Protection des données personnelles : relever le défi des informations génomiques

 |   |  1378  mots
Vincent Maret et Frédéric Thomas.
Vincent Maret et Frédéric Thomas. (Crédits : KPMG)
OPINION. Les données génomiques, hautement personnelles et sensibles, doivent être partagées avec de multiples parties prenantes (chercheurs, start-ups, plateformes communautaires, professionnels de santé, etc.). Il est inconcevable qu'une sécurité insuffisante de ces données porte atteinte à la relation de confiance entre les patients et les professionnels de santé. Par Vincent Maret et et Frédéric Thomas, associés KPMG (*).

En l'espace de quelques années et grâce à d'importants progrès technologiques, notamment en termes de séquençage ADN à haut débit, la science des génomes, autrement dit la génomique, s'est imposée comme un champ d'étude majeur et extrêmement prometteur.

Les données génomiques sont les informations numériques issues des séquençages ADN et des traitements subséquents. Ces données sont ensuite analysées par des algorithmes de « bio-informatique(1) », permettant par exemple de comparer et classifier les gènes. Elles peuvent en outre être partagées plus simplement entre les parties prenantes (chercheurs, cliniciens, assureurs...).

Via l'étude des séquences d'ADN des êtres vivants, de leur structure, de leur organisation et de leur fonctionnement, la génomique permet ou permettra d'établir des cartographies du génome, d'identifier de nouveaux gènes, de construire des arbres phylogénétiques(2), d'identifier des gènes associés à des maladies. En ce sens, la génomique pourrait apporter des avantages considérables aux systèmes de santé en accélérant la recherche clinique et le développement de médicaments, en personnalisant les schémas thérapeutiques, avec l'espoir d'améliorer les résultats pour les patients et de réduire le coût des soins.

Ces données ont cependant des caractéristiques bien spécifiques qui engendrent des défis particulièrement pointus pour les organisations, notamment en termes de fiabilité, d'analyse, de volume, de sécurité et de protection des données personnelles. Il devient alors primordial de repenser la gestion de ces données en adaptant en profondeur la manière dont les informations sont collectées, stockées, analysées et utilisées.

Alors comment relever le défi des données génomiques(3) ?

Des quantités considérables de données personnelles à analyser

La génomique génère des quantités massives de données, du fait du volume de données génomique par personne et du nombre de personnes dont les données génomiques sont et seront collectées (plusieurs millions dans certains projets). Il n'est pas rare de voir des projets utilisant des pétaoctets de données (environ 1 million de milliards d'octets). Ces données doivent être analysées par des algorithmes complexes, mais aussi partagées entre des multiples parties prenantes (chercheurs, start-ups, plateformes communautaires, professionnels de santé, etc.)

Ces contraintes doivent être anticipées par les DSI, en termes de capacités de stockage, de puissance de calcul, de débits de transfert et d'ouverture des plateformes. La question de la distance géographique entre les centres de R&D et les data centers se pose notamment.

Une autre question majeure est celle de la fiabilité et de la standardisation des données génomiques, nécessaires pour assurer le partage des données, l'efficacité des algorithmes, la reproductibilité des travaux. Il devient alors primordial de repenser la façon dont les données génomiques sont séquencées, numérisées, structurées, stockées, et ce sur toute la durée du traitement.

Confidentialité et sécurité des données : garantir une relation de confiance avec le patient

L'enjeu de sécurité et de protection des données personnelles est particulièrement fort pour les organisations. Il n'est pas concevable qu'une sécurité insuffisante des données génomiques porte atteinte à la relation de confiance entre les patients et les professionnels de santé.

Les données génomiques sont bien sûr des données hautement personnelles. Elles font partie des données « sensibles » pour le Règlement Général sur la Protection des Données (RGPD) entré en application en mai 2018. Il est de ce fait nécessaire de prendre des mesures spécifiques pour les collecter et les traiter. Or certains concepts relativement simples pour des données « classiques » deviennent très compliqués à gérer dès qu'il s'agit de données génomiques. Ainsi, peut-on véritablement anonymiser de telles données ? La notion de consentement d'une personne à la collecte de ses données génomiques a-t-elle un sens quand les données collectées portent en partie sur celles de ces ascendants et descendants(4) ?

La collecte et l'utilisation des données génomiques soulèvent en outre des questions d'éthique et de légitimité des traitements liées aux risques pour les personnes elles-mêmes en cas de vol ou de détournement de ces données. Sans aller jusqu'au monde décrit en 1997 dans le film d'Andrew Niccol, « Bienvenue à Gattaca », il est aisé d'imaginer l'éventualité d'une utilisation ultérieure de telles données, à des fins douteuses ou discriminatoires.

