Un demi-million de Britanniques se sont inscrits pour contribuer à la lutte contre le cancer. Leurs données ont fini par être mises en vente sur Alibaba.
L'association caritative UK Biobank a signalé au gouvernement britannique un incident concernant la mise en vente, sur le site de commerce électronique chinois Alibaba, de données médicales appartenant à 500 000 citoyens britanniques.
La responsable nationale de la protection des données, le Dr Nicola Byrne, a déclaré dans un communiqué:
« Les personnes qui partagent généreusement leurs données de santé afin d’aider les autres grâce à la recherche médicale s’attendent, à juste titre, à ce que ces données soient conservées en toute sécurité et à ce que les responsables rendent des comptes en cas de problème. »
Selon les responsables, les chercheurs ont téléchargé ces données dans le cadre d'un contrat légitime, mais leur apparition sur Alibaba montre comment un accès « autorisé » peut tout de même déboucher sur une divulgation publique.
La UK Biobank conserve plus de 15 millions d'échantillons biologiques et de dossiers médicaux détaillés provenant de volontaires recrutés entre 2006 et 2010 ; des chercheurs du monde entier s'en servent pour étudier le cancer, la démence, le diabète et d'autres maladies chroniques.
En règle générale, UK Biobank conclut des contrats avec des universités et des entreprises privées ayant fait l'objet d'une vérification préalable avant de leur donner accès aux données, mais les enquêteurs ont pu remonter jusqu'à trois instituts de recherche à l'origine des annonces publiées sur Alibaba. UK Biobank leur a retiré l'accès et a suspendu tout nouvel accès aux données le temps de renforcer ses mesures de sécurité.
Au moins une annonce aurait contenu des données concernant l'ensemble des 500 000 bénévoles, et Alibaba ainsi que les autorités chinoises ont supprimé ces annonces avant que quiconque ne puisse confirmer une vente.
Cet ensemble de données provient de la cohorte de recherche à long terme de UK Biobank et comprend des séquences génétiques, des échantillons sanguins, des images médicales ainsi que des informations détaillées sur le mode de vie, utilisées dans le cadre de la recherche en santé mondiale.
UK Biobank souligne que les données ont été « anonymisées », ce qui signifie qu’elles ne comportaient ni noms, ni adresses, ni numéros du NHS. Elles contenaient toutefois des données démographiques détaillées, telles que le sexe, l’âge, le mois et l’année de naissance, des indicateurs socio-économiques, des informations sur le mode de vie et des mesures de santé. Nous avons constaté à maintes reprises que de telles données peuvent être reliées à des individus grâce à un recoupement avec d’autres registres publics ou commerciaux.
Pourquoi la Chine s'en soucie
Les rapports des services de renseignement américains, les documents politiques et les travaux universitaires dressent un tableau cohérent : la Chine considère les vastes ensembles de données variés sur le génome humain et la santé comme une ressource stratégique, tant pour des raisons économiques que de sécurité.
Le Centre national américain de contre-espionnage et de sécurité (NCSC) indique clairement que la République populaire de Chine considère les données de santé et génomiques à grande échelle comme une « ressource stratégique » destinée à stimuler ses secteurs de la biotechnologie, de l'intelligence artificielle et de la médecine de précision, et qu'elle a investi des milliards dans des initiatives nationales en matière de génomique et de médecine de précision.
Les vastes ensembles de données provenant de populations non chinoises sont particulièrement précieux pour élaborer des modèles d'IA et renforcer la compétitivité commerciale mondiale des entreprises pharmaceutiques et biotechnologiques chinoises.
Du point de vue d'un pirate informatique ou des services de renseignement étrangers, UK Biobank constitue un véritable « joyau » : ses données sont soigneusement sélectionnées, de grande qualité, représentatives de l'ensemble de la population et bien plus utiles que les données divulguées au hasard à la suite d'une violation. Et comme les données génétiques sont immuables (contrairement à un mot de passe, elles ne peuvent pas être remplacées), toute compromission présente un intérêt pour le renseignement à très long terme.
L'année dernière, le Guardian a rapporté qu'une demande d'accès à la UK Biobank sur cinq acceptées provenait d'entités chinoises, notamment de BGI, la principale entreprise chinoise spécialisée en génomique, qui a par la suite été inscrite sur la liste des entités américaines (Entity List ) en raison de préoccupations concernant son rôle dans la surveillance des populations minoritaires.
La Chine ne se contente pas de constituer des stocks d'ADN par simple curiosité. Elle établit une carte génomique mondiale qui englobe aussi bien ses adversaires que ses propres citoyens.
Vos données génomiques
On s'inquiète beaucoup, à juste titre, que des données génétiques tombent entre de mauvaises mains. Mais je ne dirais pas pour autant que le fait de mettre ses données médicales à disposition de la recherche est une mauvaise chose. Les chercheurs en font souvent bon usage pour aider les autres.
Mais il y a quelques questions importantes à se poser avant de se lancer.
- Qui gère le projet et où est-il basé ?
Privilégiez les biobanques à but non lucratif ou universitaires, dotées d'un mandat clair d'intérêt public et soumises à un contrôle rigoureux, plutôt que les courtiers en données commerciaux opaques. - Comment stockent-ils les données collectées ?
Renseignez-vous spécifiquement sur les données génomiques, les fichiers de séquençage bruts, les liens vers les dossiers médicaux, et demandez si les données sont cryptées au repos et pendant leur transfert. - Qui peut accéder aux données et selon quelles modalités de contrôle ?
Il convient de veiller à la mise en place d'un comité d'accès officiel, de contrats stricts et de contrôles techniques tels que des environnements d'analyse sécurisés et des options d'exportation limitées, et non de modèles de type « télécharger le fichier CSV et s'en aller », comme celui qui a été à l'origine de l'incident de la UK Biobank. - Les entités étrangères sont-elles autorisées à accéder aux données ou à les copier ?
Compte tenu des mises en garde des gouvernements américain et britannique concernant l'accès de la Chine aux données génomiques occidentales, il est légitime de se demander si ces données peuvent être consultées, traitées ou stockées dans des juridictions où les normes de sécurité diffèrent. - Comment gèrent-ils le risque de réidentification ?
Comme nous l'avons vu, le terme « anonymisé » n'est pas une formule magique. Privacy et les services de renseignement américains ont averti que les données de santé et génomiques peuvent souvent être réidentifiées lorsqu'elles sont combinées avec d'autres ensembles de données.
Si des données contenant votre ADN se trouvent entre les mains d'autrui, vous ne pouvez pas les récupérer, mais vous pouvez exiger une meilleure gouvernance et inciter les institutions à traiter les données génomiques comme des informations sensibles relevant de la sécurité nationale.
Il faut également se montrer plus méfiant face aux escroqueries très ciblées. Les pirates peuvent exploiter de vastes ensembles de données combinées pour mettre au point des escroqueries de type « spear-phishing » ou liées à la santé particulièrement convaincantes, par exemple en vous contactant au sujet d’une affection spécifique dont vous ou un membre de votre famille souffrez. Méfiez-vous tout particulièrement des e-mails, appels et applications non sollicités liés à la santé ou à l’ADN.
Que savent les cybercriminels à votre sujet ?
Utilisez l'analyse gratuite Digital Footprint Malwarebytes pour vérifier si vos informations personnelles ont été exposées en ligne.
