
Quels outils cryptographiques pour protéger et exploiter les données de santé ?
⏱ 4 minDe grandes quantités de données de santé, par définition très personnelles, sont nécessaires pour faire avancer la recherche médicale. La cryptographie, explique David Pointcheval, chercheur à l’École normale supérieure de Paris, propose aujourd’hui des solutions pour que l’on puisse les exploiter sans les dévoiler.
L’exploitation massive de données de santé pour faire avancer les connaissances et développer de nouveaux outils destinés à mieux diagnostiquer, prescrire, choisir une thérapie, au final optimiser le parcours de soins, pose de manière aiguë le problème du respect de la vie privée des patients. Il est de plus nécessaire de garantir la confidentialité de ces données parce que chaque détenteur, qu’il s’agisse d’une entité publique ou privée, tient pour diverses raisons à maîtriser leur usage, à décider qui peut en faire quoi. C’est l’un des problèmes auxquels sera confronté en France le Health Data Hub, dont la réalisation est politiquement décidée mais dont le chantier vient tout juste de s’ouvrir [lire le premier article du dossier, « La France se dote d’une plateforme pour la recherche » NDLR].
Trois approches
Parmi les disciplines qui seront convoquées pour répondre à cette exigence, la cryptographie joue un rôle essentiel. À l’École normale supérieure de la rue d’Ulm, à Paris, David Pointcheval dirige l’équipe Cascade (ENS, CNRS, Inria), de renommée mondiale. « Trois branches de la cryptographie répondent plus ou moins à cette demande, indique le chercheur. Il y a tout d’abord le chiffrement totalement homomorphe (Fully Homomorphic Encryption ou FHE), qui permet de faire des calculs sur des données chiffrées. On obtient ainsi le chiffré du résultat. Seul celui qui détient la clé de déchiffrement peut avoir accès au résultat en clair. C’est donc une solution pour confier des calculs à n’importe qui, pour les faire réaliser sur un site non sûr, ou qui utilise une technique qu’il ne veut pas dévoiler. La FHE permet par exemple de confier un cliché chiffré à un prestataire capable d’éliminer les yeux rouges… Cette approche n’est intéressante que dans certains contextes, puisque celui qui soumet ces calculs doit supporter le coût du chiffrement des données et du déchiffrement des résultats. Si ces calculs sont triviaux, le détenteur des données ferait mieux de les effectuer lui-même. » Au final, la FHE ne répond guère au problème posé, si elle impose au fournisseur de données plus de calculs qu’il n’en délègue. « La FHE est bizarrement la solution la plus souvent évoquée dans ce contexte, alors qu’à mon avis elle n’est guère adaptée à l’exploitation de données de santé, remarque David Pointcheval. »
Mais la cryptographie contemporaine a plus d’un tour dans son sac. « Une autre approche me semble plus intéressante, ajoute-t-il : le chiffrement fonctionnel (Functional Encryption). Il permet de rendre publique des données chiffrées et de délivrer une clé qui permet à son destinataire de calculer une certaine fonction f(x) de ces données x, et rien d’autre. Par exemple, si x est une série de notes obtenues par des élèves aux épreuves du bac, alors la clé permettra de calculer la moyenne pondérée pour chaque élève, et donc de déterminer qui est admis ou non, sans donner accès aux notes elles-mêmes. C’est un domaine de recherche plus récent, auquel notre équipe a contribué, notamment en 2015, au congrès PKC[1] (Public-Key Cryptography) et à AsiaCrypt[2] en 2018. Cette fois, celui qui a besoin des résultats les obtient directement et il n’obtient que ceux que le détenteur des données lui a octroyés. Mais par définition, le résultat d’une fonction f(x) révèle un petit quelque chose sur x, et donc, s’il n’y a aucune limite au nombre de calculs autorisés, on donne en théorie la possibilité de découvrir la donnée x. Il est donc important de limiter la quantité de calculs permis sur les données si on veut les garder secrètes. Et il n’est pas facile de déterminer les bonnes limites d’accès. » C’est un problème, mais qui ne disqualifie pas le chiffrement fonctionnel.
Quelle meilleure solution ?
David Pointcheval a gardé le meilleur pour la fin. « Enfin, l’approche qui me semble la plus adaptée au problème des données de santé est ce que l’on appelle le calcul multipartite sécurisé (Secure Multi-Party Computation, plus souvent Multi-Party Computation ou MPC). On introduit généralement ce chapitre de la cryptographie avec le fameux “problème des millionnaires” que le chercheur chinois Andrew Yao a résolu en 1982. Deux millionnaires veulent savoir lequel d’entre eux est le plus riche, mais sans révéler à quiconque le montant de leur fortune. La solution initiale, proposée par Andrew Yao, était très coûteuse, mais depuis des protocoles plus efficaces ont été proposés permettant à deux ou plusieurs intervenants de calculer collectivement des résultats sur leurs données respectives sans jamais permettre d’y avoir accès en clair. Le calcul multipartite sécurisé reste un domaine qui d’une certaine manière a mauvaise presse, sans doute parce qu’il reste encore assez lourd et coûteux, mais c’est à mon avis la meilleure réponse que la cryptographie puisse offrir pour permettre de faire des études globales sur des données de santé réparties par exemple entre plusieurs hôpitaux, tout en préservant leur confidentialité. »
La cryptographie moderne propose donc des approches théoriques pour que les acteurs de la santé puissent confier sans crainte leurs trésors à ces équipes gourmandes en données de santé qui développent les outils numériques de la médecine du futur. Reste sans doute à les optimiser, puis à les mettre en œuvre.
[1]Abdalla M., Bourse F., De Caro A., Pointcheval D. (2015) « Simple Functional Encryption Schemes for Inner Products ». PKC 2015.
[2]Chotard J., Dufour Sans E., Gay R., Phan D.H., Pointcheval D. (2018) « Decentralized Multi-Client Functional Encryption for Inner Product ». ASIACRYPT 2018.
Pierre Vandeginste