Des médecins affirment que le contenu des dossiers médicaux électroniques de millions de Québécois est parfois exploité à leur insu à des fins commerciales. Le ministre de la Santé déclare qu’il « explore les voies légales » pour lancer des enquêtes. Un dossier de Marie-Claude Malboeuf

Des médecins se plaignent d’être incapables d’empêcher les fournisseurs hébergeant leurs dossiers de vendre ou de croiser des données censées rester confidentielles. Ils reprochent au gouvernement de ne pas sévir. Une patate chaude pour les autorités, qui ont livré de nombreux messages contradictoires (voir onglet suivant).

« Le gouvernement doit absolument interdire cette commercialisation », affirme en entrevue le docteur Yves Robert, secrétaire du Collège des médecins, qui dit avoir reçu plusieurs plaintes. 

« On entrevoyait seulement les avantages du dossier électronique. Personne n’avait imaginé ces utilisations secondaires. »

— Le Dr Yves Robert, secrétaire du Collège des médecins

Le ministère de la Santé et des Services sociaux a écrit à La Presse qu’il avait « effectué un rappel aux fournisseurs et aux médecins de leurs obligations déontologiques », mais qu’il n’avait « pas été en mesure de confirmer s’il y avait eu des échanges ou des ventes de données », auquel cas, le fournisseur visé aurait perdu sa certification.

Nos demandes de précisions ont fait rebondir le dossier au bureau du ministre. « Vous avez mis le doigt sur un enjeu réel. Maintenant que je suis au courant, on va agir, c’est certain », promet le Dr Gaétan Barrette, qui a demandé à son contentieux d’« explorer les voies légales » pour pouvoir lancer des enquêtes.

« Les règles interdisent formellement l’extraction de données [même rendues anonymes], mais j’apprends que nous n’avons pas de pouvoir d’enquête par la suite. On ne peut pas aller vérifier ce qui est fait, pas aller voir comment les choses sont programmées. »

La bataille d’un médecin

Un médecin de famille de Lavaltrie, le Dr David Hervieux, talonne les autorités depuis au moins trois ans. Il y a 15 mois, le ministère de la Santé lui avait répondu que le problème était « aussi malheureux que bien connu », mais qu’il ne voyait « aucun levier [lui] permettant d’intervenir » et cherchait comment « juguler cette pratique potentiellement contraire aux lois et règlements de protection des renseignements personnels si chers aux Québécois ».

Dans l’intervalle, on lui avait suggéré de continuer à négocier avec son fournisseur ou d’en changer.

Excédé, le Dr Hervieux a décidé de sonner publiquement l’alarme : « Un dossier médical, ça doit être bulletproof de A à Z. C’est moi qui ai l’obligation déontologique de protéger leurs informations, mais je n’ai plus aucun contrôle. »

Suggestions de médicaments

La clinique du Dr Hervieux utilise le logiciel KinLogix de Telus, dont se servent environ 3000 autres médecins québécois. Le médecin de famille en était très satisfait, jusqu’à ce qu’il constate que le géant des communications ne se contentait pas de lui fournir un outil et d’héberger ses dossiers.

En 2015, le logiciel s’est mis à identifier automatiquement ses patients assurés chez Desjardins. « Quand je tentais de leur prescrire un médicament, le système déterminait si l’ordonnance lui semblait coûteuse et me suggérait des médicaments de rechange », raconte le Dr Hervieux, qui a exigé que cette fonction soit désactivée.

« Moi aussi, j’ai le souci que les médicaments coûtent moins cher ! Mais c’est inacceptable de procéder par en dessous, avec des robots électroniques qui fouillent dans les dossiers de mes patients pour croiser des données. C’est comme si quelqu’un était venu consulter tous mes dossiers papier pour les étiqueter. »

— Le Dr David Hervieux

« Si les suggestions de médicaments s’affichaient tout le temps, ce serait différent. Mais Telus active cette fonction-là seulement au profit des entreprises qui la payent pour m’influencer. »

Telus se défend

Telus n’a pas voulu révéler quelles sommes étaient facturées aux assureurs pour que leurs listes de clients soient ajoutées dans les dossiers médicaux. Tandis que Desjardins n’a pas été en mesure de joindre le responsable du dossier hier après-midi.

Mais en 2016, une responsable du dossier chez Desjardins Assurances avait écrit au Dr Hervieux que la coopérative respectait les lois en matière de renseignements personnels. Avant d’ajouter qu’elle « ne menace aucunement l’indépendance des médecins » en leur facilitant l’accès à des informations, et que, puisque « les coûts des médicaments sont une grande préoccupation pour les employeurs […], il en va de la viabilité des régimes d’assurances collectives offerts aux employés ».

