L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Solutions

    Blockchain vs RGPD: le match de la conformité

    PARIS (TICpharma) - Alors que la blockchain prend une place de plus en plus prépondérante dans le secteur de la santé, grâce à l’inaltérabilité et l'intégrité des données qu’elle offre, cette technologie soulève aujourd'hui plusieurs interrogations quant à sa compatibilité avec le règlement général européen relatif à la protection des données (RGPD).

    S'il devait y avoir un match blockchain versus RGPD: qui l'emporterait sur le terrain de la conformité?

    En septembre 2018, la Commission nationale de l'informatique et des libertés (Cnil) a apporté de premiers éléments de réponse.

    Après avoir rappelé la définition de la blockchain, qui est donc "une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre ou transactions, sont visibles de l'ensemble des utilisateurs, depuis sa création", la commission souligne les caractéristiques de cette technologie, celles-là même qui interrogent quant à sa compatibilité avec le RGPD.

    Les données inscrites sur une chaîne sont ainsi réputées être inaltérables car difficilement modifiables sans l’accord des membres du réseau une fois qu’elles sont inscrites dans un bloc de la chaîne, et leur inscription est irréversible.

    Or, ce caractère immuable semble être contraire aux principes du droit de rétractation, d’effacement ou de conservation limitée des données posés par le règlement européen (article 17) et entraverait aussi le droit de rectification de ses propres données (article 16).

    Pourtant, la Cnil est claire: "lorsque la blockchain concerne des données personnelles, le RGPD s’applique".

    Dans le monde de la santé, il devrait donc s’appliquer deux fois, les données de santé étant des données personnelles, "sensibles" qui plus est.

    Alors pour contourner le problème de l’irréversibilité d’une inscription dans un bloc de la chaîne, la Cnil propose une solution.

    Si la blockchain, en tant que technologie, "n’est pas, par elle-même, un traitement de données ayant une finalité à part entière", ses participants -ceux qui décident de l’enregistrement d’une donnée sur la chaîne- doivent être considérés comme responsables de traitement "dans la mesure où ils décident de la finalité et des moyens du traitement de données", plaide la commission.

    Comme rappelé dans l’article 24 du règlement européen, le responsable de traitement doit être en mesure démontrer la conformité de ses traitements aux obligations posées par le RGPD.

    En cas de contrôle du régulateur -en France, la Cnil-, tout acteur public ou privé en défaut avec le RGPD risque une sanction qui peut s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’exercice précédent, rappelle-t-on.

    "La blockchain peut devenir un outil de conformité puisque comme responsable de traitement, vous devez mettre en place un registre du consentement, qui permettra de collecter toutes les demandes faites en vue de l’utilisation des données chaînées", a expliqué à TICpharma Me Thierry Vallat, avocat aux barreaux de Paris et Tallinn (Estonie), spécialisé dans le droit numérique.

    Concernant "l’exercice des droits des usagers", la Cnil indique que la blockchain n’empêche pas le droit d’accès et le droit à la portabilité, la donnée restant accessible et transportable.

    Pour les droits à l’effacement, de rectification et d’opposition au traitement, un contournement serait possible. "Même si la Cnil a pris acte du caractère immuable de cette technologie, il y a aujourd’hui des solutions qui permettent de couper l’accessibilité de la donnée chaînée et donc d’assurer une certaine forme de droit à l’oubli, comme inscrit dans l’article 17 du RGPD", a détaillé Me Vallat.

    "Pour l’instant, blockchain et RGPD ne sont pas complètement compatibles mais la blockchain prend une place de plus en plus importante et il faut composer avec. A l’avenir, c’est sans doute le RGPD qui va s’assouplir pour devenir compatible avec la blockchain", a prédit l’avocat.

    En attendant que le législateur européen lâche du lest, plusieurs innovations développées par des entreprises privées peuvent répondre à cette exigence de conformité. Dans sa note, la Cnil salue d'ailleurs ces "solutions technologiques, qui méritent d’être évaluées".

    Des pistes pour la compatibilité

    Outre le sujet du recueil du consentement des patients, un autre enjeu est central pour rendre compatibles RGPD et blockchain: la traçabilité des traitements de données.

    Dans son livre blanc "Blockchain for better care" paru en novembre 2017, le think tank Healthcare Data Institute (HDI) propose deux exemples d'adaptation de la blockchain à cet enjeu (lire dépêche du 28 novembre 2017).

