Données médicales, capitalisme de surveillance, Cloud act, etc.

[damien]

Un avis là dessus les pros ?

 

https://abonnes.hospimedia.fr/articles/20210302-judiciaire-un-collectif-conteste-au-conseil-d-etat?utm_campaign=EDITION_QUOTIDIENNE&utm_medium=Email&utm_source=ExactTarget

 

Un collectif conteste le choix de Doctolib dans la prise de rendez-vous en ligne pour la vaccination. Il dénonce l'hébergement des données chez Amazon web services. Doctolib défend sa position et rappelle les mesures de sécurisation mises en place.

 

Une fois encore la question de l'hébergement des données de santé pose question. Après le Health data hub (lire notre article), c'est au tour de Doctolib d'être pointé du doigt. Un collectif de treize associations, syndicats et citoyens* a en effet saisi en référé le Conseil d'État. Il conteste le choix fait par l'État de retenir, aux côtés de deux autres, l'entreprise dans la prise de rendez-vous en ligne pour la vaccination (lire notre article). En toile de fond, l'hébergement des données de santé.

 

Dans un communiqué publié le 1er mars, le collectif indique que ce choix ne pourrait pas être conforme au règlement général européen de protection des données (RGPD) car Doctolib a choisi de faire appel à une entreprise américaine, Amazon web services (AWS), pour héberger les données de santé. Or, conformément à une série de décisions de la Cour de justice de l'Union européenne (CJUE), "le droit américain n'assure pas un niveau de protection adéquat avec le RGPD". Ce choix soumet les patients "à un risque inutile", estime le collectif qui ajoute que les deux autres prestataires sélectionnés aux côtés de Doctolib, Keldoc et Maiia, assurent eux un hébergement des données auprès de sociétés françaises, respectivement OVH et Cegedim, tous deux certifiés hébergeurs de données de santé (HDS). Il demande donc la fin de l'utilisation de la plateforme de prise de rendez-vous en ligne car cela porte une atteinte grave au droit au respect de la vie privée.

 

De son côté, le directeur de Doctolib, Stanislas Niox-Chateau, a répondu point par point à cette attaque. En premier lieu, il rappelle que l'entreprise a pris depuis 2013 des "engagements forts pour protéger la vie privée et la confidentialité des données de nos utilisateurs" et respecte aussi bien le RGPD que la loi Informatique et libertés. Quant au choix de AWS, il explique que cette entreprise à laquelle elle a recours depuis mai 2019 est certifiée HDS sur les six domaines et en tant qu'hébergeur certifié respecte les réglementations françaises et européennes. Par ailleurs, Doctolib a mis en place des mesures supplémentaires pour garantir la confidentialité des données. Ainsi, l'entreprise a décidé de chiffrer l'ensemble des données hébergées chez AWS et les clés de chiffrement sont hébergées en France "sans aucune possibilité pour AWS d'y accéder", précise-t-elle. La prise de rendez-vous se fait donc dans le respect de la confidentialité et de la vie privée, conclut Stanislas Niox-Chateau.

 

Le collectif sera entendu le 8 mars prochain par le Conseil d'État.

* Les treize requérants sont : InterHop, le Syndicat national jeunes médecins généralistes (SNJMG), le Syndicat de la médecine générale (SMG), l'Union française pour une médecine libre (UFML), la Fédération des médecins de France (FMF), Didier Sicard, l'Association Constances, Les Actupiennes, Marie Citrini, personnes qualifiées au Conseil de l’AP-HP, représentante des usagers, Actions traitement, Act-Up Sud-Ouest, la Fédération Sud Santé sociaux et La Ligue des droits de l’Homme.

 

 

[damien]

https://www.lesechos.fr/tech-medias/hightech/loi-sur-les-donnees-personnelles-la-californie-ouvre-le-bal-aux-etats-unis-1160009

[Dodo]

D'un point de vue technique si c'est bien fait rien n'empeche d'etre chez AWS sans que ceux ci n'aient la possibilité de mettre le nez dans tes données. Il suffit de chiffrer correctement les données.

L'esprit de la RGPD c'est d'éviter que tes données se retrouvent dans la nature et puissent ete utilisées a des fins autre que celles prévue initialement.