Le Dr Michel Hébert, directeur médical chez Telus Santé, défend son approche. « L’information est rendue disponible au médecin, pas du tout à l’assureur », dit-il. 

« Ce qu’on fait avec nos dossiers électroniques est totalement conforme aux grandes orientations disant que le médecin doit prescrire le meilleur médicament au meilleur prix. Pour ça, il doit avoir la bonne information au bon moment. »

— Le Dr Michel Hébert, directeur médical chez Telus Santé

« On a commencé avec Desjardins, mais là, ça s’étend à plein d’assureurs. Même le Ministère a intérêt à ce que ça soit aussi offert à ceux qui sont couverts par le régime public. »

Le secrétaire du Collège des médecins juge tout de même la situation « un peu délicate ». « C’est presque une forme d’ingérence dans la liberté professionnelle. Ça vient se greffer à la relation médecin-patient », avance le Dr Robert.

En Ontario, des médecins ont dénoncé le fait que Telus Santé insérait dans leurs dossiers médicaux électroniques des bons de réduction incitant à l’achat de médicaments précis et renseignait ensuite leurs fabricants au sujet de leur utilisation. L’entreprise a eu beau défendre cette pratique, le gouvernement ontarien la proscrit depuis septembre dernier.

Une porte ouverte ?

Les fournisseurs pourraient aller plus loin encore, craint le Dr Hervieux. À tel point qu’il a refusé de signer le contrat de Telus. Le document interdisait toute transmission des « données de la clinique » par Telus sans l’obtention préalable du consentement écrit de la clinique. Il précisait toutefois que les données rendues anonymes ne faisaient pas partie des « données de la clinique ».

« Nous ne vendons pas les données ou métadonnées de nos clients », assure le porte-parole de Telus, François Gaboury, dans un courriel envoyé à La Presse. Le terme « données de la clinique » sert à cerner certaines obligations de Telus qui ne s’appliquent pas aux métadonnées, comme la capacité de stockage offerte ou les services de transition, dit-il.

« Alors pourquoi ont-ils refusé de signer une clause de non-utilisation des données de mes patients ? », rétorque le Dr Hervieux. En août 2016, la Fédération des médecins omnipraticiens du Québec lui avait écrit : « Je vous invite grandement à faire mettre une telle clause. »

Des risques réels

Ce qui est sûr, pour les experts consultés par La Presse, c’est que tout usage secondaire des données par les fournisseurs doit être formellement interdit par le gouvernement. « Même avec des données rendues anonymes, on peut découvrir beaucoup de choses. On n’a pas réfléchi assez longuement à toutes les implications et à toutes les mesures à prendre », prévient le secrétaire du Collège des médecins.

« Dans le contexte actuel de données massives, il suffit de croiser les informations de trois ou quatre banques de données pour parvenir à identifier des individus précis. »

— Bryn Williams-Jones, professeur en charge des programmes de bioéthique à l’Université de Montréal

« C’est une crainte légitime », confirme Richard Khoury, spécialiste des données massives et de l’anonymisation et professeur au département d’informatique et de génie logiciel de l’Université Laval (plus de détails au dernier onglet).

« L’information personnelle est confidentielle pour de bonnes raisons ; elle est sensible, souligne le professeur Williams-Jones. Ça peut nous nuire quand elle tombe entre les mains de gens qui l’utilisent pour nous influencer ou nous manipuler. »

Le Collège des médecins ajuste son règlement

Le gouvernement doit intervenir, dit le Collège des médecins, qui n’a aucune autorité sur les entreprises. En attendant, « les médecins sont coincés entre deux chaises », souligne le Dr Yves Robert, secrétaire de l’organisme. Un projet de règlement du Collège est toujours à l’étude à l’Office des professions. « Le règlement actuel est en décalage avec la nouvelle réalité », explique le Dr Robert. Si le règlement révisé est adopté, l’utilisation des dossiers médicaux électroniques deviendra obligatoire. Une autre disposition précisera « qu’on ne peut les utiliser à d’autres fins que pour les patients », ce qui est déjà le cas, « mais ce n’est pas aussi explicite dans le règlement actuel », dit le médecin.

