Êtes-vous certain qu’il s’agit bien de vous, de votre corps, sur la dernière radiographie qui vous a été délivrée suite à un examen médical ? La question peut sembler absurde, mais il est crucial que non seulement vous, mais également votre médecin traitant et votre radiologue puissiez répondre « oui » avec une totale assurance. Et pour parvenir à ce degré de confiance, les professionnels de santé ont besoin de s’appuyer sur les dernières avancées technologiques. Il en va du bon diagnostic pour le bon patient — personne ne souhaite que sa radiographie des poumons soit échangée avec celle d’un fumeur invétéré !
Pour assurer ainsi la bonne association entre radiographie et patient, et pouvoir également réattribuer un cliché égaré à son destinataire, le nom inscrit sur la pellicule radio n’est pas suffisant. Une personne malintentionnée ou une erreur administrative peuvent en effet conduire à un échange regrettable entre deux patients. La société Medecom et les chercheurs d’IMT Atlantique, composante de l’institut Carnot Télécom & Société numérique, travaillent donc sur un système plus sécurisé reposant sur le principe du tatouage. Les deux structures collaborent depuis plus de dix ans autour de cette technologie, et ont lancé il y a quatre ans le laboratoire commun SePEMeD sur le sujet, soutenu par l’agence nationale de la recherche (ANR). Depuis, la maturité et la viabilité du tatouage deviennent de plus en plus concrètes.
Message secret
« Le tatouage emprunte au principe de stéganographie, l’art de l’écriture cachée, qui est presque aussi vieux que la cryptographie » explique Gouenou Coatrieux, chercheur en image et traitement de l’information à IMT Atlantique. « Dans le cas des radiographies, nous modifions certains pixels de l’image pour y cacher un message et ainsi laisser une marque invisible » poursuit-il (voir encadré ci-dessous). L’intérêt du tatouage est que la protection est indépendante du format de stockage. La radiographie peut donc être échangée entre services, entre différentes structures hospitalières disposant chacune d’un système de traitement des radios différent, cela n’affectera pas le tatouage qui continuera de comporter l’information relative au patient.
En plus du critère de traçabilité, le tatouage a deux autres avantages. D’abord, il peut permettre de déceler des fraudes à l’assurance. Si une radiographie est altérée par un individu malveillant, pour simuler une pathologie par exemple, les pixels tatoués secrètement seront aussi modifiés, trahissant la tentative de fraude. Ensuite, le tatouage peut être effectué sur des données déjà cryptées grâce à une méthode faisant l’objet d’un brevet déposé par Medecom et IMT Atlantique. Il est donc possible d’assurer la traçabilité tout en conservant la confidentialité des informations médicales que contient l’image. Cela permet également d’écrire directement sur la donnée chiffrée des informations sur les droits d’accès de certains médecins.
Vers la normalisation ?
Si la technologie de tatouage est aujourd’hui mature, il lui reste à passer encore les étapes de normalisation pour être implémentée dans les logiciels et les systèmes informatiques des professionnels de santé. « Notre objectif à présent est de montrer que la modification de l’image par le tatouage n’a pas d’incidence sur la qualité de l’image et sur la capacité de diagnostic des praticiens » confie Michel Cozic, directeur R&D de Medecom. L’équipe de SePEMeD s’attache donc à mener des études qualitatives sur les données tatouées avec des médecins.
En parallèle, il faut également convaincre certains professionnels de santé de l’intérêt du tatouage. La protection des données personnelles, et en particulier des données médicales, n’est pas prise en compte de façon homogène dans le monde de la santé. « En milieu hospitalier, les professionnels ont tendance à croire que l’environnement est forcément sécurisé, ce qui n’est pas toujours le cas » pointe Michel Cozic. En France, et plus généralement en Europe, les mentalités changent vis à vis de la sécurité des données. La nouvelle réglementation générale sur la protection des données personnelles (RGPD) mise en place par la Commission européenne en est la preuve. Toutefois, il faudra encore un peu de temps avant que le milieu médical dans son intégralité prenne en compte la protection de ces données de façon systémique.
Dix ans de recherche… et dix de plus ?
Parce qu’il reste du chemin à parcourir avant de voir le tatouage utilisé par tous les professionnels de santé, l’histoire de SePEMed se poursuit. Créé en 2014 pour concrétiser une collaboration entre IMT Atlantique et Medecom qui dure depuis plus de dix ans, SePEMeD ne devait à l’origine durer que trois ans. Cependant, suite au succès des recherches qui ouvrent sur des applications prometteuses, ce premier laboratoire commun labellisé par l’ANR sur la thématique de la sécurité des données poursuivra sa feuille de route au moins jusqu’en 2020. Au-delà de la traçabilité des données, SePEMeD s’intéresse également à la sécurisation du traitement à distance des images stockées sous forme chiffrée dans le cloud.
« Nos axes de travail s’actualisent en fonction de nos résultats » souligne Gouenou Coatrieux, donnant ainsi du sens à la prolongation du laboratoire SePEMed. Un constat partagé par Michel Cozic : « À présent, nous portons nos recherches sur des questions d’accès aux données par les navigateurs, et d’intégration des modules de tatouage dans des produits déjà existants et utilisés par les professionnels. » La compatibilité des algorithmes avec les configurations et les systèmes informatiques des structures de santé sera en effet un des grands enjeux de l’adoption de la technologie. Et enfin, dernier sujet de travail mais non des moindres : l’ergonomie d’utilisation. « Personne ne veut avoir à rentrer des mots de passe dans les logiciels » constate très justement le directeur R&D de Medecom. Il faudra donc parvenir à intégrer le tatouage comme une solution de sécurité transparente pour les praticiens.