Je ne vois pas trop le risque présentement.

Qui plus est une partie importante des infrastructure AWS se trouve en Europe (Paris, Francfort, Dublin etc) ce qui fait un levier physique important sur le fournisseur.

 

Voila pour le volet technique, sur le principe j'aimerais autant que ca reste chez nous. Dans les faits le principal probleme de ces plateformes s'est qu'elles se font trouées parce que les pirates informatiques sont maintenant organisés et professionnalisés. Du coup la fuite elle a 99% de chance de venir d'une faille et je pense que c'est ca quoi doit etre le facteur différenciant plutot que l'hebergeur.

[tus]

En effet, le chiffrement permet en théorie de limiter le risque d'utilisation des données par le gouvernement américain.

Cependant, il reste vrai que dès que vous utilisez un service fourni par une société américaine (google, amazon, etc...), vous tombez sous le droit américain lié au Patriot Act ou Cloud Act suivant comment vous voulez l'appeler, donc en utilisant Doctolib, vous acceptez que les données que Doctolib stocke chez Amazon soient lues par le gouvernement américain.

 

Attention, tout ce qui est chiffré dans le but d'être déchiffré un jour, est déchiffrable par brute force à plus ou moins long terme.

[Dodo]

Je pense que c'est plus simple pour la NSA de rentrer dans ta base de donnée via pishing ou autre que bruteforcer ton chiffrement :p

[tus]

Normalement dans ta base, tes données sont chiffrées aussi, si tu n'es pas un amateur :p

[damien]

Merci pour les retours.

 

J'aurais aussi préféré que ce soit National et pas délégué au privé, mais il semble que 1) le gouvernement actuel soit à fond privé / techno 2) en terme de logistique, c'est un peu le bordel. Il y a vraiment personne au ministère qui aurait été foutu de prendre ça en main ?

 

Doctolib reprend tes arguments Dodo, chiffrement, etc.

 

Je trouvais la contre-attaque intéressante: les hôpitaux attaqués par les hackers des temps modernes qui demandent des rançons - oui mais en fait où sont stokées les données.

[Totosky]

Il faut être bien naïf de croire que AWS n'exploitera pas ces données - surtout si elles sont structurées- d'une manière ou d'une autre (même si elles ne leur appartiennent pas), ne serait ce que pour entrainer des modèles prédictifs. (dixit le gars qui bosse sur des données médicales et qui doit se contraindre avec la RGPD à des PAS, PIA, MR et tutti-quanti...).

 

 

[Totosky]

Damien, il s'agit d'orientations politiques et de décisions pas toujours techniques ni justifiées d'utiliser telle ou telle plateforme. Le HealthDataHub a voulu privilégier Microsoft alors que des acteurs français comme OVH proposaient des solutions équivalentes.

[Myrdal]

Le HealthDataHub a voulu privilégier Microsoft alors que des acteurs français comme OVH proposaient des solutions équivalentes.

Alors pour le cloud j'ai testé les "cloud souverains" vs Amazon avec S3 :

 

En théorie ça fait la même chose. En pratique d'utilisation et d'exploitation, ovh ou niel (scaleway) ne sont pas prêt de détrôner Amazon.

Débit, outils d'analyse, de contrôle des couts, gestion des droits, etc ...

 

Et pour les base de données la diff est peut être moins grande mais azure de Microsoft est quand même ultra pratique et flexible. Les couts par contres sont incompréhensible...

 

Je parle de mon point de vue de ma petite boite d'info.

[Dodo]

Moi ma remarque elle est juste sur ca. Je trouve qu'OVH ou AWS c'est quand meme pas la meme service derrière.

Quand Doctolib me dit qu'ils hébergent leur infras chez AWS, why not, ca me parait adapté vu le service qu'ils entendent proposer.

Si la question c'était "est ce qu'il fallait prendre Doctolib" c'est pas la même chose (idem pour le HealthDatahub), et j'aurais un avis plus nuancé.

 

Pour ce qui est des attaques sur les hopitaux c'est généralement une paralysie des terminaux de l'hopital, du coup c'est encore un autre sujet. La cybersécurité n'a jamais été un sujet dans les hopitaux publics (bon et dans le privé c'est pareil), donc la ils sont les fesses a l'air et c'est un carnage, AWS OVH ou autre ne changerait rien a l'affaire.

 

Pour le coté je préférerais que ca soit National plutot que geré par le privé, je sais pas. Doctolib ils ont un systeme qui répond au besoin et qui est dispo la maintenant tout de suite. Si tu veux déployer la meme chose from scratch et que ca fonctionne rapidement (parce que la on parle d'un truc qui démarre dans quelques semaines) je suis pas certain que ca soit possible facilement, il n'y a pas de boite de développement nationale que je sache. Du coup ca veut dire marchés publics, appel d'offre, etc + ensuite temps de développement du logiciel/de la plateforme.

Pour moi jamais ça rentre si on veut qu'en plus ça soit fait proprement (et ça doit être fait proprement).

[tus]

Pourtant il y a plein de mecs qui travaillent dans l'informatique au niveau de l'état, je ne comprends pas qu'il n'y ait pas un service public qui gère les applications importantes... Encore une question de flexibilité, d'ouverture à la concurrence et d'essayer de limiter les coûts en interne...

Ça a super bien fonctionné avec l'appli StopCovid, les développements extérieurs, alors autant continuer et tout sous-traiter.

 

Par contre Doctolib, en effet c'est assez éprouvé maintenant et le service fonctionne bien, donc au moins on aura quelque chose qui roule :)

[Dodo]

Ah mais qu'ils soient des quiches pour ce qui est d'externaliser les devs on est aussi d'accord (stopcovid, Louvoie y a plein de beaux exemples)

[Totosky]

Concernant les services offerts par OVH et AWS, effectivement le niveau de prestation derrière ce n'est pas la même chose mais il est difficile dans un même temps de déplorer qu'on a pas de géants français ou européens dans le cloud ou sur les infra (en plus c'est faux, on a une très belle infrastructure de grille européenne EGI, très performante et je ne parle pas des centres de calcul offerts aux communautés scientifiques) et de ne pas chercher à les pousser lorsqu'on a des occasions comme le HealthDataHub. Les services d'AWS ont un coût, un coût non négligeable et font de la belle exploitation numérique (pour annoter des données ou trier des images par exemple).

 

Pour la sécurité des hopitaux, tu as partiellement tort Cyrille. La cybersécurité est au coeur des préocupations des DSI des grands centres. Il est très difficile d'accèder au réseau  d'un CHU ou autre grand centre. Ce qui paraxodalement ouvre la voie à des comportements hallucinants de la part de médecins avec des données non cryptées qui se baladent sur Drive ou Dropbox. Dans le cas du centre hospitalier de Dax ou Villefranche, on a souvent affaire à un service informatique réduit à sa portion congrue qui doivent gérer le PC de la secrétaire de la direction, la surveillance des différents  système informatique des dossiers patients, le wifi, ... Bref, les ingénieurs se basent sur les sous-traitants et leurs logiciels et c'est souvent par ce biais que les piratages ont lieu. Dans le cas de Dax, je ne serais pas surpris si on découvre qu'ex employé ou stagiaire soit à l'origine du piratage.

 

Sur la fuite de données de plus de 500 00 patients, le problème venait d'un logiciel déployé dans les laboratoires d'analyse qui n'avait pas été mis à jour avec des bases de données effectivement non cryptées.

[Totosky]

Pourtant il y a plein de mecs qui travaillent dans l’informatique au niveau de l’état, je ne comprends pas qu’il n’y ait pas un service public qui gère les applications importantes… Encore une question de flexibilité, d’ouverture à la concurrence et d’essayer de limiter les coûts en interne…

 

 

Oui, mais on a affaire à un mammouth (je parle des différentes administrations/ministères) avec une interie inimaginable parcouru par des egos et des luttes de pouvoir qui vont faire le service A va développer son propre système, que le service B va proposer le sien et le service C va externaliser. Le tout chapeauté par des hauts-fonctionnaires qui n'y comprennent pas grand chose (heureusement pas tous) et qui trouvent ça plus simple et  souhaité par des choix politiques de déléguer au privé.

[Dodo]

Etre au coeur des préoccupations = avoir du budget pour ca. Sinon c'est du bullshit. Si les équipes sont sous-dimensionnées c'est pas au coeur des préoccupations c'est de l'incantatoire.

