Chiffrer et tatouer les données de santé pour les protéger

Alors que la médecine et la génétique font de plus en plus appel à la science des données et à l’IA, la question de la protection de ces informations sensibles s’impose à tous les acteurs de la santé. Une équipe du laboratoire LaTIM travaille sur ces questions, avec des solutions comme le chiffrement ou le tatouage de données. Elle vient d’être labélisée par l’Inserm.

Mots-clés :

# crypto-tatouage

# intelligence artificielle

# protection des données

La version originale de cet article a été publiée sur le site d’IMT Atlantique.

Sécuriser les données médicales

Sécuriser les données médicales, éviter qu’elles ne soient détournées à des fins commerciales ou malveillantes, qu’elles ne soient dénaturées ou même détruites : c’est devenu un enjeu majeur pour les acteurs de la santé comme pour les pouvoirs publics. Surtout à un moment où les progrès de la médecine (et de la génétique) reposent de plus en plus sur l’utilisation d’énormes quantités de données, notamment avec l’essor de l’intelligence artificielle. Plusieurs incidents récents (cyber-attaques, fuites de données…) ont d’ailleurs souligné l’urgence d’agir contre ce type de risque. Et la question concerne aussi chacun d’entre nous : personne n’a envie que ses informations médicales soient accessibles au premier venu.

« Les données de santé, particulièrement sensibles, se revendent plus cher que les données bancaires », rappelle Gouenou Coatrieux, enseignant-chercheur au LaTIM (Laboratoire de traitement de l’information médicale, commun à IMT Atlantique, l’Université de Bretagne occidentale (UBO) et l’Inserm), qui travaille sur ce sujet, en lien avec le CHRU de Brest. Pour permettre le partage de ces données tout en limitant les risques, l’équipe du LaTIM mise sur deux techniques : le calcul sécurisé et le tatouage.

Le calcul « sécurisé » qui combine un ensemble de techniques cryptographiques de calculs distribués et d’autres approches, permet de maintenir la confidentialité : les données externalisées sont codées de telle façon qu’il est possible de continuer à effectuer des calculs sur celles-ci. L’organisme de recherche – laboratoire public ou entreprise privée – qui les reçoit peut ainsi les étudier, mais sans avoir accès à leur version initiale, qu’il ne peut reconstituer. Celles-ci restent donc protégées.

Gouenou Coatrieux, enseignant-chercheur au LaTIM (Laboratoire de traitement de l’information médicale, commun à IMT Atlantique, l’Université de Bretagne occidentale (UBO) et l’Inserm)

Tatouage discret… mais efficace

Quant au tatouage, il consiste à introduire une modification – mineure et imperceptible – sur les images médicales ou les données confiées à un organisme tiers. « On se contente de modifier quelques pixels sur une image, par exemple pour en changer un peu la couleur, un subtil changement qui permet de coder un message, explique Gouenou Coatrieux. On peut ainsi tatouer l’identifiant du dernier accédant aux données. Cette méthode n’empêche pas l’utilisation du fichier ; mais si un problème survient, elle permet de repérer très facilement l’auteur de la fuite. Le tatouage garantit ainsi la traçabilité. Il crée aussi une forme de dissuasion, car les utilisateurs sont informés de ce dispositif. Cette technique est d’ailleurs employée depuis longtemps pour lutter contre le piratage en vidéo numérique. » Le chiffrement et le tatouage peuvent d’ailleurs être associés : c’est le « crypto-tatouage ».

Dans un premier temps, l’équipe du LaTIM s’est intéressée à la protection des images médicales. Un laboratoire commun a ainsi été créé avec Medecom, une PME bretonne spécialisée sur ce sujet, qui produit en particulier des logiciels dédiés à la radiologie.

De multiples champs d’application

Par la suite, le LaTIM a élargi son champ de recherche à l’ensemble du domaine de la « cyber-santé ». Ces travaux ont donné lieu au dépôt de plusieurs brevets. Un ancien doctorant et ingénieur de l’école a également créé une entreprise, WaToo, spécialisée dans le marquage de données. Une équipe Cyber Health du LaTIM, la première sur cette thématique, vient de recevoir la labélisation Inserm. Pluridisciplinaire, elle regroupe des chercheurs, des ingénieurs de recherche, des doctorants et des post-docs et couvre plusieurs champs d’application : protection des images médicales et des données génétiques, et le big data en santé. Elle travaille notamment sur les bases de données utilisées pour l’IA et le deep learning, et sur la sécurisation des traitements qui font appel à l’IA. « Pour tous ces sujets, nous avons besoin d’échanger en permanence avec des spécialistes de la santé et de la génétique, souligne Gouenou Coatrieux, responsable de la nouvelle entité. Nous tenons également compte des standards du domaine comme DICOM, le standard international en imagerie médicale, et aussi des questions juridiques comme celles liées au respect du droit à la vie privée – avec l’application du règlement européen RGPD. »

L’équipe Cyber Health a récemment contribué à un projet baptisé PrivGen, sélectionné par le Labex (laboratoire d’excellence) CominLabs. Les travaux initiés dans PrivGen et qui aujourd’hui se poursuivent visent à identifier de manière sécurisée les marqueurs de certaines maladies, en comparant le génome de patients avec celui de personnes en bonne santé, et à analyser une partie des génomes des personnes atteintes. Mais les volumes de data et les puissances de calcul nécessaires à leur analyse sont alors si importants qu’il est nécessaire de les partager et de les sortir de leurs systèmes d’information d’origine pour les envoyer vers des supercalculateurs. « Ce partage des données crée un risque supplémentaire de fuite ou de divulgation, observe le chercheur. Les partenaires de PrivGen s’efforcent de trouver une solution technique pour sécuriser les traitements, notamment afin d’empêcher toute identification des patients. »

Vers le lancement d’une chaire

Une chaire industrielle baptisée Cybaile et dédiée à la cybersécurité pour une intelligence artificielle de confiance en santé va également démarrer à la rentrée prochaine. Le LaTIM y sera associé à trois partenaires : le groupe Thales, Sophia Genetics et la start-up Aiintense, spécialiste des données de neurosciences. Portée par l’Inserm avec le soutien de la Région Bretagne, elle planchera en particulier sur la sécurisation de l’apprentissage de modèles d’IA en santé, afin de faire de l’aide à la décision – dépistage, détection de pathologies, choix de traitement. « Si on dispose d’un grand nombre de données et donc de représentations de la maladie, on arrive grâce à l’IA à détecter des signes d’anomalies, et à mettre en place des systèmes d’aide à la décision, nous dit Gouenou Coatrieux. En ophtalmologie, par exemple, on s’appuie sur une grande quantité d’images de fond de l’œil pour repérer ou dépister des pathologies et mieux les traiter. »

L’actualité scientifique de l’Institut Mines-Télécom.

Chiffrer et tatouer les données de santé pour les protéger

Mots-clés :

Sécuriser les données médicales

Tatouage discret… mais efficace

De multiples champs d’application

Vers le lancement d’une chaire

À lire aussi

Chaire Cybaile, sécuriser les outils d’IA au service de la santé

Sport augmenté : le numérique en piste

Le cruel dilemme des données de santé à l’ère de l’IA : vie privée ou équité ?