La santé sur Internet
Je reprends mon blog et ses billets, après une petite accalmie, pour vous parler aujourd’hui de santé et d’Internet… C’était un sujet que je pensais amener il y a plusieurs semaines mais je n’ai pas pris le temps de m’y consacrer.
Saviez-vous que vous pouvez confier vos données médicales à au moins deux acteurs majeurs sur Internet, à savoir Google et Microsoft ? Tiens donc, quel intérêt cela représente t’il pour vous, me diriez-vous…
En fait, à mon avis cela ne représente pas grand intérêt pour l’individu que vous êtes, mais pour ces sociétés à mon avis l’intérêt est grand. Imaginez…
Quand Google et Microsoft se mettent à vous proposer la constitution d’un dossier santé personnel “sécurisé”, je me dis que le risque de dérive est grand, et qu’il s’agit probablement là de la goutte d’eau qui fait déborder le vase.
Google Health
L’offre de Google s’appelle simplement Google Health. Au début j’ai réellement cru qu’il s’agissait d’une blague du premier avril comme Google nous a habitués à le faire annuellement. Mais en fait c’est bien d’une nouvelle évolution du moteur de recherche favori de nous tous à laquelle j’avais à faire…
Sur la page d’accueil, lisons les arguments censés nous attirer et nous motiver pour l’ouverture d’un dossier :
- Organisez vos informations santé à un seul endroit,
- Rassemblez vos différents dossiers médicaux émanant de médecins, hôpitaux et pharmacies,
- Gardez vos médecins informés au sujet de votre santé,
- Soyez informés à propos de risques concernant la santé.
Je ne sais pas ce qu’il en est pour vous, mais moi, sincèrement, en lisant ces quatre lignes, j’ai quelques inquiétudes très justifiées ! Et je ne risque pas de vouloir constituer mon dossier médical en y rassemblant toutes mes données, ordonnances etc, puis en permettant l’accès à des médecins qui me délivreront des conseils personnalisés, même surtout (!) après la lecture attentive de la charte associée.
D’une part, c’est probablement illégal dans un certain nombre de pays. Google n’a pas de frontières ; mais les données médicales, si ! En France, en Suisse et dans d’autres lieux, la législation est stricte et ne permet pas de transferts de données médicales au-delà des frontières, et à fortiori encore moins vers les Etats-Unis où, on le sait, la notion de protection des données ne représente pas la même notion qu’en Europe.
D’autre part, en supposant que je me sois métamorphosé en américain résident sur le sol national, cela représente quand même un gros risque, de confier l’ensemble de ses données personnelles médicales à une entité comme Google. Même si ils “assurent” en garantir la sécurité. Car nul n’est à l’abri d’une brêche de sécurité, y compris Google, et ce type d’informations se monnaie fort cher et attirera la convoitise des attaquants en tous genres. Quelle aubaine pour les phishers qui pourront, on l’imagine déjà , tenter d’obtenir telle ou telle information sensible en se substituant à une belle page Google ! Quels gains mirifiques pour les mafias arrivant à s’infiltrer sur les systèmes de Google pour y dérober les fiches de leurs “clients”, contenant la quasi-totalité de leur vie privée. A mon avis, tout cela peut se revendre fort cher sur le marché noir des assurances et des organismes de crédit… (non, tout n’est pas tout rose dans le monde du business).
Et puis sans être mesquin, vos affections et petits problèmes de santé ne regardent que votre médecin et vous-même, mais certainement pas des sociétés privées américaines qui n’ont signé aucun engagement envers vous, qui n’ont pas prêté le serment d’Hippocrate et qui ne vous doivent rien en cas de souci.
Ca a commencé en confiamt l’ensemble de l’historique de ses surfs sur Internet à Google. Puis on a continué, en confiant le contenu de l’ensemble de ses fichiers présents sur son disque dur - Grâce à Google Desktop - et des actions effectuées quotidiennement sur son ordinateur. On a continué en leur confiant tout le trafic de messagerie, nos mots de passe et numéros de carte bancaire (si, c’est possible, avec Google Desktop encore une fois). Puis nos habitudes de voyage avec Google Earth. Maintenant, on vient gentillement nous proposer de leur donner nos données médicales. Ben voyons, et puis quoi ensuite ?!!
