Le débat sur Epic & Co passe à côté de l'essentiel

Les données relatives à la santé appellent, à l'évidence, une protection renforcée. Pourtant, il est rare que l'on s'attarde sur les situations concrètes dans lesquelles un risque peut réellement se matérialiser.

Ces risques sont liés à la finalité du traitement, au contexte dans lequel les données sont accessibles et aux conséquences d'un accès non autorisé. Les données de santé deviennent problématiques lorsqu’elles exposent les personnes concernées à une utilisation abusive ou à un détournement de leur finalité, qu'il s'agisse de stigmatisation, de discrimination, de préjudices professionnels ou en matière d'assurance. Voilà le réel enjeu.

Dans ce contexte, il est surprenant de constater que le débat relatif aux nouveaux systèmes d'information hospitaliers s'attarde rarement sur la finalité même des lois américaines de surveillance et d'accès aux données, pourtant invoquées avec insistance pour justifier les mises en garde. On oublie souvent que ces textes ne sont pas des instruments permettant de passer indistinctement au crible les données médicales, mais qu'ils visent des objectifs de poursuite pénale et de sécurité nationale. Il est de même rarement rappelé qu’ils visent des situations et des personnes bien précises.

La question qui s'impose alors est la suivante: quel rôle les données de santé d'une patiente ordinaire d'un hôpital suisse pourraient-elles réellement jouer dans une telle configuration?

Or, cette interrogation demeure largement absente du débat. Il suffit bien souvent d'invoquer la sensibilité particulière des données pour esquisser un tableau général de la menace, sans examiner plus en profondeur les risques concrets.

Alors que le débat tourne autour des accès possibles depuis l'étranger, d'autres risques restent remarquablement sous-estimés – des risques sans lien avec la législation étrangère, mais qui sont pourtant bien réels pour les personnes concernées.

Dans de nombreux établissements de santé, les vulnérabilités tiennent à des contraintes structurelles persistantes: des budgets consacrés à la sécurité de l’information sans commune mesure avec les risques encourus; une pénurie de spécialistes; une gouvernance des données morcelée. La sécurité de l’information fait l’objet de plans et de directives, mais ceux-ci ne sont pas toujours mis en œuvre de manière efficace.

Ces conditions façonnent le quotidien des institutions: lorsque les segmentations de réseau et les mécanismes de contrôle d’accès ne sont pas rigoureusement appliqués, ou lorsque les modèles de rôles et d’autorisations manquent de cohérence, une cyberattaque peut affecter simultanément plusieurs domaines sensibles. De même, si les différents accès aux données des patients sont enregistrés mais ne font pas l'objet d'une surveillance systématique, les anomalies ne sont détectées qu’une fois le préjudice déjà causé.

Les conséquences de tels déficits peuvent être très concrètes: lorsque les systèmes défaillent ou sont compromis, les traitements sont retardés, les processus sont interrompus et des décisions médicales doivent être prises dans l’incertitude – avec des risques immédiats pour les patients.

Ces risques n’ont toutefois rien de spectaculaire. Ils ne font pas la une des journaux et ne permettent pas de pointer du doigt des responsabilités externes clairement identifiables. C'est précisément pour cette raison qu'ils passent si aisément inaperçus.

L’attention se déplace alors, la responsabilité est indirectement transférée et la sécurité est redéfinie comme une question de dépendance externe plutôt que comme une tâche relevant d’abord de l’organisation elle-même.

L’autodétermination numérique est aujourd'hui fréquemment invoquée en réponse aux tensions géopolitiques et aux dépendances technologiques. Elle s'exprime souvent sous la forme d'une revendication de contrôle national accru, d'une plus grande autonomie et d'une réduction des dépendances, notamment à l'égard des États-Unis.

Or, la question se pose autrement, et pas uniquement dans le secteur de la santé. L’autodétermination numérique ne se mesure pas tant à l’origine des technologies employées qu’à la capacité des organisations à identifier, maîtriser et assumer leurs risques numériques.

Car l'autodétermination numérique n'est pas un état que l'on atteint une fois et que l'on coche ensuite. C'est une tâche permanente. Elle nécessite des investissements dans l'architecture, dans les processus et dans les compétences.

Dans le secteur de la santé en particulier, cette charge est souvent sous-estimée. Les cabinets médicaux fonctionnent souvent avec des infrastructures informatiques minimales et sans expertise spécialisée en matière de sécurité. Les hôpitaux, quant à eux, sont des organisations d’une grande complexité, dont les défaillances n’affectent pas seulement les données, mais directement la prise en charge des patients. Lorsqu’un établissement hospitalier est paralysé par une cyberattaque, il ne s’agit plus d’un problème abstrait de protection des données, mais d’un risque immédiat pour la santé.

Tout cela se produit indépendamment du fait qu'un système informatique provienne, ou non, d'un fournisseur américain.

Il serait sans doute plus pertinent d’orienter l’énergie que nous consacrons aux débats sur les fournisseurs de cloud américains et sur Epic vers d’autres questions.

Si nous entendons véritablement prendre au sérieux la protection des données de santé, ne conviendrait-il pas d’avoir le courage d’affronter ces risques moins confortables – parce qu’ils relèvent de notre propre organisation?

Il est peut-être temps de cesser d'entretir une représentation diffuse de la menace pour porter le regard sur nos propres zones d’ombre. Car c’est bien ce qui est en jeu: la protection des patientes et des patients.