Le secteur de la santé nécessite l’exploitation d’un grand nombre de données, que ce soit pour soigner les patients, faire de la recherche, communiquer avec les différents acteurs de la santé : médecins, laboratoires, radiologues, hôpitaux et cliniques, assurances…

Le traitement de données dans ce secteur soulève de nombreuses questions relatives à la protection des données, l’éthique et les droits humains.

Comment renforcer la confiance des acteurs avec lesquels les données sont échangées, notamment dans le domaine de la recherche : à la fois pour protéger les données sensibles des patients, et pour partager uniquement les données qui répondent à l’objet de la recherche, sans mettre à disposition l’ensemble des données stockées.

Pour assurer la sécurité des données, c’est-à-dire l’intégrité, la disponibilité et la confidentialité des données et du système qui permet de les traiter, la méthode « classique » consisterait à :

  • mettre en place une authentification forte de l’utilisateur et de la machine,
  • garantir la conformité des appareils, 
  • définir des règles d’accès aux applications, 
  • dé-identifier ou anonymiser les données, 
  • sécuriser les communications, 
  • chiffrer les données de bout en bout lors de leur transfert dans un répertoire centralisé,
  • régler par contrat ce que les parties ont le droit, ou pas, de faire avec ces données.

…bref, garantir que les systèmes sont conçus, développés et déployés de manière à respecter les droits et les intérêts des individus, et permettre le partage de données dans un but de recherche sans déplacer et divulguer l’ensemble des données disponibles.

Les responsables du traitement des données doivent s’assurer que le système est protégé, résilient et fiable et qu’il respecte les normes et les bonnes pratiques en matière de sécurité : protection, résilience des systèmes, détection, audits…

Cette méthode “classique”, bien que largement utilisée, présente de nombreux inconvénients, notamment sa lenteur : il peut se passer plusieurs années entre la définition d’une étude et le moment où les données sont prêtes à être utilisées, même dans le cas d’études rétrospectives qui ne requierent pas la collection de nouvelles données. Ces difficultés et cette lenteur sont le résultat de la complexité des règles de protection des données, des règles éthiques et de la réticence des contrôleurs de données à les partager, et à, potentiellement, en perdre le contrôle. 

Le concept « Zero trust » permet de surmonter le déficit de confiance pour les différents acteurs de la santé, mais en réalité, les hôpitaux n’acceptent pas de partager leurs données pour faire avancer la recherche !

Il a donc fallu trouver une solution ! La culture suisse d’innovation et de services au client est
« taillé » pour ce type de situation. Le concept « Zero Trust » permet de surmonter le déficit de confiance entre les différents acteurs de la santé.  

Cette solution consiste à exploiter les données sans les déplacer et sans les divulguer. La technologie a été développée au sein de l’EPFL (École Polytechnique Fédérale de Lausanne), puis commercialisée et mise au point par Tune Insight, en fonction des besoins spécifiques des hôpitaux universitaires suisses, puis d’autres acteurs de la santé, comme des groupes d’assurance, des industries pharmaceutiques ou des hôpitaux étrangers, notamment italiens ou français.

Elle consiste à interroger les données chiffrées (sans les divulguer), là où elles sont (sans les déplacer), et à agréger les données chiffrées, en fonction de la question posée. L’agrégation du résultat final se faisant sans déchiffrer les contributions des participants, pour une sécurité maximale.  

Les bénéfices du partage sans les risques du partage ! Travailler ensemble est devenu possible !

Le fait d’être suisse est un plus : la neutralité et la capacité de travailler ensemble !

Cette technologie est applicable à d’autres mondes que celui de la santé : elle est utile au monde bancaire, pour la détection des fraudes ou du blanchiment d’argent. Les banques, si elles veulent détecter des flux « non conformes » doivent non seulement connaître leurs clients (KYC), mais doivent aussi partager des informations avec d’autres banques, c’est-à-dire des concurrents ! 

Mais le monde bancaire est un domaine dans lequel il faut savoir garder des secrets, tant pour des raisons compétitives que régulatoires : impossible de dévoiler et de déplacer ces données ! 

Par conséquent, pour identifier des flux concernant plusieurs banques, mettre en place une coopération pour mettre en commun des données, identifier des anomalies, ainsi que les sources auteurs de mouvements financiers suspects, il faut pouvoir partager, comme dans la santé, sans déplacer ni divulguer les données. Tune Insight offre la solution, à adapter en fonction de la spécificité des demandes.

Enfin, le domaine de l’IA est un terrain de jeu avec des besoins exponentiels pour ceux qui veulent exploiter des données, apprendre à leurs robots à travailler, tout en préservant la confidentialité de ces données et l’identité de leurs propriétaires.

Contrairement aux solutions d’IA mises à disposition très largement depuis quelques mois, par exemple ChatGPT pour ne citer que l’exemple le plus connu, la solution de Tune Insight permet d’entraîner des systèmes d’intelligence artificielle de manière fédérée et sécurisée. Cela sans avoir à déplacer ni à divulguer les données d’entraînement. Cela évite d’enregistrer et de sauvegarder de manière permanente toutes les informations entrées dans le système d’IA : messages, fichiers téléchargés et commentaires des utilisateurs, qui, aujourd’hui, peuvent être consultés par les spécialistes en informatique de ChatGPT.

Un autre exemple, OpenAI, indique dans sa politique de confidentialité qu’elle partage ces informations avec diverses entités, notamment des fournisseurs, d’autres entreprises, des affiliés, des entités juridiques et des spécialistes de l’IA qui examinent vos conversations.

Le concept « Zero Trust » (never trust, always verify) s’applique à l’usage de l’intelligence artificielle, mais n’est malheureusement que rarement appliqué !

Au lieu de limiter l’information à partager avec ces plateformes, minimisez ce que vous divulguez : partagez sans divulguer et sans déplacer !

La solution Tune Insight n’exclut pas les précautions à prendre dans la stratégie de cybersécurité « zero trust » (source Wikipedia), c’est-à-dire une architecture « zero trust » :

  • usage d’une source fort et unique de l’identité utilisateur,
  • authentification de l’utilisateur,
  • authentification de la machine,
  • contexte additionnel, comme la conformité à des directives et la « santé » des appareils,
  • règles d’accès pour une application en particulier,
  • règles d’accès à l’intérieur même d’une application?

L’ensemble de ces recommandations et technologies, comme celle développée par l’EPFL et Tune Insight, permettent de surmonter le déficit de confiance pour les différents acteurs de la santé, et de l’ensemble des secteurs traitant des données sensibles.

Le fait d’être suisse est un plus ! La neutralité et la capacité de travailler ensemble.

Les progrès et l’efficacité de l’IA dépendent des données, la technologie permet de protéger les données et de permettre à l’IA de progresser de manière responsable.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.