fbpx

Quand ransomware rime avec fait divers

Quand ransomware rime avec fait divers

Depuis 2017 les attaques pas ransomware opérées par des humains se sont accrues de 860% selon FireEye. La sauvegarde est souvent la patate chaude du SI par manque de formation, tests de scénario simpliste ou ignorance des fondamentaux. Souvent la personne en charge de cette tâche a reçu une simple formation sur le produit et n'est en rien un spécialiste du domaine. En cas de sinistre, chaque heure perdue pénalise davantage l'entreprise et accroît la pression sur le SI.

Cette formation vous permettra de connaître les meilleures pratiques de protection de données.

Code promo

Bénéficiez d'une remise immédiate de 15% sur l'une de mes deux formations (LMS-DP010-STD & LMS-DP010-ADV) avec le code coupon DP010LK15. Attention cette offre est valable jusqu'au 18/02/2022 minuit !


En savoir plus : Formation sur la protection des données

Maurice a besoin de vous

Depuis le dimanche 26 juillet, le « Wakashio », vraquier japonais battant pavillon panaméen, s’est-il échoué sur le récif coralien mauricien à proximité de Pointe-d’Esny avec dans ses cales 3800 tonnes d’huile lourde.

Les dommages pour l'environnement et la faune aquatique sont considérables. Par ailleurs, l'économie mauricienne a été lourdement impactée par la crise sanitaire du COVID-19 avec la chute du secteur touristique. Une chaîne de solidarité et une mobilisation citoyenne sans précédent a vue jour afin de préserver ce qui pouvait l'être encore en coordination avec les autorités.

Comment venir en aide

Vous pouvez faire un don en vous rendant sur l'une des plateformes suivantes :

Small Step Matters

EcoSud

Vous pouvez également aimer ou partager ou réagir à cet article afin de diffuser cet appel à un maximum de monde en cliquant sur l'un des boutons en bas de cette page.

Le chiffrement de données n'aura jamais été aussi simple

Sans être un activiste opprimé par le gouvernement ou un lanceur d'alerte, vous avez déjà éprouvé, à un moment de votre vie ou de votre activité, le besoin de partager des informations sensibles avec un tiers, un collègue ou un ami en toute confidentialité.

La promulgation du RGPD visant à protéger nos données personnelles, l'accroissement exponentiel au niveau mondial de la cybercriminalité ou encore les fuites de données accidentelles n'ont fait que mettre en exergue l'importance pour les entreprises, mais également pour les citoyens, de protéger leurs données.

Face à ces faits, les acteurs du secteur privé ou les organisations gouvernementales n'ont eu de cesse de renforcer leurs solutions de sécurités périmétriques afin de prévenir les intrusions voire de restaurer leurs données si d'aventure le premier rempart devait être pris d’assaut par les assaillants.

Seules 48% des entreprises déclarent avoir une stratégie de chiffrement (Ponemon Institute - 2020)

Le pourcentage rapporté par cette étude récente peut nous surprendre ou nous interloquer. Il n'en demeure pas moins qu'en cas de sinistre informatique, les cyber-assurances souscrites viendront alléger les pertes financières, les solutions de sauvegarde permettront de restaurer les données perdues et les plans de reprise d'activité permettront à l'entreprise de reprendre son activité, mais quelles seront les conséquences d'une fuite de données ? Que se passerait-il si un cybercriminel venait à diffuser des données sensibles dérobées à l'entreprise en guise de "preuve sociale" ? Quelle sera la réaction de vos clients, fournisseurs, actionnaires et partenaires en apprenant que ces données sont au vu et au su d'un large public ? Au-delà des conséquences directes énoncées que vous allez subir, c'est votre réputation ou e-réputation qui va donc en pâtir: c'est le double effet kiss-cool... En l'absence de toute stratégie de chiffrement, elles sont donc accessibles au plus grand nombre ou au plus offrant quand il s'agit notamment d'espionnage industriel.

Quelques chiffres

  • 53% des entreprises ont plus de 1000 documents sensibles accessibles à tous les employés. (Varonis)
  • 4M€ : c’est le coût moyen d’une fuite de données (IBM & Ponemon)
  • 70% du montant des amendes RGPD liés à un défaut de protection technique (CMS Enforcement Tracker)

Alors pourquoi ne pas chiffrer les données ?

Au courant du printemps 2014, l'affaire Snowden n'en finissait pas de faire des vagues. L'encre concernant ses révélations en matière de surveillance de masse, opérée entre autre par la NSA, ne cessait de couler abondamment jusqu'à provoquer un véritable tsunami médiatique. La multinationale Google également pointée du doigt, fervant défenseur des droits des utilisateurs, avait alors solennement déclaré vouloir se pencher sur le problème. Les ingénieurs de chez Google devaient alors équiper leurs solutions phares telles que Gmail avec des outils tels que PGP ( Pretty Good Privacy), un logiciel de chiffrement cryptographique à la fois robuste, mais complexe à mettre en oeuvre.L'objectif était donc de faciliter l'utilisation et la mise en place du chiffrement en le rendant accessible et simple pour tous.

Alice & Bob

En matière de chiffrement nos deux protagonistes Alice et Bobsont toujours de la partie. Contrairement à Roméo et Juliette, ils ne veulent pas se déclarer leur flamme mais simplement échanger des messsages en toute discrétion. C'est un peu moins glamour mais les obstacles ne sont pas moindres.

Ils doivent d'un commun accord définir une clé destinée à chiffrer et à déchiffrer les messages. Il est donc primordial que cette clé soit conservée secrète indépendemment des circonstances. Si la clé que nous appellerons X venait à être découverte ou dérobée alors leurs échanges pourraient être compromis.

Alice va donc écrire un message à Bob puis elle va le chiffrer au moyen de la clé X avant de lui envoyer. Le message est donc illisible par toute personne ne possédant pas cette clé. Bob va ensuite consulter son message chiffré et pourra en prendre connaissance au moyen de la clé X qu'il possède également. Cette technique de chiffrement est dite symétriquecar la clé sert pour le chiffrement et le déchiffrement des données.

Un autre chiffrement dit asymétriquefait appel à une clé publique que nous appellerons Y. Celle-ci sert exclusivement au chiffrement des informations à échanger et doit être accessible depuis un serveur par exemple. Alice et Bob disposent d'une clé secrête dictincte pour le déchiffrement des données qui aura été générée au moyen de la clé publique avant d'être distribuée.

Si ces techniques ont chacune leurs avantages et inconvénients il n'en demeure pas moins que la gestion des clés, les échanges ou encore leur préservation en toute sécurité sont des challenges et des contraintes quotidiens pour Alice et Bob (ou le service informatique).Ils devront ainsi payer ce tribu afin de garantir et préserver la confidentialité de leurs échanges quotidiens.

Alice & Bob utilisent Seald !

Vous voulez découvrir comment Alice et Bob peuvent échanger grâce à Seald leurs données en toute confidentialité, sans avoir à gérer, à échanger des clés au quotidien ou à installer un logiciel ?

C'est très simple : réservez votre place dès maintenant à notre webinaire

le 2 juin 2020 à 14h00 (Paris)



Seald, leader de la protection embarquée des documents, simplifie radicalement la manière de protéger, suivre et contrôler les documents de votre entreprise, où qu’ils aillent et d'où qu'ils viennent. Seald protège simplement et de bout en bout vos documents ou vos courriels sensibles au moyen d'un chiffrement conforme aux recommandations du NIST et de l'ANSSI.

Désormais et grâce à Seald, Alice et Bob sont ainsi les seuls à pouvoir lire ce document. A l'issue de notre webinaire vous pourrez également y accéder.

Comment la France va perdre la souveraineté de ses données de santé

De la genèse du Health Data Hub

La France, avec son système de protection sociale très centralisé, s’est dotée depuis une vingtaine d’années environ d'un ensemble de fichiers informatiques et notamment du (Système National des Données de Santé) né de la loi de santé de janvier 2016. Cet énorme fichier comporte environ 20 milliards de données où sont entre autres scrupuleusement répertoriées les prescriptions médicales, analyses de santé et toutes les causes de décès. Il s’agit donc de la plus grande base de données de santé du monde. La Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) en est le responsable du traitement et se charge de sa mise en œuvre.

Le SNDS contient approximativement 99% des données des citoyens français et son exploitation est rigoureusement encadrée tant sur le point juridique que technique.

En septembre 2017, Cédric Villani lauréat 2010 de la médaille Fields et député LREM est chargé à la demande du gouvernement de conduire une mission sur la mise en œuvre d'une stratégie française et européenne en intelligence artificielle (IA). Le rapport de 235 pages est rendu public en mars 2018. Il rapporte entre autres que l’accent doit être mis sur quatre secteurs stratégiques tels que :

  • les transports-mobilités,
  • l’environnement,
  • la défense-sécurité et enfin
  • la santé.
Cédric Villani souligne le fort potentiel de la France dans le domaine de l’IA appliquée à la santé.

Il rapporte notamment l’inadaptabilité actuelle du SNDS au développement de l’IA dans ce secteur et préconise ainsi la refonte de son architecture. Afin que la magie de l’IA opère, le rapport invite donc l’exécutif à créer une plateforme commune de données regroupant des données médico-administratives et toutes formes de données médicales (cliniques, épidémiologiques…) sous l’égide du partage et de la communication des données entre les différentes institutions afin de gagner en agilité. L’IA a besoin de données, de beaucoup de données en effet pour fournir des résultats.

Du côté patient, les études de cohorte ne sont pas laissées de côté, créant ainsi des réseaux de partage d’échantillons biologiques, de données et/ou d’informations de différentes natures entre différentes personnes et structures principales. Il s’agit d’inciter davantage les patients à participer à des essais cliniques au travers d’une nouvelle forme de consentement éclairé « électronique dynamique » tout en les informant davantage sur l’intérêt de ces essais.

A cela s’ajoute le principe de guichet unique, destiné à collecter les demandes d’expérimentation sous la forme d’un dossier unique. L’INSERM ferait alors office de guichetier. L’autorité de régulation responsable de la validation de l’accès à ce « bac à sable » devra faire part de sa réponse dans un délai de trois mois, assorti d’un principe de « silence vaut acceptation ». Le feu vert final d’accès sera donné par la CNIL. En d’autres termes, l’accès aux données ne sera plus simplement accordé aux médecins et chercheurs compte-tenu de l’infrastructure actuelle, mais également à d’autres institutions et entreprises du secteur privé telles que les assurances et les entreprises pharmaceutiques ou toute entité émettant la volonté de conduire un projet de recherche d’intérêt général : terme juridiquement flou.

La monétisation des données de santé est donc en marche

Traitement des données du HDH

Si l’utilisation d’apprentissage machine et de l’IA cristallise méfiance et inquiétude, de par l’opacité de ces technologies, la partie 5 du rapport de Cédric Villani rappelle l’importance de la transparence et de l’audibilité des systèmes autonomes du point de vue éthique et l’adaptation des droits et des libertés au regard des abus possibles. Le 12 octobre 2018, Agnès Buzyn la Ministre des Solidarités et de la Santé, confie la mise en œuvre opérationnelle de cette feuille de route à ses services, et notamment à la Direction de la recherche, des études, de l’évaluation et des statistiques (DREES) et à son directeur Jean-Marc Aubert.

Après plusieurs mois de travail sur cette même base, la loi relative à l’organisation et la transformation du système de santé, dont l’article 41 définit le groupement d’intérêt public (GIP) Plateforme de données de santé (Health Data Hub - HDH) est promulguée le 24 juillet 2019, la structure est officiellement créée quatre mois plus tard.

Les textes relatifs à sa création sont publiés le 30 novembre 2019 et Stéphanie Combes en est la cheffe de file. Le premier couac de ce qui préfigure être la médecine de demain retentit début décembre 2019.

Un hébergeur pas comme les autres

L’hébergement des donnes de santé des français sera réalisé par Microsoft avec sa plateforme cloud Azure. Le géant américain rafle le pactole sans passer par la procédure classique de mise en concurrence, normalement requise pour l’octroi de marché public. Ce partenariat avec Microsoft va déclencher alors, et à juste titre, un tôlé général. Ce sont plusieurs dizaines de professionnels du secteur de l’informatique et de la santé qui vont alors dénoncer ce qui est perçu comme une haute trahison et du favoritisme dans une tribune publiée par le journal le Monde. En réponse à ses détracteurs, Stéphanie Combes justifie que les différents poids lourds nationaux tels que Thales, OVH ou encore Atos ont été consultés à l’automne 2018 mais

n’étaient pas en mesure de faire ce qui leur était demandé,
pour reprendre ses propos.

Les géants américains tels que Google, Amazon (AWS) puis Microsoft ont semble-t-il été consultés en second lieu mais seul ce dernier était en mesure de répondre au cahier des charges et par la même, il était le seul à être certifié « Hébergeur des données de Santé (HDS) » sur les six activités, ajoute-t-elle. De son propre aveu, le choix de Microsoft n’est pas idéal et un partenaire français aurait été préférable.

En réalité, c’est le facteur temps qui va être mis en avant pour expliquer le choix de ce fournisseur :

On a préféré aller vite pour ne pas prendre de retard et pénaliser la France par rapport aux autres pays.

OVH qui est acteur majeur du Cloud Computing sur le marché français et à l’international obtiendra sa certification d’hébergeur de données de santé en mai 2019 sur l’ensemble de ses activités. Ce genre de certification ne s’obtenant pas en quelques mois, les décideurs du HDH ne pouvaient ignorer ce point. Microsoft aurait quant à lui obtenu cette certification en seulement quatre mois (source à vérifier).

La question qui se pose alors est comment justifier un tel empressement sur un projet aussi sensible et stratégique que celui de nos données de santé ? En retard par rapport à qui et à quelle échéance ?

High in the Sky

Le choix de Microsoft Azure qui fournira notamment le stockage, la gestion des logs et des annuaires et la puissance de calcul du hub soulève des questions de taille et ce à différents égards.

Il est essentiel pour les néophytes en matière d’« informatique en nuage » (Cloud Computing) d’en comprendre le modèle technique et économique.

Le cloud Microsoft Azure fournit à la demande quatre types de services distincts : le calcul (Compute), le stockage (Storage), le réseau (Networking) et l’analytique (Analytics).

Le choix d’un partenaire tel que Microsoft n’est par une première. En mai 2019, l’entreprise française Qwant (le moteur de recherche qui respecte votre vie privée), annonce un partenariat exclusif avec Microsoft Azure.

Qwant n'a cependant retenu que la partie calcul (Compute) pour répondre à sa croissance et à ses besoins exponentiels d’indexation de pages. A son instar, le Ministère des Solidarités et de la Santé aurait pu en faire de même tout en préservant le stockage et la confidentialité des données de santé conformément à l’état actuel.

Je m’interroge donc sur la pertinence de laisser le soin à Microsoft de stocker les données et ce pour plusieurs raisons.

  • Pourquoi ne pas avoir eu recours à l’utilisation d’un cloud privé et faire confiance aux prestataires de confiance qualifiés ou en cours de qualification (SecNumCloud) et recommandés par l’ANSSI ?
  • Les volumes de données de santé sont amenés à croître de manière exponentielle. Une fois les données du SNDS et du Dossier Médical Partagé (DMP), entre autres, aggrégées dans le Health Data Hub afin de « nourrir » l’IA, toutes les données issues des différents organes de santé y seront alors ajoutées jour après jour et ne cesseront donc jamais de croître.
  • Du point de vue économique, le Cloud Computing répond à un modèle économique dit OPEX s’opposant au modèle traditionnel CAPEX. Le modèle est dit « Pay-As-You-Go » : en bon français, consommez ce que vous utilisez. Quel va être le coût ce cette infrastructure dans un an, dans cinq ou même dix ou vingt ans ?
  • Est-ce que la Cour de Compte a été consultée à ce sujet ? Non !

Microsoft va donc facturer non seulement le stockage des données de santé, mais aussi les autres services comme le calcul, sur la base de ce qui sera consommé.

C’est une véritable machine à cash que l’on vient de mettre dans les mains du géant américain.

Si l’accès au HDH est payant pour des entreprises privées, il est raisonnable de penser que ce calcul de rentabilité sur la base de l’exploitation des données de santé des français a été pris en compte. Tout du moins espérons-le car Microsoft reste souverain sur la tarification de ses services. Est-ce qu’un contrat ad-hoc a été conclu avec le gouvernement car en décembre 2018 les belles promesses du cloud computing laissaient place à une sombre réalité ?

Cloud Act ou le délit d'ingérence à l'américaine

Le choix d’héberger des données de santé chez un prestataire américain pose également un problème d’ingérence dans le sens où la promulgation du Cloud Act, suite à la mise en application du RGPD en mai 2018, permet à un juge américain d’accéder aux données de toute entreprise américaine indépendamment de sa situation géographique, et ce, sans avoir à recourir à un juge dans le pays concerné, en l’occurrence ici la France.

A cette controverse, Stéphanie Combes et Microsoft rétorquent en cœur que dans les faits, ces requêtes sont émises uniquement dans le cadre d’enquêtes portant sur des affaires de criminalité et de terrorisme. Sur l’aspect sécurité, ils surenchérissent en mettant en avant un chiffrement des données stockées et en précisant que Microsoft ne détiendra pas la clé de déchiffrement.

Afin d’accroître la confidentialité des données, celles-ci seront mises en formes afin de répondre à un référentiel permettant donc de pseudonymiser lesdites données. La problématique ne porte pas tant sur l’aspect du chiffrement que sur le stockage des données du HDH sur des serveurs appartenant à une multinationale privée et étrangère, de surcroit.

La CNIL a émis des recommandations claires en termes de risques, à destination des entreprises, quant à l’emploi de la technologie de Cloud Computing. La recommandation n°3 invite l'entreprise à conduire une analyse de risque afin d’identifier les mesures de sécurité essentielles. Elle souligne par ailleurs le problème de la « dépendance technologique vis-à-vis du fournisseur de Cloud Computing », en l’occurrence Microsoft, qui induit une impossibilité de changer de solution sans perte de données.

Cette étude de risques a probablement été menée, le HDH ayant été assisté par l’ANSSI (Agence Nationale de la Sécurité des Système d’Information), auteur d’un rapport globalement positif sur la solution Microsoft Azure en termes de sécurité. Néanmoins ce choix positionne la France dans une situation de dépendance vis-à-vis d’une multinationale étrangère avec qui nous feignons être en bons termes... pour l’instant.

Il convient de rappeler la puissance institutionnelle de Microsoft et des GAFAM. Pour rappel, le Ministre de l’économie actuel Bruno Le Maire déclarait le 2 décembre 2019 la guerre aux GAFAM avec une nouvelle taxe. Il n’aura fallu que quelques semaines pour qu’il en annonce sa suspension, le 21 janvier 2020. Si les conditions contractuelles devaient être amenées à être renégociées par la France dans le futur cela n’est pas tant un problème de chiffrement ou de pseudonymisation qui se posera alors.

La France risque fort de devoir se soumettre aux exigences de son fournisseur car elle aura beaucoup de mal à faire plier Microsoft.

C'est quoi ton pseudo ?

Afin de préserver la confidentialité des données, et surtout d’assurer l’anonymat des patients, nous citoyens français, il est possible de faire appel à deux techniques distinctes :

  • l’anonymisation (celle retenue par Qwant)
  • et la pseudonymisation (HDH).

L’anonymisation est une technique visant à supprimer toute information permettant d’identifier de manière catégorique un individu dans un jeu de données. Elle supprime ainsi de manière irréversible toutes les informations visant à pouvoir ré-identifier un individu à partir d’un jeu de données.

La pseudonymisation, comme son nom l’indique, consiste à remplacer le nom et le prénom par un identifiant. Les données concernées sont des données à caractère personnel : votre nom et votre prénom par exemple qui permettent de vous identifier. Contrairement à la technique précédente, une ré-identification est toujours possible en disposant d’informations à partir de différents jeux de données ré-identifiantes.

Ces données ne comportent donc pas de nom ou d’adresse mais elles permettent d’identifier un individu au moyen d’autres informations issues d’un autre jeu de données, qui sont connues et lui sont propres (son âge, son code postal, dates d’entrée ou de sortie de l’hôpital…). Ainsi, par corrélation de ces différents jeux de données, il est possible d’identifier un individu dont les données auraient été pseudonymisées. Afin de suivre le parcours patient, les jeux de données doivent être chaînés entre eux, en d'autres termes ils possèdent tous le même pseudonyme pour un même patient.

Certaines séries américaines célèbres ont très bien mis en scène ce procédé jusqu’à voir apparaître le nom du ou des individus. La condition à cela reste bien sûr d’avoir accès aux différents jeux de données mis à disposition au travers du HDH sous la forme d’un catalogue.

Le calendrier de l’Avent spécial #COVID-19

Afin d’y voir plus clair, j’ai pris la peine de regrouper les évènements chronologiques qui ont précédé la création du Health Data Hub sur fond de crise du #COVID-19. Vous y trouverez des évènements et des personnalités en connexion directe ou non avec le projet actuel. Il convient de préciser que tous ces éléments sont factuels et facilement vérifiables.