Les outils informatiques utilisés ne devront comporter « aucune forme de publicité ou de promotion » et ne devront pas orienter les décisions cliniques « de façon à faire la promotion d’un médicament, d’un produit ou d’un service en particulier ». Pour le Collège des médecins, toute commercialisation doit être interdite, même si les données étaient rendues anonymes et même si les patients étaient consentants. « Il faut arrêter d’exploiter le service pour autre chose que ce que les clients [les médecins] demandent. »

2015

LA FÉDÉRATION DES MÉDECINS

En 2015, l’avocate de la Fédération des médecins omnipraticiens du Québec a informé le Dr David Hervieux que le Ministère avait « reçu un avis confirmant que [l’extraction de données] ne respecte pas les critères d’homologation des [dossiers médicaux électroniques] ». Son courriel ajoutait alors qu’une lettre serait transmise à tous les fournisseurs « pour leur rappeler que les critères d’homologation interdisent l’extraction d’informations pour la production de métadonnées ».

2016

LE MINISTÈRE DE LA SANTÉ

En septembre 2016, le Dr Antoine Groulx a plutôt répondu au Dr Hervieux : « En dépit que le ministère partage vos préoccupations légitimes, nous ne voyons aucun levier nous permettant d’intervenir aujourd’hui. […] L’histoire a choisi de faire la part belle à la libre entreprise dans le marché du dossier médical électronique au Québec. Les fournisseurs sont donc aujourd’hui largement indépendants en dépit des critères d’homologation moussant la sécurité. » Le fonctionnaire, récemment nommé sous-ministre, suggérait au lanceur d’alerte de changer de fournisseur « dans les meilleurs délais […] faute de régler le sort de tous ceux aux prises avec le problème que vous soulevez, vos patients, eux seraient alors immuns ». En 2015, on lui avait déjà dit qu’il lui « appartenait » de négocier avec son fournisseur.

2017

LE COLLÈGE DES MÉDECINS

En mai 2017, le Collège a mis en ligne un avis informant ses membres que « différents intervenants, tels les fournisseurs de logiciels […], montraient leur intérêt afin d’accéder aux données contenues aux dossiers médicaux électroniques, notamment les profils médicamenteux des patients ou certains résultats de laboratoire ». Il les mettait en garde contre l’utilisation d’applications, utiles à première vue, mais pouvant « orienter les décisions cliniques […] selon les volontés du développeur de l’application et de ses intérêts financiers ».

2018

L’AVIS D’UN BIOÉTHICIEN

« Un ministère aussi puissant que celui de la Santé est tout à fait capable de négocier fort avec des fournisseurs qui offrent des services à des milliers de professionnels de la santé », renchérit le professeur Bryn Williams-Jones, qui dirige des programmes de bioéthique à l’Université de Montréal. « Ça prend le courage politique de dire : on n’est pas à la merci des grandes entreprises, et s’il y a un problème de protection de la vie privée, on va favoriser un autre partenaire. Il doit négocier en fonction du bien commun, parce que ce sont nos impôts qui servent à payer ces services-là. »

Comment fait-on pour rendre les données anonymes ?

Rendre des données anonymes ne consiste pas à noyer des données dans la masse en se disant qu’on ne pourra les retrouver, précise le professeur et membre du Centre de recherche en données massives de l’Université Laval. Pour « anonymiser », on doit supprimer les attributs qui permettent d’identifier les individus (comme les noms et numéros d’assurance sociale, etc.). Il faut parfois supprimer aussi leurs « quasi-identifiants » (code postal, date de naissance et sexe, permettant des déductions faciles une fois combinés), à moins que leur combinaison n’apparaisse plusieurs fois.

Anonymiser entraîne toutefois une perte de précision des données, souligne le professeur, ce qui rend plus risquées les prises de décision qui en découlent.

Est-ce une protection solide ?

« Pas forcément, la crainte de “désanonymisation” [ou réidentification] est une crainte assez légitime, répond le professeur, car il existe des moyens assez faciles et précis d’y parvenir. »

La vaste majorité des gens ont certains attributs rares ou ont des combinaisons uniques d’attributs, dit-il. Même si on ne peut pas toujours trouver une personne précise, on a donc souvent une forte probabilité de trouver un individu en croisant la banque de données anonymes avec des banques de données qui ne le sont pas (registre électoral, Facebook, Twitter, etc.). « On pourra reconnaître la majorité des individus avec un niveau de confiance élevé. »

Est-ce arrivé ?

C’est avec ces méthodes que les sociétés pharmaceutiques parviennent à savoir quel médecin précis prescrit quels médicaments précis, répond le professeur Bryn Williams-Jones, qui dirige les programmes de bioéthique à l’Université de Montréal et est rédacteur en chef de la Revue canadienne de bioéthique.

