{"id":6682,"date":"2022-12-28T07:15:58","date_gmt":"2022-12-28T06:15:58","guid":{"rendered":"https:\/\/variances.eu\/?p=6682"},"modified":"2022-12-28T08:36:48","modified_gmt":"2022-12-28T07:36:48","slug":"comment-partager-sans-partager-les-donnees-sensibles","status":"publish","type":"post","link":"https:\/\/variances.eu\/?p=6682","title":{"rendered":"Comment \u00ab partager sans partager \u00bb les donn\u00e9es sensibles ?"},"content":{"rendered":"<p>Le 8 mars 2021, R\u00e9my Marquier publiait un article sur le besoin de partager les donn\u00e9es confidentielles avec des partenaires tiers (<a href=\"https:\/\/variances.eu\/?p=5777\"><span style=\"text-decoration: underline;\"><span style=\"color: #0000ff; text-decoration: underline;\">lien<\/span><\/span>)<\/a>, un an plus tard c\u2019\u00e9tait au tour de Fran\u00e7ois Meunier de livrer ses id\u00e9es sur le dilemme entre la diffusion ou non des donn\u00e9es sensibles (<span style=\"text-decoration: underline; color: #0000ff;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/variances.eu\/?p=6484\">lien<\/a><\/span>). Ce dilemme semble \u00eatre insoluble de prime abord : d\u2019un c\u00f4t\u00e9 la tentation d\u2019ouvrir les donn\u00e9es pour r\u00e9pondre aux enjeux de notre temps (progr\u00e8s scientifique, soci\u00e9tal ou autre), de l\u2019autre le risque de perdre le contr\u00f4le une fois ces donn\u00e9es partag\u00e9es avec un tiers et de mettre en danger la confidentialit\u00e9 et la \u00ab\u00a0privacit\u00e9\u00a0\u00bb des donn\u00e9es. Une r\u00e9glementation telle que le RGPD impose aux organisations qui collectent les donn\u00e9es sensibles de soupeser savamment ce calcul risque-b\u00e9n\u00e9fice et les am\u00e8ne le plus souvent au non-partage de leurs donn\u00e9es ou alors de donn\u00e9es pr\u00e9-agr\u00e9g\u00e9es ou anonymis\u00e9es dont l\u2019utilit\u00e9 est alors tr\u00e8s d\u00e9grad\u00e9e. L\u2019exemple typique se rencontre dans le secteur de la sant\u00e9 o\u00f9 les h\u00f4pitaux doivent prot\u00e9ger les donn\u00e9es des patients qu\u2019ils collectent et sont donc r\u00e9ticents pour de bonnes raisons \u00e0 partager leurs donn\u00e9es avec un tiers ext\u00e9rieur, par exemple un laboratoire pharmaceutique qui cherche \u00e0 \u00e9tudier l\u2019efficacit\u00e9 d\u2019un m\u00e9dicament. Il s\u2019agissait jusque-l\u00e0 n\u00e9anmoins de l\u2019approche la plus raisonnable au vu des risques encourus\u2026jusqu\u2019\u00e0 l\u2019av\u00e8nement d\u2019une technologie qui allait bousculer ce paradigme, le <em>confidential computing<\/em>. Avec le <em>confidential computing,<\/em> on peut d\u00e9sormais \u00ab partager sans partager \u00bb et ce dilemme n\u2019a plus lieu d&rsquo;\u00eatre.<\/p>\n<h3>Un r\u00eave\u2026<\/h3>\n<p>Imaginez que vous puissiez mettre vos donn\u00e9es \u00e0 la disposition d\u2019un partenaire tiers qui voudrait les analyser tout en ayant la garantie que :<\/p>\n<ul>\n<li>ce tiers ne pourrait pas acc\u00e9der \u00e0 vos donn\u00e9es sensibles mais seulement aux r\u00e9sultats de son analyse sur vos donn\u00e9es,<\/li>\n<li>ces r\u00e9sultats seraient anonymes et ne divulgueraient pas d\u2019information sensible,<\/li>\n<li>ce tiers ne pourrait pas utiliser les donn\u00e9es autrement que pour l\u2019usage que vous auriez consenti,<\/li>\n<li>le fournisseur de logiciel entre le tiers et vous ne pourrait pas acc\u00e9der \u00e0 vos donn\u00e9es,<\/li>\n<li>l\u2019h\u00e9bergeur des serveurs utilis\u00e9s pour la collaboration ne pourrait pas non plus acc\u00e9der \u00e0 vos donn\u00e9es.<\/li>\n<\/ul>\n<h3>\u2026 qui devient r\u00e9alit\u00e9 avec le <em>confidential computing<\/em><\/h3>\n<p>Voici le nouveau paradigme dans lequel nous plonge le <em>confidential computing<\/em> qui appartient \u00e0 la famille des <em>privacy enhancing technologies<\/em>, aussi appel\u00e9es \u00ab PET \u00bb en anglais, acronyme peu gracieux dans la langue de Moli\u00e8re, je l\u2019admets.<\/p>\n<p>Le <em>confidential computing<\/em> fait r\u00e9f\u00e9rence \u00e0 l\u2019utilisation de processeurs de nouvelle g\u00e9n\u00e9ration appel\u00e9s <em>secure enclave <\/em>qui garantissent une isolation totale des donn\u00e9es pendant les calculs (<em>data in-use<\/em>) qui restent encrypt\u00e9es jusque dans la m\u00e9moire (RAM) du processeur, rendant impossible leur acc\u00e8s par quelque tiers que ce soit : l\u2019utilisateur externe qui interroge ces donn\u00e9es, le fournisseur de logiciel et m\u00eame l\u2019h\u00e9bergeur. Ce dernier point est particuli\u00e8rement int\u00e9ressant quand on sait l\u2019h\u00e9sitation en Europe \u00e0 employer des h\u00e9bergeurs publics \u00e9trangers tels que Amazon ou Microsoft \u00e0 cause du risque d\u2019espionnage et de fuite de donn\u00e9es. De plus, ces <em>secure enclave<\/em> offrent un service de <em>remote attestation <\/em>qui fournit une preuve (cryptographique) aux fournisseurs de donn\u00e9es que ne peut \u00eatre ex\u00e9cut\u00e9 dans ces sortes de bo\u00eetes noires que ce qu\u2019ils ont approuv\u00e9. Ces <em>secure enclaves <\/em>font leur arriv\u00e9e chez les grands h\u00e9bergeurs \u00e0 travers le monde \u00a0(Amazon, Microsoft, OVH, Alibaba, IBM et d\u2019autres). En 2019, ils ont lanc\u00e9 ensemble le <span style=\"text-decoration: underline;\"><span style=\"color: #0000ff; text-decoration: underline;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/confidentialcomputing.io\/\">Confidential Computing Consortium<\/a><\/span><\/span> avec la participation de fournisseurs de processeurs (Intel, AMD, ARM). Cette technologie\u00a0 n\u2019est pourtant pas si nouvelle, elle \u00e9quipe d\u00e9j\u00e0 depuis plusieurs ann\u00e9es <span style=\"text-decoration: underline;\"><span style=\"color: #0000ff; text-decoration: underline;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/support.apple.com\/fr-fr\/guide\/security\/sec59b0b31ff\/web\">nos smartphone<\/a>s<\/span><\/span> pour y prot\u00e9ger les donn\u00e9es les plus sensibles ainsi que nos ordinateurs portables. Devant le besoin grandissant de prot\u00e9ger les donn\u00e9es sensibles, cette technologie conna\u00eet \u00e0 pr\u00e9sent un essor dans sa version \u00ab serveur \u00bb pour \u00e9quiper les <em>data center<\/em><em>s.<\/em><\/p>\n<h3>Exemple concret dans la sant\u00e9<\/h3>\n<p>Revenons maintenant \u00e0 l\u2019exemple de notre h\u00f4pital qui avait refus\u00e9 plus t\u00f4t de partager ses donn\u00e9es avec un laboratoire pharmaceutique. D\u00e9sormais, dans le nouveau paradigme qu\u2019offre le <em>confidential computing<\/em>, l\u2019h\u00f4pital et le labo peuvent se mettre d\u2019accord en amont sur les calculs qui seront op\u00e9r\u00e9s sur les donn\u00e9es et s\u2019assurer que les r\u00e9sultats de ces calculs garantissent bien l\u2019anonymat des patients, par exemple en veillant \u00e0 ce que les calculs agr\u00e8gent bien les r\u00e9sultats finaux ou en ayant recours \u00e0 des techniques plus avanc\u00e9es telles que des filtres de <em>k-anonymity<\/em> ou des filtres de <em>differential privacy. <\/em>Une fois qu\u2019un accord est trouv\u00e9 entre les deux parties, l&rsquo;environnement de <em>confidential computing<\/em> est configur\u00e9 en sp\u00e9cifiant :<\/p>\n<ul>\n<li>les participants : seul l&rsquo;h\u00f4pital est autoris\u00e9 \u00e0 y connecter ses donn\u00e9es, seul le laboratoire est autoris\u00e9 \u00e0 y r\u00e9cup\u00e9rer les r\u00e9sultats de calculs,<\/li>\n<li>les donn\u00e9es : seul le p\u00e9rim\u00e8tre de donn\u00e9es sp\u00e9cifi\u00e9 peut \u00eatre utilis\u00e9, rien d\u2019autre (en termes techniques, le sch\u00e9ma de donn\u00e9es),<\/li>\n<li>les calculs : seuls les calculs autoris\u00e9s peuvent \u00eatre ex\u00e9cut\u00e9s, rien d\u2019autre (en termes techniques, un code \u00e9crit dans un langage de type R, Python ou autre).<\/li>\n<\/ul>\n<p>La technologie de <em>confidential computing<\/em> garantit ce contrat immuable entre les deux parties, similaire \u00e0 un <em>smart contract<\/em> g\u00e9n\u00e9r\u00e9 sur une <em>blockchain<\/em>. Il ne reste plus \u00e0 l\u2019h\u00f4pital qu\u2019\u00e0 encrypter ses donn\u00e9es localement, les charger dans la <em>secure enclave <\/em>et au laboratoire de d\u00e9clencher les calculs et r\u00e9cup\u00e9rer les r\u00e9sultats agr\u00e9g\u00e9s anonymes. En conclusion, l\u2019h\u00f4pital n\u2019a pas partag\u00e9 ses donn\u00e9es de patients avec le laboratoire et a gard\u00e9 un contr\u00f4le total sur l\u2019utilisation qui a \u00e9t\u00e9 faite tout en ayant permis au laboratoire de r\u00e9cup\u00e9rer des r\u00e9sultats tr\u00e8s pr\u00e9cieux. L\u2019h\u00f4pital a donc \u00ab partag\u00e9 sans partager \u00bb.<\/p>\n<h3>Est-ce conforme ?<\/h3>\n<p>Des signaux forts ont \u00e9t\u00e9 envoy\u00e9s en Europe ces deux derni\u00e8res ann\u00e9es sur l\u2019usage du <em>confidential computing<\/em>. \u00c9tonnamment, les premiers \u00e0 avoir adopt\u00e9 cette technologie et \u00e0 le faire savoir ont \u00e9t\u00e9 les Allemands. En effet <span style=\"text-decoration: underline;\"><span style=\"color: #0000ff; text-decoration: underline;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/www.intel.com\/content\/dam\/www\/central-libraries\/us\/en\/documents\/max-security-sgx-protects-patient-records-brief.pdf\">le minist\u00e8re de la Sant\u00e9 allemand utilise depuis 2021 la technologie du <\/a><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/www.intel.com\/content\/dam\/www\/central-libraries\/us\/en\/documents\/max-security-sgx-protects-patient-records-brief.pdf\">confidential computing <\/a><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/www.intel.com\/content\/dam\/www\/central-libraries\/us\/en\/documents\/max-security-sgx-protects-patient-records-brief.pdf\">pour s\u00e9curiser le \u00ab partage \u00bb des donn\u00e9es de patient<\/a><\/span><\/span> dans le cadre du projet de dossier