23 février 2017
Le premier ministre Bernard Cazeneuve, sous le mandat de François Hollande, participe à cérémonie d'inauguration du laboratoire national P4 situé au sein de l’institut de virologie de Wuhan. Ce laboratoire de haute sécurité est le fruit de la collaboration franco-chinoise au travers d’une centaine d’organisations et notamment l’INSERM.
Septembre 2017
Le président français Emmanuel Macron confie au député LREM Cédric Villani la mission de mise en œuvre d'une stratégie française et européenne en matière d’intelligence artificielle (IA).
Mars 2018
Le rapport de 285 pages est remis au gouvernement et servira de feuille de route pour l’élaboration du Health Data Hub.
12 octobre 2018
La Ministre des Solidarités et de la Santé, Agnès Buzyn, confie la mise en œuvre opérationnelle de cette feuille de route à ses services notamment la DREES dirigé par Jean-Marc Aubert.
6 novembre 2018
Microsoft devient le premier acteur majeur du Cloud public en France à recevoir la certification Hébergeur de données de santé (HDS) au nom des autorités française. Le précieux sésame est délivré par le BSI Group.
Automne 2018
Une consultation débute auprès des acteurs français puis américains pour l’hébergement des données de santé du futur HDH.
20 mai 2019
OVH obtient sa certification d’hébergeur des données de santé (HDS) sur l’ensemble de ses activités.
24 juillet 2019
La loi relative à l’organisation et la transformation du système de santé, dans le cadre du HDH, est promulguée.
4 Septembre 2019
Cédric Villani officialise sa candidature pour la mairie de Paris.
18 Octobre 2019
Un exercice de simulation d’une épidémie d'un nouveau coronavirus zoonotique transmis de la chauve-souris au porc et à l'homme, puis d'une personne à l'autre entraînant une grave pandémie mondiale. Cet évènement, baptisé Event 201, se déroule à New York en présence de différents responsables dont Jeffrey French de la Fondation Bill et Melinda Gates.
17 novembre 2019
La maladie à coronavirus 2019 (Covid-19), provoquée par le coronavirus SARS-CoV-2, apparaît dans la mégapole chinoise de Wuhan comptant 11 millions d’habitants.
Novembre 2019
La plate-forme cloud Microsoft Azure est retenue pour l’hébergement des données de santé (décision antérieure).
1 décembre 2019
Les textes relatifs à la création du HDH sont publiés dans le journal officiel.
18 décembre 2019
Jean-Marc Aubert quitte la DREES et la « task force » sur le financement de l'hôpital. Il prend la tête de filiale française d’IQVIA. Tout du moins il effectue un retour aux sources puisqu’il en était directeur « solutions patients » aux Etats-Unis jusqu’en octobre 2017. IQVIA est une entreprise américaine cotée sur le marché boursier (NYSE:IQV). Il est leader dans la fourniture d’informations, de technologies innovantes et de services d’étude de recherche sous contrat utilisant la donnée et la science pour aider les acteurs de santé à trouver de meilleures solutions pour les patients.
24 janvier 2020
Les deux premiers cas confirmés de Covid-19 sont déclarés. La France est l’un des premiers pays européens touchés et le septième pays au monde.
16 février 2020
La Ministre des Solidarités et de la Santé, Agnès Buzyn, remet sa démission au premier ministre et annonce sa candidature à la mairie de Paris en remplacement de Benjamin Griveaux, tête de liste LREM. Olivier Véran est nommé en remplacement d’Agnès Buzyn.
28 février 2020
L’OMS considère le risque international comme « très élevé » face au COVID-19.
22 mars 2020
Lancement de l'essai clinique Discovery, piloté par l'Institut national de la santé et de la recherche médicale (INSERM) dans le cadre du programme européen REACTing. Dirigé par Florence Ader, infectiologue de profession, il doit concerner environ 3200 patients européens dont 800 français, répartis en cinq groupes de tests sous la forme de quatre traitements. Les résultats sont attendus fin avril 2020.
9 avril 2020
Le gouvernement présente officiellement son projet d'application de traçage numérique de la population avec l'applicaition mobile StopCOVID. La plateforme logicielle "clé en main", proposée gratuitement comme base d'application à tous les gouvernements par Google et Apple reste une solution envisagée, propos tenus par le secrétariat d'Etat au Numérique. Le lancement officiel est prévu pour le 6 juin 2020.
14 avril 2020
Le président des Etats-Unis Donald Trump annonce la suspension de la contribution financière de son pays à l’OMS.
26 avril 2020
La CNIL publie son rapport sur le projet d'application StopCovid tout en émettant des réserves et en demandant des garanties supplémentaires.

Et l’OMS dans tout cela ?

La mise en suspens de la contribution financière des Etats-Unis amène à se poser des questions quant à la gestion de la crise du COVID-19 par l’OMS. Depuis le début de la pandémie, cette organisation onusienne est vivement critiquée sur sa communication et sa gestion de crise. On évoque même parfois une forme de collusion entre l’OMS et la Chine représente fin 2017 à peine à 8 % du budget annuel global de l’Organisation, soit environ 2,1 milliards de dollars. Ce budget mondial en constante augmentation reste environ deux fois inférieur à celui du Ministère des Solidarités et de la santé en France. Celui-ci a dépassé le milliard par la loi de finances initiale pour 2020.

