfert.

Les données transférées d’Ascension à Google comprennent le nom et l’histoire médicale complète des patients. Une fois qu’elles sont intégrées au cloud de Google, tous les employés de celui-ci y ont accès et peuvent les triturer à loisir à l’aide des puissants algorithmes et outils d’intelligence artificielle maison. Mieux : elles serviront à affiner ces derniers ; nul doute que Google a déjà toutes sortes d’idées sur comment mieux cibler ses publicités grâce à ces précieuses données. Car Nightingale, c’est la mise à disposition complète, sans aucune espèce d’anonymisation, d’une formidable banque de données personnelles hautement sensibles à ce qui est, ne l’oublions pas, un Léviathan de la publicité.

Sans surprise, Nightingale est géré en mode projet, ses différentes « piliers » avançant en parallèle – ce qui implique, signale le lanceur d’alerte, que l’un d’eux, le transfert proprement dit, continue avant que des questions critiques relevant d’autres aspects de l’opération n’aient été traitées. Ainsi, les données de dix millions de patients ont déjà été transférées.

Dans un des documents, on apprend qu’un employé a exprimé son inquiétude quant au risque que « des individus téléchargent des données de patient », avec l’annotation « il faut s’assurer que chacun soit formé de façon à ne pas pouvoir faire cela ». Une formulation qui en dit long sur l’absence de prise en considération sérieuse des risques d’abus. Google n’a pas répondu aux doutes exprimés par des employés sur la compatibilité du projet avec la réglementation américaine sur la protection des données de patients, l’acte HIPAA de 1996.

Ce n’est qu’après le scoop du Wall Street Journal que les deux partenaires ont signé un accord, lundi, prévoyant la poursuite du transfert de données. Google Cloud a déclaré au Wall Street Journal que l’objectif de l’opération est, en dernier ressort, « d’améliorer les résultats, de réduire les coûts et de sauver des vies ». Dans un monde où les pannes informatiques, les hackers et les personnes mal intentionnées de tout genre n’existeraient pas, on pourrait être tenté d’y croire. Malheureusement, on sait que les données qui circulent sur le cloud peuvent s’en échapper et qu’en matière de données sensibles, l’occasion fait le larron. À ce compte, l’utilisation « classique » de Dr Google pour l’auto-diagnostic semble presqu’anodine.

Jean Lasar
© 2019 d’Lëtzebuerger Land