Imaginez pour une société telle que Google les avantages considérables qu’ils peuvent en retirer… car encore une fois, rien n’est gratuit, rien n’est offert. Les offres de Google n’ont jamais été des formes de mécenat envers la population mondiale, mais bel et bien des offres bénéficiaires, largement. Preuve en est de leur développement et du cash que la firme dégage. En tout cas,nul doute que Google devra désormais assurer encore plus la sécurité de ses données… puisque cela concerne des informations médicales personnelles. Je vous renvoie d’ailleurs vers l’une des offres d’emploi à pourvoir sur le campus Google de Zurich, concernant un poste d’ingénieur sécurité. Les personnes attentives auront remarqué que le CISSP n’est PAS requis pour ce poste ! Et oui, cela arrive, heureusement 
Microsoft HealthVault
Forcément, Microsoft n’est pas en reste… Son offre identique s’appelle HealthVault, et comme son nom le laisse imaginer, on y confie en toute confiance toutes ses données médicales… Enfin pas les miennes !
Ici aussi, on nous encourage vivement à nous constituer un beau dossier, avec encore 4 arguments de poids que je ne résiste pas à vous livrer traduits car ils sont d’une impertinence flagrante :
- Le dossier Healthvault que vous créez est contrôlé par vous,
- Vous décidez ce qui va dans votre dossier Healthvault,
- Vous décidez qui peut voir et utiliser vos informations au cas par cas,
- nous n’utilisons pas vos données de santé pour des fins commerciales sauf si nous vous le demandons et que vous nous indiquez clairement que nous pouvons le faire.
Sincèrement, qu’en pensez-vous ? Pour moi, c’est mentir par omission… Prenons par exemple le dernier argument. Déjà je n’aime pas ce principe de troquer ses informations médicales contre de la pub, même avec consentement… Mais rien n’indique que Microsoft n’utilisera pas ces données pour des fins non commerciales, par exemple pour constituer des dossiers de patients à risques pour les organismes de crédit et les assurances, de futurs employeurs, etc… La encore, la charte de confidentialité est gentillette mais ressort les mêmes points : possibilité de partage de ses données avec les médecins, hôpitaux, pharmacies et… entraîneur de fitness. Ici aussi ils agrègent toutes ces données pour en faire des statistiques “anonymes” (pour quoi faire à votre avis…? c’est sûrement rentable !). Et ici aussi les informations seront gardées confidentielles sauf si la loi l’exige. Tiens, pourquoi la loi exigerait le dossier médical d’individus ? Ah si ! Je crois me souveir qu’il y a une soixantaine d’années un pays proche d’ici avait voté des lois pour exterminer les handicapés mentaux et physiques… comme quoi pour des motifs juridiques on peut arriver à toutes les extrémités… Bientôt on pourra sans doute traquer les terroristes car ils ont un taux de diabète insuffisant, et font un type de sport deux fois par semaine ! Vive le progrès… éloge de la science !
La cerise sur le gâteau : Pour ne rien perdre de vos activités, Microsoft a poussé l’anecdote jusqu’à établir des partenariats avec des sociétés proposant des équipements médicaux. Ainsi, si vous avez un podomètre, un système de mesure de la pression artérielle ou un indicateur de diabète, vous pourrez le relier à votre PC et il téléchargera directement ses données chez Microsoft. On n’arrête pas le progrès… hem ! Ah, et tant qu’à faire, si vous êtes développeur vous avez même le kit de ressources MSDN pour vous interfacer avec les dossiers de vos futurs cobayes, heu non pigeons patients…
Wii Fit
Même Nintendo s’y est collé avec sa gamme de jeux “intellectuels” pour Nntendo DS et avec le nouvel accessoire Wii-Fit. Personnellement j’adore la Wii-Fit, je trouve le concept génial et les jeux et exercices sont excellents et divertissants. Mais ce qui me gêne, c’est que dans quelques années (si ce n’est pas déjà fait) ces consoles déjà reliées à Internet pourront échanger leurs informations avec les serveurs de Nintendo (ou d’autres), et nous verrons nos mesures de QI, de poids, d’âge intellectuel et physique venir enrichir les bases de données mondiales déjà bien fournies… Etonnant que Microsoft et les autres ne se soient pas déjà mis sur le créneau, d’ailleurs !
Conclusion
Gartner avait encore une fois raison… En automne l’année dernière j’avais assisté à la conférence sécurité annuelle de cet organisme, et un speaker nous avait prédit que d’ici cinq années, le principal souci ne serait plus la “security” mais la “privacy“, car de toute manière la dépérimétrisation serait totale et que toutes les grosses sociétés à la Google en sauraient bien plus sur nos vies que nos familles et nos proches en savent… Je pense qu’il avait raison, malheureusement.
