Les annonces de données UK Biobank en Chine ravivent les questions sur la sécurité de la recherche

Pourquoi cette fuite dépasse le cadre d’une seule base de données

L’incident survient à un moment particulièrement sensible pour la politique britannique des données. Le mois dernier, le Guardian a rapporté que des données sensibles de UK Biobank avaient été exposées en ligne des dizaines de fois, soulevant des questions sur l’éventuelle faiblesse des garde-fous entourant cette ressource. Les dernières annonces ne semblent donc pas surgir de nulle part. Elles s’inscrivent dans un schéma émergent d’inquiétude concernant la manière dont l’un des atouts scientifiques les plus réputés du Royaume-Uni est protégé.

Cela compte parce que UK Biobank n’est pas une base de données de niche. Elle est régulièrement décrite comme un joyau de la science britannique, et à juste titre. Les chercheurs l’utilisent pour étudier à grande échelle le risque de maladie, la génétique, le vieillissement et la santé des populations. Si les participants ou le public en viennent à penser que la sécurité des données n’est pas gérée avec rigueur, les dégâts ne se limiteront pas à une seule institution. Ils pourraient affecter la confiance plus large dans le partage des données biomédicales et dans la recherche numérique en santé.

Chi Onwurah, qui préside le comité des sciences, de l’innovation et de la technologie de la Chambre des communes, a qualifié la fuite d’« incroyablement grave » et l’a décrite comme un nouveau coup porté à la confiance du public. Son analyse reflète les enjeux plus larges. L’infrastructure de recherche dépend non seulement de capacités techniques, mais aussi de sa légitimité sociale. Les participants doivent croire que leurs données seront utilisées de manière responsable et protégées avec compétence.

Politique, gouvernance des données et tensions internationales

Le fait que les annonces soient apparues sur une plateforme chinoise a donné une dimension internationale à une histoire déjà difficile. Murray a remercié le gouvernement chinois d’avoir agi rapidement pour aider à retirer les annonces. Onwurah, au contraire, a profité de l’occasion pour souligner l’image inconfortable d’un Royaume-Uni dépendant d’autorités étrangères pour aider à supprimer l’exposition de données de santé britanniques.

La portée politique de l’affaire est renforcée par ce que contient UK Biobank. Il ne s’agit pas de simples dossiers clients. Ces données comprennent des informations de santé profondément sensibles recueillies auprès de volontaires qui se sont inscrits dans un projet de recherche à long terme en s’attendant à ce que l’accès aux données soit encadré, et non commercialisé.

L’affaire croise aussi des évolutions récentes dans les flux de données vers le projet. En février, le secrétaire à la Santé Wes Streeting a émis une instruction légale autorisant pour la première fois le partage avec UK Biobank des données GP codées de tous les volontaires. Cette extension accroît la valeur scientifique de la base, mais augmente aussi les enjeux de toute défaillance de gouvernance. Plus l’ensemble de données s’enrichit, plus il faut s’assurer que les contrôles, la surveillance et les systèmes de réponse sont adéquats.

Les limites de l’assurance apportée par le terme « déidentifié »

Les responsables ont souligné que les données annoncées étaient déidentifiées, mais la confiance du public ne repose que rarement sur la terminologie seule. Dans les systèmes de données modernes, la déidentification est une protection importante, pas une garantie absolue. Des ensembles de données riches peuvent encore comporter des risques indirects, en particulier lorsqu’ils contiennent des informations de santé liées et lorsque l’exposition non autorisée concerne toute une cohorte de participants.

C’est l’une des raisons pour lesquelles l’incident récent peut continuer à peser, même si aucune vente n’a eu lieu. Le problème n’est pas seulement de savoir si une transaction a été conclue. Le fait est que des annonces non autorisées ont existé, et qu’au moins l’une d’elles semblait concerner des données liées à l’ensemble des 500 000 participants. Pour un projet fondé sur la participation volontaire, ce seuil est déjà alarmant en soi.

Un test de crédibilité pour l’infrastructure scientifique britannique

UK Biobank demeure l’une des ressources les plus puissantes de la recherche en santé des populations. Rien dans cet incident ne change cela. Ce qui change, c’est la charge qui incombe à l’institution et au gouvernement de montrer que la gouvernance de la base de données est à la hauteur de son importance scientifique.

La question immédiate concerne peut-être l’application par la plateforme et le suivi réglementaire. La question à plus long terme est celle de la confiance. Si le public voit se répéter les inquiétudes liées à l’exposition de cette base de données très en vue, les assurances finiront par ne plus convaincre. Ce qui comptera alors, ce seront des preuves visibles montrant que les pratiques de sécurité, les contrôles d’accès, les audits et la responsabilité ont été renforcés.

Le Royaume-Uni présente depuis des années la recherche biomédicale riche en données comme un avantage national stratégique. Pour préserver cet avantage, il devra prouver que l’ambition scientifique et la gestion des données sont traitées comme des responsabilités d’importance égale.

Cet article est basé sur un reportage du Guardian. Lire l’article original.