Des données de patients belges atterrissent en Russie : "Un danger pour les hôpitaux"

Après une hospitalisation, comment les données du patient se retrouvent-elles en Russie ? Tout d’abord, l’hôpital encode les dossiers médicaux dans le portail de 3M. En toute logique, un transfert de données est donc opéré des hôpitaux vers 3M Belgium, mais le transfert ne s’arrête pas là. Après avoir récupéré les données, 3M Belgium les fait stocker en Allemagne puis les mets à disposition de Smart Analytics. Ce sous-traitant américain s’occupe alors de la mise à jour des bases de données depuis l’un de ses bureaux, situés en Russie. L’entreprise 3M stocke donc physiquement ces données en Europe, mais elles sont rendues accessibles depuis la Russie.

"À l’égard du RGPD, les données médicales sont qualifiées de très sensibles. C’est-à-dire qu’elle requiert une protection accrue, un traitement qui nécessite plus d’attention que pour d’autres données." Le RGPD précise que les entreprises implantées sur le territoire européen doivent toutes appliquer le règlement avec la même rigueur. Le problème est que, dans ce cas-ci, les données des hôpitaux sont traitées depuis la Russie. "Et une fois qu’on sort du territoire de l’Union européenne ou même de l’espace économique européen, il faut s’assurer que le pays qui va traiter les données hors de l’UE garantit une protection équivalente à celle que l’on va trouver sur le territoire de l’UE. La Russie ne garantit pas un traitement équivalent", ajoute Jean-Marc Van Gyseghem.

Pour les hôpitaux, le risque est d’un jour assister à une fuite de données considérée comme légale pour la Russie, mais pas pour l’Union européenne. "Par exemple, des données à caractère personnel pourraient être utilisées par les services de renseignement russes ou vendues à des data brokers. Ce serait donc une utilisation des données illégale pour l’UE."

Actuellement, on ne sait pas ce que deviennent concrètement les données utilisées par Smart Analytics, car ce n’est pas indiqué clairement dans les contrats. "Dans ces derniers, il est indiqué que Smart Analytics s’occupe de la mise à jour des données, c’est tout. Et ce n’est pas parce que le contrat le prévoit qu’il ne pourrait pas y avoir d’intrusion des autorités russes. Elles pourraient avoir un intérêt à chercher des données sur un opposant politique soigné en Belgique ou, plus grave, ces données pourraient être revendues à des sociétés de données qui les revendraient elles-mêmes à des sociétés d’assurances ou de produits médicaux. C’est une série d’utilisations possibles, car la Russie ne protège pas les données à caractère personnel comme en Europe. Les contrats que j’ai pu consulter ouvrent la porte à ces risques", conclut le chercheur en droit de l’UNamur.

Depuis la sortie de l’enquête menée par Médor et Le Soir, nous avons tenté d’obtenir des informations auprès de certains hôpitaux francophones. Pour l’instant, les hôpitaux semblent frileux à l’idée de s’expliquer sur ce sujet ; aucun n’a souhaité donner suite à nos demandes d’interviews.

►►► A lire aussi : Coronavirus et données personnelles : la Belgique dans un flou dangereux ?

Seul Erasme a accepté de nous répondre. Dans un mail, l’hôpital explique que "Erasme est un hôpital universitaire et les données des patients sont donc traitées par plusieurs centaines d’applications. A ce titre, il est impossible de décrire de façon unique comment ces données sont traitées. Nous veillons toutefois à respecter le cadre du RGPD et à appliquer au maximum ses principes. […] Concernant l’exemple de 3M sorti dans la presse en début de semaine, Erasme utilise effectivement l’application, mais ne transmet à 3M que le numéro de dossier et le numéro de visite. Des identifiants internes qui ne permettent pas au fournisseur d’identifier nos patients".

Avant d’être envoyé à 3M, les données transmises hôpital Erasme sont donc des "données pseudonymisées", grâce à un programme de cryptage fourni par 3M. "C’est une pseudonymisation insuffisante. Si vous laissez quelqu’un accéder à cette base de données, il lui suffit de connaître le nom de l’hôpital, le nombre de jours d’hospitalisation, l’âge, le sexe et le code postal pour retrouver un patient", s’inquiète Marie-Christine Closon, professeure émérite d’économie de la santé à l’UCL et chercheuse au Centre Interdisciplinaire Benchmarking Economie et Santé.

"Les hôpitaux ont pris des risques en acceptant de transmettre ces données, poursuit-elle. C’est dangereux pour eux, car c’est contre eux que se retourneront des patients lésés. Imaginez que votre patron ait accès à votre dossier psychiatrique, ou encore que votre assurance ait accès à cette base de données. Grâce à une facture, elle pourrait très facilement retrouver le patient. Il faut absolument protéger ces données, sinon on pourrait perdre la confiance des patients envers le système hospitalier, l’enjeu est de taille !"

Après avoir sollicité la société 3M Belgium, elle nous explique dans une réponse écrite que la société Smart Analytics "aide à développer le logiciel de benchmarking" et qu’elle a fait l’objet "d’une évaluation rigoureuse et a accepté contractuellement de fournir le même niveau de protection que celui que 3M Belgium offre aux hôpitaux belges. Les données limitées, accessibles à distance par Smart Analytics depuis la Russie, sont protégées par des mesures de sécurité étendues et des clauses contractuelles types (CCT) (un ensemble de clauses à utiliser entre des parties engagées dans un transfert de données pour garantir le respect des obligations qui leur incombent, ndlr) conformes au RGPD".

3M complète sa défense en justifiant que, "conformément au récent Arrêt 'Schrems II' rendu par la Cour de Justice de l’Union européenne, ces CCT restent et demeurent un mécanisme de transfert valide. Par ailleurs, en plus de ces CCT, un second processus de pseudonymisation est appliqué aux données accessibles à distance par Smart Analytics".