Santé : comment sécuriser les données ?
La Bretagne, terre cyber
Nos données de santé nécessitent une surveillance particulière lorsqu’elles sont partagées. Des chercheurs misent sur une nouvelle stratégie de défense : le tatouage numérique.
Le CHU de Rennes stocke un pétaoctet de données… soit un million de milliards d’octets. Une grande partie de ses serveurs contiennent des informations sensibles, comme des résultats sanguins, des imageries médicales, ou même des analyses génétiques. Ces données sont surveillées de près, car en tombant entre de mauvaises mains elles risqueraient d’être utilisées à des fins commerciales. « Des mutuelles et des assurances pourraient moduler leurs tarifs ou les conditions d’accès à un prêt selon la santé de l’individu », alerte Christine Pichon-Abarnou, directrice du système d’information du CHU.
Une diffusion restreinte
Ces informations personnelles restent pourtant fondamentales pour comprendre certaines pathologies et développer de nouveaux traitements. « Nous étudions la manière dont nous pouvons les partager sans les compromettre. Il y a a minima une étape de pseudonymisation. Mais il n’est pas possible d’anonymiser les données à 100 %, sans affecter leur pertinence. »
En 2018, le RGPD1 a marqué un tournant. « Nous devons désormais évaluer les effets sur la vie privée des patients dès que ces données sont utilisées, indique Christine Pichon-Abarnou. Leur diffusion doit être la plus restreinte possible. Par exemple, la plateforme Doctolib a déjà été questionnée par la CNIL2, car elle conservait des informations plus longtemps que nécessaire. Elle a depuis procédé à des corrections. »
Pour partager des informations sans les compromettre, le laboratoire Latim3 de Brest a développé une nouvelle approche : le tatouage numérique. Il s’agit d’ajouter quelques détails imperceptibles dans un document, une image, ou un jeu de données. « Par exemple, sur une radiographie le tatouage va modifier légèrement la couleur de certains pixels mais ces variations sont invisibles à l’œil nu. Nous utilisons des techniques de masquage pour que ces modifications discrètes ne nuisent pas à la qualité de l’image ou des données », explique Gouenou Coatrieux, professeur à l’IMT Atlantique4.
Éviter les falsifications
Une personne malveillante ne peut pas contourner cette sécurité, car le tatouage fait partie intégrante du jeu de données. À chaque fois que ce dernier est partagé avec un nouvel utilisateur, un tatouage différent peut y être inséré. En cas de diffusion, l’auteur de la fuite est directement identifié.
Le tatouage numérique peut aussi cacher une signature. Celle-ci sert à relier des informations à un document pour protéger les droits d’auteur, mais aussi pour éviter les falsifications. La start-up WaToo5 à Brest exploite cette technologie. Cet outil de dissuasion procure un verrou supplémentaire. Malgré tout, Gouenou Coatrieux rappelle que l’ajout d’un tatouage ne doit pas faire oublier l’essentiel : il faut rester vigilant car la sécurité absolue n'existe pas.
1. Le règlement général sur la protection des données.
2. La Commission nationale de l'informatique et des libertés.
3. Laboratoire de traitement de l'information médicale.
4. Au Département image et traitement de l'information.
5. Fondée en 2018 par Javier Franco-Contreras, un ancien doctorant du laboratoire brestois.
Christine Pichon-Abarnou
christine.pichon@chu-rennes.fr
Gouenou Coatrieux
gouenou.coatrieux@imt-atlantique.fr
TOUT LE DOSSIER
du magazine Sciences Ouest