Une base de données de recherche phare subit un nouveau test de confiance
Les dossiers de santé confidentiels de 500 000 volontaires britanniques ont été proposés à la vente sur Alibaba via trois annonces distinctes, selon une déclaration du ministre britannique du numérique Ian Murray à la Chambre des communes. Les données étaient liées à UK Biobank, l’une des ressources de recherche biomédicale les plus importantes au monde et une pierre angulaire de la science britannique.
Les annonces ont désormais été retirées après que le gouvernement britannique a travaillé avec Alibaba et le gouvernement chinois, et Murray a indiqué au Parlement qu’aucune vente n’aurait eu lieu. Mais l’épisode a renforcé les inquiétudes concernant la sécurité des données détenues par UK Biobank, qui contient certaines des informations de recherche les plus sensibles jamais réunies dans le pays.
Le projet conserve des données de santé provenant de 500 000 volontaires, notamment des séquences génomiques, des scanners cérébraux, des échantillons de sang et des dossiers diagnostiques. L’accès est accordé à des scientifiques d’universités et d’entreprises privées du monde entier via une procédure de demande. C’est précisément cette valeur scientifique qui rend la dernière exposition si importante : plus l’ensemble de données devient riche et largement utilisé, plus la confiance dans sa protection devient essentielle.
Ce qui a été exposé et ce que les responsables ont dit
Murray a déclaré que l’organisme caritatif UK Biobank avait informé le gouvernement le lundi 20 avril que ses données avaient été mises en vente par plusieurs vendeurs sur les plateformes de commerce électronique d’Alibaba en Chine. Selon son récit, au moins l’un des trois ensembles de données semblait contenir des données de participation pour l’ensemble des 500 000 volontaires.
Le ministre a décrit ces informations comme « déidentifiées », c’est-à-dire que les identifiants personnels évidents avaient été supprimés. Mais déidentifié ne signifie pas inoffensif. La valeur de UK Biobank réside dans la profondeur et la richesse de ses données de santé liées. Même dépourvues d’identifiants directs, ces données peuvent toujours soulever d’importants problèmes éthiques et de sécurité si elles sont traitées hors des canaux autorisés.
UK Biobank s’est signalé lui-même à l’Information Commissioner’s Office. Ce signalement montre que les autorités reconnaissent que l’affaire dépasse la simple modération de plateforme ou la revente non autorisée. Il s’agit désormais d’un enjeu réglementaire ayant des implications pour la gouvernance, la supervision et la confiance du public dans les systèmes de données de santé à grande échelle.
Pourquoi cette fuite dépasse le cadre d’une seule base de données
L’incident survient à un moment particulièrement sensible pour la politique britannique des données. Le mois dernier, le Guardian a rapporté que des données sensibles de UK Biobank avaient été exposées en ligne des dizaines de fois, soulevant des questions sur l’éventuelle faiblesse des garde-fous entourant cette ressource. Les dernières annonces ne semblent donc pas surgir de nulle part. Elles s’inscrivent dans un schéma émergent d’inquiétude concernant la manière dont l’un des atouts scientifiques les plus réputés du Royaume-Uni est protégé.
Cela compte parce que UK Biobank n’est pas une base de données de niche. Elle est régulièrement décrite comme un joyau de la science britannique, et à juste titre. Les chercheurs l’utilisent pour étudier à grande échelle le risque de maladie, la génétique, le vieillissement et la santé des populations. Si les participants ou le public en viennent à penser que la sécurité des données n’est pas gérée avec rigueur, les dégâts ne se limiteront pas à une seule institution. Ils pourraient affecter la confiance plus large dans le partage des données biomédicales et dans la recherche numérique en santé.
Chi Onwurah, qui préside le comité des sciences, de l’innovation et de la technologie de la Chambre des communes, a qualifié la fuite d’« incroyablement grave » et l’a décrite comme un nouveau coup porté à la confiance du public. Son analyse reflète les enjeux plus larges. L’infrastructure de recherche dépend non seulement de capacités techniques, mais aussi de sa légitimité sociale. Les participants doivent croire que leurs données seront utilisées de manière responsable et protégées avec compétence.
Politique, gouvernance des données et tensions internationales
Le fait que les annonces soient apparues sur une plateforme chinoise a donné une dimension internationale à une histoire déjà difficile. Murray a remercié le gouvernement chinois d’avoir agi rapidement pour aider à retirer les annonces. Onwurah, au contraire, a profité de l’occasion pour souligner l’image inconfortable d’un Royaume-Uni dépendant d’autorités étrangères pour aider à supprimer l’exposition de données de santé britanniques.
La portée politique de l’affaire est renforcée par ce que contient UK Biobank. Il ne s’agit pas de simples dossiers clients. Ces données comprennent des informations de santé profondément sensibles recueillies auprès de volontaires qui se sont inscrits dans un projet de recherche à long terme en s’attendant à ce que l’accès aux données soit encadré, et non commercialisé.
L’affaire croise aussi des évolutions récentes dans les flux de données vers le projet. En février, le secrétaire à la Santé Wes Streeting a émis une instruction légale autorisant pour la première fois le partage avec UK Biobank des données GP codées de tous les volontaires. Cette extension accroît la valeur scientifique de la base, mais augmente aussi les enjeux de toute défaillance de gouvernance. Plus l’ensemble de données s’enrichit, plus il faut s’assurer que les contrôles, la surveillance et les systèmes de réponse sont adéquats.
Les limites de l’assurance apportée par le terme « déidentifié »
Les responsables ont souligné que les données annoncées étaient déidentifiées, mais la confiance du public ne repose que rarement sur la terminologie seule. Dans les systèmes de données modernes, la déidentification est une protection importante, pas une garantie absolue. Des ensembles de données riches peuvent encore comporter des risques indirects, en particulier lorsqu’ils contiennent des informations de santé liées et lorsque l’exposition non autorisée concerne toute une cohorte de participants.
C’est l’une des raisons pour lesquelles l’incident récent peut continuer à peser, même si aucune vente n’a eu lieu. Le problème n’est pas seulement de savoir si une transaction a été conclue. Le fait est que des annonces non autorisées ont existé, et qu’au moins l’une d’elles semblait concerner des données liées à l’ensemble des 500 000 participants. Pour un projet fondé sur la participation volontaire, ce seuil est déjà alarmant en soi.
Un test de crédibilité pour l’infrastructure scientifique britannique
UK Biobank demeure l’une des ressources les plus puissantes de la recherche en santé des populations. Rien dans cet incident ne change cela. Ce qui change, c’est la charge qui incombe à l’institution et au gouvernement de montrer que la gouvernance de la base de données est à la hauteur de son importance scientifique.
La question immédiate concerne peut-être l’application par la plateforme et le suivi réglementaire. La question à plus long terme est celle de la confiance. Si le public voit se répéter les inquiétudes liées à l’exposition de cette base de données très en vue, les assurances finiront par ne plus convaincre. Ce qui comptera alors, ce seront des preuves visibles montrant que les pratiques de sécurité, les contrôles d’accès, les audits et la responsabilité ont été renforcés.
Le Royaume-Uni présente depuis des années la recherche biomédicale riche en données comme un avantage national stratégique. Pour préserver cet avantage, il devra prouver que l’ambition scientifique et la gestion des données sont traitées comme des responsabilités d’importance égale.
Cet article est basé sur un reportage du Guardian. Lire l’article original.
Originally published on theguardian.com