    Ainsi, le HDI promeut l'utilisation d'une chaîne de blocs comme registre d'authentification du consentement des patients pour la participation à un essai clinique donné, et le recours aux "smart contracts" (protocoles informatiques qui s'auto-exécutent à certaines conditions), qui permettent une traçabilité tout au long de la chaîne.

    De son côté, David Manset, directeur recherche et innovation chez Be-Studys (groupe Be-Ys), propose une solution pour gérer la traçabilité complète des échanges et des traitements de données personnelles.

    Il a ainsi imaginé, avec le consortium MyHealthMyData (MHMD), lancé en novembre 2016 (lire dépêche du 16 décembre 2016), une plateforme d'échanges de données médicales tracés et sécurisés.

    "Nous ne stockons dans la blockchain que des liens vers les informations, et non les informations elles-mêmes", a-t-il précisé à TICpharma.

    "Nous avons pris une technologie blockchain en open source, déjà industrialisable, et nous avons modifié le moteur transactionnel de cette blockchain pour qu'il nous permette d’organiser un registre de traçabilité des données, des échanges et des traitements de manière anonyme", a détaillé le responsable de Be-Studys.

    Concrètement, la société a mis au point un algorithme de "proof of privacy" (ou "preuve de confidentialité") qui va s’assurer que toutes les écritures relatives à la traçabilité des données dans le registre blockchain sont anonymes.

    "L’idée est d’empêcher de savoir qui a participé à quel contrat et qui est destinataire du contrat." Le propriétaire de la donnée est donc intraçable.

    Le droit à l'effacement rendu possible

    Dans le projet MyHealthMyData, les preuves d’existence des données et des consentements sont, elles, enregistrées dans la blockchain au moyen d’une empreinte cryptographique "unique et à sens unique".

    "C’est-à-dire que chaque donnée dispose d’une empreinte, comme une carte d’identité qui la protège, unique et irréversible puisqu’on ne peut pas revenir à la donnée à partir de cette empreinte", a expliqué David Manset.

    "Nous avons créé un pseudonyme par donnée, relié à une empreinte cryptographique et à chaque fois qu’une demande d’accès à une donnée est formulée par un hôpital, une entreprise, un laboratoire, etc., cela déclenche un smart contract dans la blockchain qui va localement déterminer si la donnée est disponible et la mettre à disposition sur un espace cloud sécurisé."

    Le requérant pourra donc accéder à la donnée mais sans jamais en identifier le propriétaire.

    Si le patient veut récupérer une donnée, David Manset et ses équipes ont également imaginé une solution. "Il doit s’adresser au centre collecteur de données par lequel il est passé et lui demander un code de ré-identification. Avec ce code, il pourra accéder à un portail sécurisé et faire jouer ses droits RGPD."

    Par exemple, pour le droit à l’oubli, un smart contract va s’exécuter dans tous les nœuds de la blockchain et procéder à l’effacement des données d’un individu.

    MyHealthMyData propose ainsi à chacun d’effacer définitivement ses données dans une chaîne, en rompant les liens vers ses informations, mais sans briser la chaîne dans son ensemble.

    A la lumière de ces solutions, le directeur recherche et innovation de Be-Studys a estimé que le RGPD et la blockchain étaient donc "tout à fait compatibles"... même s’il a déploré un "léger décalage" entre eux.

    Alors blockchain versus RGPD: match nul?

    Wassinia Zirar
    Wassinia.Zirar@apmnews.com

    À suivre

    Comment Janssen investit dans l’IA pour accélérer sa transformation numérique

    Innovations

    Roche et MSD planchent sur un futur écosystème autour de la blockchain et des données patients

    PARIS (TICpharma) - A l'initiative de la société de conseil Hello Tomorrow, les laboratoires Roche et MSD, Bpifrance et l'Alliance pour la recherche et l'innovation des industries de santé (Ariis) se sont associés pour "fédérer un écosystème autour de la blockchain et des données patients dans les six mois", a-t-on appris le 7 novembre à l'occasion de la présentation d'un livre blanc sur le même thème.

    1 456

    Acteurs

    Certifié hébergeur, Microsoft veut mettre "l'intelligence numérique" au service de la santé

    PARIS (TICpharma) - Microsoft a annoncé le 6 novembre l'obtention de la nouvelle certification d'hébergeur de données de santé (HDS) pour ses centres d'hébergement en France et ses services cloud, lui permettant de proposer aux industriels un environnement sécurisé pour mettre "l'intelligence numérique" au service de la santé.

    0 463

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    2 + 5 =