Le financement de l’OMS est assuré par 194 pays dans le monde. Le retrait (suspension) de son plus gros contributeur à savoir les Etats-Unis (22 %) ne va pas être sans conséquence. Parmi les autres gros contributeurs, il faut citer le Japon (9,7 %), la Chine (7,9 %), l'Allemagne (6,4 %), la France (4,9 %), le Royaume-Uni (4,5 %), le Brésil (3,8 %) et le Canada (2,9) %. Les autres pays contribuent de façon vraiment symbolique.

L’autre facette de ce financement concerne la répartition entre les états, le secteur privé (industries pharmaceutiques) et quelques généreux donateurs… et par conséquent des conflits d’intérêts qui pourraient émerger et sa capacité à garder une forme d’indépendance. A l’issu de la réunion annuelle de l’Assemblée mondiale de la santé de 2018, le WHA l’organe de décision de l’OMS, a publié le rapport d’audit financier annuel pour l’année 2017. Il fournit des détails révélateurs sur la provenance du financement de l’OMS. Au cours de cet exercice, le montant total des fonds versés à l’OMS par des acteurs non étatiques, industrie pharmaceutique en tête, est supérieur à celui des états avec 1,08 milliards de dollars contre 1,06 milliards de dollars respectivement.

Ce rapport indique également que La Fondation Bill & Melinda Gates a versé au total près de 327 millions de dollars faisant de cette association le deuxième donateur par ordre d’importance.

Si les Etats-Unis devaient retirer définitivement leur financement, la fondation se verrait alors en pole position en termes de contribution. L’intérêt porté par Bill Gates co-fondateur de Microsoft à la santé et notamment aux vaccins n’est pas récent. Cet homme d’affaires a débuté son parcours philanthropique, il y a de cela près de vingt années avec une succession de donations et d’œuvres caritatives. En 1999, il s’engage notamment à verser 750 millions de dollars pour fonder GAVI. Cette fondation souhaite rendre plus rapide l'accès aux vaccins pour les pays en développement et soutenir la recherche de façon à trouver pour ces pays des solutions de santé efficaces, abordables et pérennes. La Fondation Gates contribue aux efforts de GAVI Alliance visant à façonner le marché des vaccins par un rôle à la fois technique et financier. Elle contribue à recueillir des données servant à guider les prises de décision et à apporter des fonds. Le même document officiel de l’OMS porte à environ 150 millions de dollars la contribution de GAVI Alliance à l’OMS lors de cet exercice soit le quart du budget au cumul des deux. Une autre organisation non gouvernementale apparaît ainsi également dans le paysage de la crise du COVID-19. Si celle-ci se défend de faire l’objet d’une série d’accusations relevant de la « théorie du complot », son objectif final est sujet à caution.

En matière de théorie du complot, je pense qu’il y a deux erreurs à ne pas commettre. La première erreur est de voir des complots partout. Quant à la seconde, c’est de les voir nulle part. Il est probable que la vérité se situe quelque part entre les deux.

C'est quoi ton ID ?

Il faut remonter quelques années en arrière, en mai 2016 au siège des Nations Unis à New York, où se tient la session inaugurale ID2020 Alliance... oui vous avez bien lu... ID, 2020. Les premiers y verront un complot les second un concourt de circonstances. Cet évènement organisé en grande pompe mais assez peu médiatisé regroupait environ 400 personnes avec pour objectif de réfléchir sur la manière de fournir une identité numérique à tous.

Les entreprises telles qu’Accenture, Avanade Inc, Cisco Systems, PricewaterhouseCoopers ou encore Microsoft ont contribué à apporter leur expertise en la matière, entre autres avec la Blockchain. Comme l’indiquait Dakota Gruener, la directrice générale de l’organisation ID2020 :

Imaginez que vous ne puissiez pas vous inscrire à l'école, voter ou ouvrir un compte bancaire ou souscrire à un forfait pour un téléphone mobile. Vos documents d’identité peuvent être perdus ou détruits, et sont fondamentalement sous le contrôle de l'institution émettrice. (Imagine being unable to enroll in school, vote, or open a bank or cell-phone account. Paper-based credentials can be lost or destroyed, and are fundamentally controlled by the issuing institution.).