Une anonymisation ratée a aussi coûté cher à Netflix. En 2009, une mère de famille secrètement homosexuelle et trois autres clients ont poursuivi l’entreprise en l’accusant d’avoir « délibérément violé la vie privée de ses membres pour son bénéfice et sans le consentement des individus », rapporte le professeur Khoury. La résidante de l’Ohio a déclaré qu’elle n’aurait jamais noté de films si elle avait su que l’information serait incluse dans un ensemble de données, expliquant que si son orientation sexuelle devenait publique, « cela nuirait à [sa] capacité de garder son emploi, de soutenir sa famille et de vivre paisiblement avec ses enfants dans sa communauté ».

Netflix (qui a réglé à l’amiable sans admettre sa responsabilité) avait transmis aux participants à un concours les notes accordées à près de 18 000 films par près d’un demi-million de clients (après avoir enlevé leurs renseignements personnels). Il suffisait de croiser une poignée d’informations (titre des films notés, notes accordées et dates) avec celles se trouvant sur des sites d’utilisateurs enregistrés (comme IMDb) pour découvrir qui était qui.

Le problème, c’est que les amateurs de cinéma se permettaient de noter une plus grande variété de films sur Netflix, parmi lesquels des titres susceptibles de révéler leur religion, leurs préférences sexuelles ou leur allégeance politique.

Netflix a versé 9 millions pour régler un cas similaire deux ans plus tard, ajoute le professeur Khoury.

Que prévoit la loi au Québec ?

La Loi sur la protection des renseignements personnels dans le secteur privé exige qu’avant toute collecte, une entreprise obtienne le consentement des individus et leur fournisse un objectif précis pour cette collecte. La même loi interdit le partage des informations rendues anonymes ainsi que leur diffusion en dehors du Québec, affirme le professeur Khoury. « Il ne faut pas qu’elles se retrouvent dans un paradis de données où des gens pourraient en faire ce qu’ils veulent. Ce ne sont pas tous les pays du monde qui ont de bons règlements. »

Le ministre de la Santé, Gaétan Barrette, a indiqué à La Presse qu’il était en train de vérifier si la Commission d’accès à l’information, chargée d’appliquer cette loi, pouvait enquêter sur l’utilisation des dossiers médicaux électroniques.

« Depuis 10 ou 20 ans, on a enlevé leurs pouvoirs à ces structures parce qu’elles sont sous-financées, ce qui les rend incapables de faire leur travail », déplore toutefois le professeur Williams-Jones.

Au fédéral, un juge a écrit en 2016 que les métadonnées « [pouvaient] dévoiler des détails spécifiques et intimes sur des individus », rapporte le professeur Khoury. Le magistrat a donc décidé que le Service canadien du renseignement de sécurité ne pouvait les conserver de façon indéfinie dans une banque, et devait se limiter aux informations « strictement nécessaires » aux fins d’enquête.

La transmission de données rendues anonymes peut-elle être acceptable ?

« Ça pourrait être acceptable de dire que l’État, pour le bien commun, peut les utiliser, car le citoyen en bénéficie, répond le professeur Williams-Jones. Mais ça doit être explicite qu’on recueille des données pour le bien public. Et il faut faire savoir aux gens qu’on a fait le travail de sécurisation en amont, pour s’assurer que cela ne leur nuira pas. »

Le bioéthicien voit d’un tout autre œil leur utilisation par des entreprises. « Dans ce cas-là, comme citoyen, on n’est pas du tout au courant et on est totalement à l’extérieur de cet échange. Il y a prise de contrôle unilatérale de l’information, dit-il. Ça porte atteinte à la relation de confiance entre un patient et son médecin. Le médecin n’est plus capable de faire ce que les lois exigent de lui. »

« Les données massives créent des possibilités immenses de changer notre société, pour le meilleur et pour le pire. Il est essentiel d’exiger la transparence et [la reddition de comptes] de la part de nos gouvernants et des industries. »

Comment différencier les données en jeu ?

Les données massives sont un « ensemble phénoménal de données », indique le professeur Khoury. Que ce soit sur le plan du volume (permettant de rassembler une vaste quantité de données sur la même personne), de la vélocité (plusieurs milliers de messages à la seconde) ou de la variété (textes, images, etc.). Le Québec comptant plus de huit millions d’habitants et leurs dossiers médicaux étant détaillés, cela représente des données massives, estime-t-il.

Les métadonnées sont des « données à propos de données » (ou associées à des données). Dans le cas d’un dossier médical, il peut s’agir de la date et de l’heure d’une consultation, du nombre de consultations, du nombre de médicaments prescrits, etc. Ce sont parfois des renseignements consolidés ou des statistiques.