Des solutions très spécifiques devront par conséquence être mises en place pour concilier les exigences règlementaires avec les opportunités liées aux données génomiques.

La sécurisation de ces données, en termes de confidentialité et d'intégrité est également un enjeu fort. Vue la sensibilité de ces données, un incident de sécurité affectant une base de données génomiques aurait des conséquences graves en termes d'image et de sanctions règlementaires pour l'organisation responsable, au-delà des éventuels impacts pour les personnes elles-mêmes. Les régulateurs, les personnes concernées (patients ou membres de cohortes d'étude), et l'opinion publique ont aujourd'hui des attentes très élevées en termes de protection des données personnelles, et les règlementations sur les données de santé telles que HIPAA aux Etats-Unis et HDS en France sont exigeantes. Les organisations doivent donc mettre en place des processus et des contrôles préventifs, détectifs et réactifs permettant de protéger les données. Il faudra également s'assurer que les normes élevées mises en place dans l'organisation sont effectivement appliquées par les partenaires, fournisseurs et sous-traitants relevant potentiellement d'autres juridictions.

Il convient en outre de ne pas oublier les enjeux liés à la protection des données de R&D associée à la génomique (algorithmes, résultats, modèles, etc.) contre des tentatives d'espionnage industriel.

Une nécessaire stratégie globalisée robuste pour les données génomiques

La génomique permet d'accélérer les recherches et le développement, tout en favorisant une personnalisation des traitements. Mais le respect des obligations réglementaires en matière de données personnelles et la protection des données génomiques contre les menaces cyber sont des enjeux majeurs, qui touchent l'ensemble de la chaîne de valeur.

Au vu de la complexité du sujet, les organisations qui collectent et traitent des données génomiques doivent avoir aujourd'hui une stratégie globale robuste, intégrant l'ensemble des parties prenantes tout au long de la chaîne de valeur. Direction générale, Responsable R&D, métiers, responsable de l'éthique, juridique, audit interne, DPO (protection des données personnelles), RSSI (cyber-sécurité), CDO (data) et DSI (informatique) doivent travailler ensemble pour trouver les solutions permettant aux organisations de mener des projets de recherche et de test plus efficaces, de protéger les personnes concernées, et de répondre aux exigences réglementaires.

Enfin, il conviendra aussi de trouver une solution partagée afin d'éviter le contournement des règlementations nationales par des acteurs globalisés car les patients, c'est-à-dire chacune et chacun d'entre nous, ne seront pas prêts à l'accepter.

___

NOTES

1. Bio-informatique : domaine de recherche qui analyse et interprète des données biologiques, au moyen de méthodes informatiques, afin de créer de nouvelles connaissances en biologie.

2. Phylogénétique : branche de la génétique traitant des modifications génétiques au sens des espèces animales et végétales

3. Etude KPMG 2019 : Driving Value from Genomics in Life Sciences

4. Exemple récent aux Etats-Unis d'un tueur en série confondu parce qu'un parent éloigné avait téléchargé ses données génomiques sur un site de généalogie.

___

(*) LES AUTEURS

Vincent Maret est associé KPMG et responsable du pôle cyber-sécurité et protection des données personnelles.

Frédéric Thomas est associé KPMG et responsable du secteur Santé & Sciences de la Vie.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 18/04/2019 à 11:23 :
L’objectif est la recherche , trouver des nouveaux gènes et leur fonctionnement qui feront avancer toute la collectivité humaine est un atout pour comprendre la biologie humaine , peut être pour enrayer la mort un jour ou certaines maladies graves.

La solution des traitements de ces informations sensibles à mon sens , il faudrait ajouter «  des codes d’anonymat «  pour utilisation d’utilité publique collectif avec un consentement écrit des «  personnes «  volontaires pour l’avancée de la science et la recherche.

Par exemple gène 32 ... date de recherche ... critère du sujet x... et développement...

Faire de la recherche pour la recherche et tout cela dans la transparence et dans un seul but : l’utilité publique et collective au service de l’humanité.

Hors nous savons , que ce n’est pas le «  cas » certains placent l’argent en priorité devant l’utilité publique collectif et peuvent vendre des recherches au plus offrant hors de la nation ou à d’autres buts.

Le problème de tout «  ce sont les hommes » et leur «  valeur « 
C’est ce fléau qu’il faudrait améliorer...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :