Si le partenariat entre Google DeepMind et le NHS n’avait rien de secret, les patients n’ont pas été prévenus que leurs données seraient utilisées pour développer une application.

Si le partenariat entre Google DeepMind et le NHS n’avait rien de secret, les patients n’ont pas été prévenus que leurs données seraient utilisées pour développer une application. | BEN STANSALL / AFP

L’affaire avait fait grand bruit au printemps dernier : DeepMind, une entreprise d’intelligence artificielle appartenant à Google et basée à Londres, s’était vu transmettre les données de 1,6 million de patients des hôpitaux londoniens du NHS, le service de santé britannique, dans le cadre d’un partenariat. Mais l’une des principales bases légales de cet accord serait « inappropriée », selon le National Data Guardian (NDG), un organisme gouvernemental chargé de veiller sur les données de santé.

Lire aussi : L’ampleur des données de santé collectées par Google inquiète outre-Manche

Dans un courrier, datant de février, envoyé au NHS et à DeepMind, obtenu et publié lundi 15 mai par la chaîne américaine Sky News, le NDG examine et réfute l’un des principaux arguments évoqués par DeepMind et le NHS pour justifier ce transfert massif de données.

Consentement implicite ou explicite ?

Au cœur de la polémique du printemps dernier se posait la question du consentement des patients : était-il nécessaire de l’obtenir individuellement pour ce partenariat ? Le NHS expliquait à l’époque que 1 500 accords de ce genre existaient déjà et qu’il était impossible de demander à chaque fois le consentement explicite de chaque patient.

La loi britannique considère d’ailleurs qu’il y a consentement implicite si ces données peuvent permettre d’apporter « des soins directs » au patient, argument sur lequel s’appuient DeepMind et le NHS pour défendre l’utilisation de ces données.

Ces informations devaient servir à développer une application nommée Streams. Celle-ci doit éplucher les données des patients en temps réel pour aider le personnel hospitalier à détecter le plus rapidement possible les cas d’insuffisance rénale aiguë. Cette pathologie, qui évolue extrêmement vite, peut s’avérer mortelle si elle n’est pas prise en charge assez tôt.

Or, selon le NDG, Streams n’était qu’en phase de test quand les données ont été transmises à DeepMind. « Par conséquent, elle ne pouvait pas servir à soigner les patients », estime l’organisme. « Quand [ce type de transfert de données] a lieu pour développer de nouvelles technologies, cela ne peut pas être considéré comme des soins directs, même si l’objectif final de cette technologie, une fois déployée, sera de fournir des soins directs », écrit le NDG, qui considère que l’argument du consentement implicite reposant sur la notion de « soins directs » est une « base légale inappropriée ».

Cet avis a été partagé avec l’autorité de protection des données personnelles britannique, l’ICO, qui enquête sur ce partenariat entre DeepMind et le NHS. Si, dans cette lettre, le NDG se concentre sur ce point de droit, d’autres problèmes ont été soulevés concernant ce transfert de données. Notamment le fait que ce ne sont pas seulement les dossiers des malades des reins qui ont été transmis, mais ceux de tous les patients, avec des données remontant jusqu’à cinq ans.