Pour les grosses infras européennes j'avoue que je suis moins au courant. Si il existe des choses clairement ca serait bien de les pousser. Moi je suis sur un gros projet cloud, clairement OVH on a regardé et vu ce qui était dispo ben c'était no go, ou alors il fallait embaucher une armée de développeurs pour tout faire nous meme.

[damien]

Oui, mais on a affaire à un mammouth (je parle des différentes administrations/ministères) avec une interie inimaginable parcouru par des egos et des luttes de pouvoir qui vont faire le service A va développer son propre système, que le service B va proposer le sien et le service C va externaliser. Le tout chapeauté par des hauts-fonctionnaires qui n’y comprennent pas grand chose (heureusement pas tous) et qui trouvent ça plus simple et souhaité par des choix politiques de déléguer au privé.

 

HS. La série The Looming Tower - et le livre qui est encore mieux et que je viens de rendre - est assez édifiant de ce point de vue. La guéguerre CIA / FBI sur la montée de Ben Laden. Tu devrais aimer.

 

Je pense qu'il y a aussi une part de soft power de la part de Doctolib, qui développe aussi à fond de la téléconsultation. Il veut devenir le Netflix ou, tiens, le Amazon de la relation client / soignant. Et la téléconsultation on va en manger. Il y a plein de génies d'école de commerce qui te sortent des articles en anglais que quand tu les lis un peu c'est sur une étude d'impact dans les Appalaches et qui concluent que c'est presque aussi bien qu'une consultation réelle, que c'est moins pire qu'un désert médical. Il s'en servent pour te dire que c'est prouvé scientifiquement que c'est quelque chose de moderne qu'on doit mettre en place à Paris intramuros.

 

 

[Totosky]

Etre au coeur des préoccupations = avoir du budget pour ca. Sinon c’est du bullshit. Si les équipes sont sous-dimensionnées c’est pas au coeur des préoccupations c’est de l’incantatoire.

 

On parle de l'hopital public qui est sous doté en tout par désengagement de l'état. "quand on veut tuer son chien on dit qu il a la rage".

 

Pour les grosses infras européennes j’avoue que je suis moins au courant. Si il existe des choses clairement ca serait bien de les pousser. Moi je suis sur un gros projet cloud, clairement OVH on a regardé et vu ce qui était dispo ben c’était no go, ou alors il fallait embaucher une armée de développeurs pour tout faire nous meme.

 

Du coup vous êtes partis sur AWS? Avec des coûts similaires? Pour le "particulier", c'était rapidement hors de prix les prestations cloud d'amazon (en tous les cas dans un contexte de recherche).

[Totosky]

Je pense qu’il y a aussi une part de soft power de la part de Doctolib, qui développe aussi à fond de la téléconsultation. Il veut devenir le Netflix ou, tiens, le Amazon de la relation client / soignant. Et la téléconsultation on va en manger. Il y a plein de génies d’école de commerce qui te sortent des articles en anglais que quand tu les lis un peu c’est sur une étude d’impact dans les Appalaches et qui concluent que c’est presque aussi bien qu’une consultation réelle, que c’est moins pire qu’un désert médical. Il s’en servent pour te dire que c’est prouvé scientifiquement que c’est quelque chose de moderne qu’on doit mettre en place à Paris intramuros.

 

 

Mais ce n'est pas de la téléconsultation que l'on va manger. Il va s'agir de systèmes intelligents (en tous les cas poussés par la vague deep learning and co) qui vont remplacer la simple consultation chez le médecin ou le spécialiste. Et c'est poour ça que c'est encore plus inquiétant que doctolib utilise les infras d'AWS qui développe de tels systèmes. De tels systèmes qui vont générer des compte-rendus de radiologies à la place de praticiens sont déjà déployés dans  des services ou cliniques aux états-unis (approved by FDA).

[tus]

Ça reste cher Amazon, mais ils te fournissent tous les outils dont tu as besoin pour tout bien paramétrer, pour tout bien monitorer, c'est une offre en kit mais avec tout de disponible si tu le veux, bref comme la magasin Amazon, tu peux tout avoir.