m\u00e9dical \u00e9lectronique. En Belgique, l\u2019\u00e9quivalent de la CNIL, l\u2019Autorit\u00e9 de Protection des Donn\u00e9es, a autoris\u00e9 l\u2019utilisation de cette technologie dans le cadre d\u2019une \u00e9tude combinant des donn\u00e9es de patients de plusieurs h\u00f4pitaux belges. Des avocats experts en RGPD et protection des donn\u00e9es prennent position en faveur du <em>confidential computing<\/em> comme <span style=\"text-decoration: underline;\"><span style=\"color: #0000ff;\"><a style=\"color: #0000ff; text-decoration: underline;\" href=\"https:\/\/lsr.recht.ch\/de\/artikel\/02lsr0122auf\/enhanced-privacy-data-analytics\">ici dans la revue Life Science Recht<\/a><\/span><\/span>. Le <em>confidential computing<\/em> offre des garanties ind\u00e9niables qui permettent de mieux se conformer au RGPD car les principes de <em>data minimization<\/em>, <em>purpose limitation<\/em>, <em>privacy-by-design<\/em> et d\u2019autres se voient technologiquement appliqu\u00e9s et prouv\u00e9s. N\u00e9anmoins il est important de rappeler que l\u2019utilisation du <em>confidential computing<\/em> n\u2019enl\u00e8ve en rien le besoin de disposer d\u2019une base l\u00e9gale avant de l\u2019employer. Il est certain que les autorit\u00e9s de protection de donn\u00e9es en France comme ailleurs vont devoir dans les prochains mois se pencher sur cette technologie\u00a0 et exprimer leurs opinions quant \u00e0 son usage dans divers contextes sous la pression des organismes publics et priv\u00e9s d\u00e9sireux d\u2019utiliser cette technologie avec leur aval.<\/p>\n<h3>De la sant\u00e9 \u00e0 la finance en passant par les m\u00e9dias\u2026<\/h3>\n<p>Au-del\u00e0 du domaine de la sant\u00e9, le <em>confidential computing<\/em> a de nombreuses applications dans divers secteurs. Par exemple dans le secteur de l\u2019assurance, il permet aujourd\u2019hui \u00e0 des assureurs italiens concurrents de comparer leur donn\u00e9es de sinistres sans d\u00e9voiler leurs donn\u00e9es confidentielles de clients afin de d\u00e9tecter si le m\u00eame sinistre a \u00e9t\u00e9 d\u00e9clar\u00e9 chez leurs concurrents dans le cadre d\u2019une fraude \u00e0 l\u2019assurance (ph\u00e9nom\u00e8ne dit de <em>double-dipping<\/em>). Dans le secteur bancaire, il permet \u00e0 des banques suisses de collaborer avec la Poste pour savoir si leurs adresses clients sont toujours \u00e0 jour sans d\u00e9voiler les donn\u00e9es personnelles de ceux-ci et ainsi porter atteinte au secret bancaire. Dans le secteur des m\u00e9dias et du marketing, le <em>confidential computing<\/em> permet de repenser la publicit\u00e9 alors que le cookie tiers est vou\u00e9 \u00e0 dispara\u00eetre et que les consommateurs demandent de plus en plus de protection de leur vie priv\u00e9e. Des annonceurs collaborent d\u00e9sormais avec des \u00e9diteurs de m\u00e9dias sur leurs donn\u00e9es de clients respectives pour optimiser leurs campagnes marketing et mesurer l\u2019efficacit\u00e9 de celles-ci tout en garantissant l\u2019anonymat des clients de bout en bout. La liste des cas concrets d\u2019application du <em>confidential computing<\/em> est d\u00e9j\u00e0 tr\u00e8s longue aujourd\u2019hui et ne cesse de s&rsquo;agrandir, elle est vou\u00e9e \u00e0 impacter tous les secteurs. Vous, lectrice, lecteur, devez probablement d\u00e9j\u00e0 penser \u00e0 des applications dans votre industrie.<\/p>\n<h3>\u2026jusqu\u2019\u00e0 nous les citoyens<\/h3>\n<p>Les exemples cit\u00e9s jusqu\u2019ici sous-entendent tous dans un premier temps la collecte des donn\u00e9es personnelles par un organisme de confiance (par exemple un h\u00f4pital) qui d\u00e9cide ensuite de collaborer avec un organisme tiers (par exemple un laboratoire pharmaceutique) en utilisant le <em>confidential computing<\/em>. Poussons ensemble le raisonnement plus loin : pourquoi ne pas connecter directement les donn\u00e9es des individus (patients, clients ou consommateurs) \u00e0 ces bo\u00eetes noires de sorte que nous, citoyens, contr\u00f4lions directement nos donn\u00e9es sans avoir \u00e0 d\u00e9l\u00e9guer cette responsabilit\u00e9 \u00e0 une entreprise tierce en charge de la collecte de ces donn\u00e9es en \u00e9change d\u2019un service? Cette question se pose par exemple avec l\u2019essor des applications mobiles qui collectent des donn\u00e9es tr\u00e8s pr\u00e9cieuses sur nos d\u00e9placements quotidiens, nos comportements alimentaires, notre sant\u00e9 et parfois nos vices. Il suffirait de directement connecter nos smartphones \u00e0 ces bo\u00eetes noires\u00a0 pour nous rendre la souverainet\u00e9 sur nos donn\u00e9es. Utopie ? D\u00e9trompez-vous, les entreprises les plus innovantes au monde qui aujourd\u2019hui collectent vos donn\u00e9es sont en train d\u2019int\u00e9grer le <em>confidential computing<\/em> dans leurs offres pour ne plus avoir \u00e0 acc\u00e9der \u00e0 vos donn\u00e9es et <em>in fine<\/em> rester comp\u00e9titives. Affaire \u00e0 suivre donc.<\/p>\n<p>&nbsp;<\/p>\n<p><em>Mots-cl\u00e9s : partage de donn\u00e9es (data sharing) &#8211;\u00a0confidentialit\u00e9 &#8211;\u00a0RGPD &#8211;\u00a0data privacy &#8211;\u00a0confidential computing<\/em><\/p>\n<p>&nbsp;<\/p>\n<p><em>Cet article a \u00e9t\u00e9 initialement publi\u00e9 le 16 mai 2022.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le 8 mars 2021, R\u00e9my Marquier publiait un article sur le besoin de partager les donn\u00e9es confidentielles avec des partenaires tiers (lien), un an plus tard c\u2019\u00e9tait au tour de Fran\u00e7ois Meunier de livrer ses id\u00e9es sur le dilemme entre la diffusion ou non des donn\u00e9es sensibles (lien). Ce dilemme semble \u00eatre insoluble de prime [&hellip;]<\/p>\n","protected":false},"author":410,"featured_media":6683,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[15],"tags":[],"class_list":["post-6682","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-data-science","et-has-post-format-content","et_post_format-et-post-format-standard"],"_links":{"self":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/6682","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/users\/410"}],"replies":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6682"}],"version-history":[{"count":0,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/6682\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/media\/6683"}],"wp:attachment":[{"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6682"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6682"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6682"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}