Comment résister aux sirènes alléchantes de Gmail, de Google Destop, Earth et j’en passe, pour le commun des mortels ? Même moi je m’avoue vaincu pour Gmail et Earth, même si cela me pose souci. Et une fois de plus, le scénario orwellien du contrôle (dans un premier temps du suivi) total des individus se rapproche inéluctablement, insidieusement, avec ou sans lois répressives. Le piratage, le terrorisme et la pédophilie ont bon dos parfois pour justifier des actions de surveillance (si j’ai bien suivi, et en extrapolant un peu on pourra bientôt grâce à WiiFit et à HealthVault démasquer les criminels, car c’était inscrit dans leurs gènes… et ça me gêne !). Mais cela est un autre sujet (bien proche pourtant…) et me fait froid dans le dos, tant mieux vu la chaleur estivale en ce moment d’où je saisis ce texte !
Bruno Kerouanton on juin 25th 2008 in IT Security
ITI responded on 26 juin 2008 at 9:00 #
Je vois d’ici le recruteur disant “non, désolé, selon Google Health, vous avez un début de paludisme et vous ne pouvez donc pas travailler chez nous” ou bien les RH rétorquant “vous ne nous aviez pas dit que vous aviez un cancer ????” - le candidat sera content de l’apprendre en pahse de recrutement, surtout si c’est lié à une erreur de requète sur un moteur qui, comme on l’a déjà vu, est faillible….
Maintenant, chacun est libre de son choix :
- ne pas donner d’infos à ces sites (don’t feed the Gogol)
- se plaindre auprès des organismes adéquats pour que les donénes personnelles ne figurent pas sur ces moteurs de recherche (ça finira bien par arriver, par erreur, comme à chaque fois)
Mais quand on voit l’inefficacité de la CNIL dans les précédentes affaires de passeports, on se doute que le combat sera vain face à des multinationales avides de données…. non, de pognon…!
Bruno Kerouanton responded on 26 juin 2008 at 13:17 #
Tout le problème, dans ces mécanismes, c’est de retirer une information erronnée ou indésirable. Comme lorsque l’on s’est fait blacklister son site ou son domaine par erreur, une fois que c’est inscrit quelque part, pour revenir en arrière il faut batailler dur… J’ai eu à traiter un tel cas il y a quelques mois, l’un de nos sites ayant été étiqueté par erreur comme site de phishing… Une marque d’antivirus l’avait étiqueté, puis on s’est vite retrouvés avec la totalité des autres marques de systèmes de sécurité, pas seulement les antivirus, qui croyaient dur comme fer que ce site était bien un site de méchants pêcheurs. Plusieurs emails au support de l’éditeur fautif n’ont rien changé, finalement la solution la plus simple a été… de changer d’hébergeur et de nom de domaine…
Donc, ces bases m’inquiêtent d’autant plus que je suis certain des difficultés pour s’y désinscrire.
ITI responded on 26 juin 2008 at 14:08 #
On s’écarte du sujet du fil, mais le même problème s’est posé pour un de mes clients, un gros groupe bancaire, qui s’est retrouvé spammeur par erreur. Les dommages et intérets que les juristes s’apprétaient à demander se sont transformés en solutions d’antispam et filtrage “gracieusements” offerts par l’éditeur fautif à l’origine du blacklistage.
Il est anormal qu’une erreur (faux positif) dans leurs outils pénalisent plus de 130.000 personnes. Maintenant, même sur un parc plus petit, je pense qu’un bon jursite y aurait trouver “de quoi manger”..
ITI responded on 26 juin 2008 at 15:04 #
Je n’ai pas pu résister, on va malgré tout vers ceci :
http://public.globecartoon.com/cgi-bin/WebObjects/globecartoon.woa/1/wr?wodata=-7134382147252619350
ITI responded on 26 juin 2008 at 23:05 #
désolé… ici : http://img440.imageshack.us/img440/4429/wrlw1.png
Bruno Kerouanton responded on 27 juin 2008 at 8:47 #
Effectivement, c’est assez réaliste !!!
Mais à propos d’aller se confesser et de situations pêcheresses, je ne peux que vous renvoyer vers les fondamentaux d’Internet… les RFC !
En effet, allez plutôt voir par ici, la RFC 3675 a probablement été rédigée sous influence du clergé
Bon, je me tais… !