Sécurité

Le gouvernement britannique sous le feu des critiques pour le téléchargement de millions de dossiers médicaux – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Selon les allégations explosives de l’éminente députée conservatrice Sarah Wollaston, la société de conseil PA Consulting a peut-être commis l’une des utilisations abusives de données les plus importantes et les plus graves de l’histoire en téléchargeant 27 DVD de « statistiques d’épisodes hospitaliers pseudonymisés » dans Google BigQuery. Google BigQuery est une suite d’analyse de Big Data basée sur le cloud conçue pour analyser rapidement d’énormes ensembles de données en quelques secondes afin de renvoyer des informations utiles.

Les allégations contre PA Consulting sont particulièrement accablantes en ce moment. Il y a un mois, le Royaume-Uni a annoncé que le NHS (National Health Service) commencerait à vendre des données aux compagnies d’assurance maladie et aux fabricants de produits pharmaceutiques. Cela a provoqué une tempête de controverses qui n’a pas été apaisée par des promesses d’anonymiser les données. Les techniques dites « d’anonymisation » se sont révélées pitoyablement faciles à casser dans la plupart des cas. Des études ont montré que 87 % des Américains peuvent être identifiés de manière unique en utilisant seulement trois éléments de données : la date de naissance, le sexe et le code postal. Le programme britannique a provoqué de nouvelles protestations en étant opt-out plutôt qu’opt-in.

La fuite

Le gardien, citant Wollastanindique que PA Consulting a mis en ligne « l’intégralité de la HES du début à la fin [hospital episode statistics] ensemble de données dans les trois domaines de collecte – hospitalisation, ambulatoire et A&E. Il atteste en outre que l’ensemble de données avait la taille de 27 DVD, qu’il a fallu des semaines pour le télécharger et cite des consultants en gestion anonymes qui ont déclaré : « Dans les deux semaines suivant le début de l’utilisation des outils Google, nous avons pu produire des cartes interactives directement à partir des requêtes HES dans secondes.

Psssssst :  Intel a une faille de sécurité de chipset irréparable. Est-ce un risque ? - ExtrêmeTech

Le problème avec PA Consulting est que l’entreprise fait part de ses préoccupations en matière de sécurité à chaque étape. Ce allègrement des promesses qu’il a acheté ces données au NHS mais a pris « certaines restrictions de sécurité ». Il déclare: «Comme PA a une relation existante avec Google, nous avons poursuivi cette voie (avec l’approbation appropriée). Cela montre qu’il est possible d’obtenir même des données sensibles dans le cloud et d’appliquer les protections appropriées. »

Littéralement, la seule preuve fournie dans la documentation de PA Consulting que les mesures de protection sont appropriées ou complètes est l’utilisation du mot « approprié ».

Dans la foulée de l’histoire, PA Consulting a noté qu’il a acheté le Centre d’information sur la santé et les services sociaux (HSCIC) par les voies appropriées, que les données sont sécurisées de manière appropriée et que les informations ont été protégées conformément aux normes gouvernementales. Le HSCIC a publié son propre déclaration confirmant que c’est bien le cas. Malheureusement, le HSCIC a précédemment reconnu que ses propres « meilleures pratiques » recommandées pour anonymiser les données peut ne pas être à la hauteur.

Il n’est pas clair si c’est la fin de l’histoire; certaines sources ont laissé entendre qu’il y a des annonces bien pires à venir. De la forme des choses en ce moment, PA Consulting n’a peut-être pas enfreint la loi. Mais la conclusion sobre ici est que la collaboration entre les gouvernements et les entreprises lorsqu’il s’agit de broyer vos données personnelles en morceaux vendables n’a rien à voir avec le fait de vous servir, le propriétaire initial desdites informations.

Psssssst :  Blackphone : "Notre smartphone ne vous rendra pas à l'épreuve de la NSA, mais c'est un bon début" - High-teK.ca

Si l’objectif était de trouver un équilibre entre les véritables préoccupations de l’individu en matière de vie privée et une meilleure compréhension des coûts médicaux ou des traitements médicamenteux, le gouvernement aurait créé un nouvel ensemble de pratiques d’anonymisation à toute épreuve, tandis que le groupe de consultants aurait pris la peine d’expliquer ses précautions lors de la gestion de cette informations. Au lieu de cela, on nous dit que nous devrions faire confiance à la relation de PA Consulting avec Google, comme si Google avait été choisi pour héberger ces informations via un processus d’appel d’offres ouvert et en partenariat direct avec le NHS lui-même.

BigQuery de Google n’est pas le problème. Le problème est que ces partenariats et ces efforts de coopération ont été négociés comme des accords en coulisses. Bien sûr, il est difficile pour les États-Unis de jeter des pierres sur ce sujet particulier – nos lois HIPAA (Health Insurance Portability and Accountability Act) sont peut-être légèrement plus strictes, mais les écoutes téléphoniques obsessionnelles de la NSA et l’espionnage ont détruit toutes les affirmations que nous aurions pu faire sur notre respect de la vie privée des citoyens.

La chose la plus accablante à propos de cette histoire est que, si les explications actuelles tiennent, il se peut que personne au Royaume-Uni ne puisse rien y faire.

Bouton retour en haut de la page