 

Pour une entreprise qui ne veut en effet pas redévelopper toutes les couches logicielles qui te permettent de faire ton cloud (c'est à dire quasiment toutes les entreprises), c'est parfaitement adapté et "scalable" (le mot magique).

 

Les seules boites que j'ai vu ne pas faire ça pour l'instant, ce sont les banques, et encore il te prennent de la couche logicielle propriétaire pour se faire leur cloud privé.

[damien]

C'est vraiment très intéressant, merci

[damien]

Bon j'élargit un peu, et je partage ma veille documentaire moisie sur les rapports entre techs / capitalisme de de start up / science qui cherche des sous / pouvoirs publics / humain. Un intéressant Think Tank sur l'accélération de l'innovation.

 

https://s3-eu-west-1.amazonaws.com/static.hospimedia.fr/documents/213051/6433/innovation-brochure.pdf?1614767541

 

Ainsi, les recommandations 9-12 concernent les "Data Humaines" 9. Déployer des standards existants incitant fortement l’interopérabilité entre les sources des données de vie réelle 10. Informer et former les usagers au bénéfice collectif et individuel du partage des données de santé dans un espace sécurisé tout en les encourageant à en élargir l’usage 11. Accélérer les projets de recherche en fédérant les bases de données de vie réelle à l’échelle européenne et industrielle sur des thématiques spécifiques 12. Renforcer l’usage et l’utilité des données de santé en alignant et précisant au mieux les objectifs des parties impliquées (soins, recherche, innovation [patient ??? NDLR]) La dernière recommandation est claire: "Encourager les professionnels de santé, après formation, par une incitation financière et l’allègement administratif, à l’adoption rapide des technologies ayant fait la preuve de leur intérêt pour une prise en charge de qualité". Mon IBAN est le suivant:FR045679

 

 

 

 

[damien]

"La convergence des néotechnologies prépare des systèmes anthropotechniques qui concernent non seulement les dimensions techniques et économiques du monde commun, mais aussi les registres biologiques, psychologiques et sociaux. Cette transversalité des enjeux appelle à la réflexion éthique, juridique, psychologique de tous, citoyens et décideurs.

Comment les politiques publiques de santé mentale et de psychiatrie intègrent-elles ces impératifs ? Si les propositions des néotechnologies devaient apporter l’amélioration du service médical rendu attendue des neurosciences, comment influenceraient-elles les pratiques aujourd’hui soucieuses de prévention, d’accueil, de soin, d’inclusion en faveur de personnes vulnérables en souffrance ?" Rouvroy, Antoinette, et Alain Ehrenberg. « Des machines et des hommes : quelles convergences ? Débat entre Antoinette Rouvroy et Alain Ehrenberg », L'information psychiatrique, vol. volume 97, no. 2, 2021, pp. 116-124.

[Cowboy Georges]

"10. Informer et former les usagers au bénéfice collectif et individuel du partage des données de santé dans un espace sécurisé tout en les encourageant à en élargir l’usage"

 

Ça me rappelle ce que je disait par ailleurs : aujourd'hui, les "meilleures" boites sont celles qui font travailler l'utilisateur à leur place, à son insu. On est tout à fait dans ce cadre-là.

[Totosky]

« 10. Informer et former les usagers au bénéfice collectif et individuel du partage des données de santé dans un espace sécurisé tout en les encourageant à en élargir l’usage » Ça me rappelle ce que je disait par ailleurs : aujourd’hui, les « meilleures » boites sont celles qui font travailler l’utilisateur à leur place, à son insu. On est tout à fait dans ce cadre-là.

 

 

Ici, nous sommes dans le domaine de la santé, domaine extrêmement encadré où on ne peut pas faire n'importe quoi avec n'importe quelle donnée de soins. On se rend compte que ce sont les patients qui sont moteurs sur ces questions de collecte et de partage de données . Et qu'à partir du moment où ils sont sensibilisés , ce qu'oblige la loi, il y a une vraie volonté de partage et de participer à la recherche. Ce qui est naturel, dans un sens. Lorsque tu es atteint d'une pathologie (lourde ou pas), ben tu as envie qu'on trouve un traitement. Donc on n'est pas vraiment pas dans le cadre que tu dénonces dans le cas des données de santé même si je comprends bien ce que tu avances, Bruno.