Exerçant depuis près de vingt ans dans le domaine de la protection des données, cela me parle en effet et cela a du sens, néanmoins les arguments restent forts légers au regard des dérives technologiques possibles et problèmes d’éthiques évidents susceptibles d’en découler. ID2020 s’est fixé un manifeste en dix points pour la mise en œuvre de ce programme mondial. Lors de son sommet annuel, ID2020 a annoncé le démarrage de son projet tentaculaire en partenariat avec le gouvernement du Bengladesh, des partenaires privés et GAVI Alliance. La finalité n’est donc pas seulement l’identification électronique mais la vaccination d’une partie de la population la plus démunie.

Ce programme s’intègre dans le cadre du Bangladesh Government’s Access to Information (a2i) Program. L’objectif pieux est d’améliorer la couverture vaccinale dans les pays en voie développement avec un traitement respectueux des données personnelles. Le conseiller politique Anir Chowdhury du programme a2i a déclaré :

The Government of Bangladesh recognizes that the design of digital identity systems carries far-reaching implications for individuals’ access to services and livelihoods, and we are eager to pioneer this approach.

J’aurai presque envie d’en rire si le sujet n’était pas si grave. Nulle mention n’est également faite sur la nature des vaccins qui ont été injectés sur cette cohorte de population. Certaines campagnes de vaccination organisées en coopération avec la fondation Bill et Melinda Gates ont déjà donné lieu à de nombreux scandales sanitaires et un procès en Inde.

Enfin, en l’absence de toute loi régissant la protection des données au Bengladesh, je me demande de quelle manière les citoyens pourront exercer leurs droits les plus élémentaires (rectifications, suppressions, modifications).

Monétisation des données de santé

Allons-nous avoir d'un côté les bons citoyens disposant d’un identifiant numérique, acceptant la vaccination et une application de traçage que l’on récompensera en accédant aux services de l’état (prestations, allocations, soins, moyens de transport...) et de l'autre les mauvais : des citoyens s'opposant à toutes ces mesures, refusant de "nourrir" en continu (consentement électronique dynamique) des bases de données traitées par de l’IA, coupables désignés des futures pandémies qui se verront limités dans leurs libertés individuelles ?

Une nouvelle gouvernance des données face à l’IA

Je finirai sur quelques éléments de réflexion issus du rapport de Cédric Villani intitulé « Donner un sens à l’Intelligence Artificielle ». Si je suis persuadé que l’IA présente un intérêt certains en matière de recherche médicale et sur bon nombre d’autres domaines, il reste indispensable d’encadrer ces technologies du point de vue légal et éthique.

Il rappelle à juste titre :

En matière d’IA, la politique d’inclusion doit ainsi revêtir un double objectif : s’assurer que le développement de ces technologies ne contribue pas à accroître les inégalités sociales et économiques ; et s’appuyer sur l’IA pour effectivement les réduire.

Il est par ailleurs crucial d’apporter de la transparence dans l’emploi de technologies telles que l’apprentissage machine et l’IA :

Enfin une société algorithmique ne doit pas être une société de boîtes noires : l’intelligence artificielle va être amenée à jouer un rôle essentiel dans des domaines aussi variés que cruciaux.

La France dispose à l’heure actuelle d’un cadre juridique relativement protecteur mais centré sur l’individu qui reste inadapté face aux technologies de surveillance de masse et de collecte de données à grande échelle.

La fenêtre d’ajustement reste étroite pour la France qui risque de perdre d’un côté la bataille face à des puissances économiques, telles que la Chine, moins contraignantes sur le plan éthique si elle renforce sa réglementation, et de l’autre d’abandonner sa souveraineté nationale en renonçant à ses valeurs et en se détournant de ses entreprises nationales talentueuses.

La peur est mauvaise conseillère. Il est déjà fort probablement que nous ayons perdu une partie de nos valeurs en ouvrant la boite de Pandore. La marchandisation des données de santé est en marche. L’avenir nous dira si les retombées économiques escomptées viendront soutenir notre système de santé que les gouvernements successifs détruises pierre par pierre depuis des années.

Une réflexion doit être apportée en matière de gouvernance des données et plus particulièrement des données de santé. Notre législation peine à s’adapter aux technologies et restera toujours plus lente à évoluer que celle du code informatique. Face à la défiance légitime des citoyens en termes de collecte de données et l’érosion progressive de la confiance envers les politiques et diverses organisations non gouvernementales, un nouveau modèle de contrôle des données personnelles semble nécessaire.

La solution est peut être outre atlantique auprès de nos amis canadiens avec une réflexion intéressante sur ce qu’il convient de nommer une fiducie de données.

Protection des données de l'entreprise