L’IA met-elle en danger vos données de santé privées?

Une nouvelle étude réalisée à UC Berkeley a révélé que le cadre juridique américain actuel est mal préparé pour légiférer sur la manière dont l'intelligence artificielle affecte la vie privée numérique des gens.

L'étude se concentre sur la façon dont l'IA est capable d'utiliser de vastes répertoires de données afin d'identifier les individus et leurs données de santé personnelles. Selon Anil Aswani, chercheur principal, l'IA peut utiliser les données d'étape collectées à partir des trackers d'activité, des smartphones et des montres connectées, et les comparer aux données démographiques afin d'identifier les individus.

Au cours de l'étude, les chercheurs de Berkeley ont utilisé des données extraites de 15 000 individus américains pour démontrer avec succès que les lois et réglementations actuelles ne protègent pas adéquatement les données de santé privées des personnes. La recherche, qui a été publiée le 21 décembre de l'année dernière dans la revue JAMA Network Open, révèle que les normes de confidentialité énoncées dans l'actuelle loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) ont un besoin urgent de réévaluation si les données de santé des personnes doivent être correctement protégé.

L'IA met en danger vos données de santé des données

Réattribution des données personnelles

L'une des principales conclusions de l'étude concerne la réattribution de données anonymisées ou pseudonymisées. Selon Aswani, retirer toutes les informations d'identification des ensembles de données liés à la santé ne protège pas correctement les individus. En effet, il est possible pour les entreprises d'utiliser l'IA pour réattribuer des données qui étaient auparavant anonymisées. Aswani explique:

"Les réglementations HIPAA rendent vos soins de santé privés, mais ils ne couvrent pas autant que vous le pensez. De nombreux groupes, comme les entreprises technologiques, ne sont pas couverts par la HIPAA, et seules des informations très spécifiques ne peuvent pas être partagées par les règles HIPAA actuelles. Il existe des entreprises qui achètent des données sur la santé. Ce sont censées être des données anonymes, mais tout leur modèle commercial consiste à trouver un moyen d'attacher des noms à ces données et de les vendre."

Aswani a décrit comment des entreprises comme Facebook se font un devoir de rassembler des données sensibles. Malheureusement, les lois américaines actuelles n'empêchent pas les entreprises de réattribuer des données précédemment nettoyées, ce qui met en danger les données de santé privées des personnes:

"En principe, vous pourriez imaginer que Facebook collecte des données d'étape de l'application sur votre smartphone, puis achète des données de soins de santé d'une autre entreprise et les associe. Maintenant, ils auraient des données sur les soins de santé qui correspondent aux noms, et ils pourraient soit commencer à vendre de la publicité sur cette base, soit vendre les données à d'autres.."

Les implications sont évidentes, pour les personnes aux prises avec des problèmes de santé potentiels, ces données de santé peuvent conduire à la discrimination. Toutes les données de santé qui peuvent être attribuées avec succès à un individu peuvent être utilisées par les assureurs maladie, par exemple, dans leur processus décisionnel. Dans le cas des données d'étape, un mode de vie plus sédentaire (quelque chose que les assureurs maladie ne devraient pas automatiquement connaître) pourrait entraîner une augmentation des primes.

Un accès facile

L’étude de UC Berkeley démontre qu’une augmentation de l’efficacité de l’IA augmentera considérablement la capacité du secteur privé à collecter des données sur la santé des individus. Les chercheurs pensent que cela créera inévitablement la tentation pour les entreprises d'utiliser les données de manière contraire à l'éthique ou clandestine.

Au fur et à mesure que l'IA s'améliore, les individus pourraient trouver leurs données de santé retournées contre eux par les employeurs, les prêteurs hypothécaires, les sociétés de cartes de crédit et les compagnies d'assurance. L'équipe d'Assouan est troublée - car cela pourrait conduire les entreprises à discriminer en fonction de facteurs tels que la grossesse ou l'invalidité.

Discrimination par l'IA

Problème commun

Ce n'est pas la première fois que des données anonymisées ou pseudonymisées sont attribuées avec succès à des individus. Une recherche effectuée par le MIT en 2015 a révélé que les données de carte de crédit précédemment nettoyées pouvaient être réattribuées avec succès.

Le MIT a utilisé des données anonymisées de 10 000 magasins contenant les coordonnées de 1,1 million de clients de cartes de crédit. Selon le chercheur principal Yves-Alexandre de Montjoye, un individu pourrait être distingué facilement si des marqueurs spécifiques étaient découverts avec succès. Selon le MIT, ces marqueurs vitaux pourraient être découverts en utilisant des données d'aussi peu que 3 ou 4 transactions.

La recherche démontre que les processus de pseudonymisation des données sont loin d'être infaillibles. Cela est préoccupant, car même dans l'UE où le RGPD a considérablement amélioré les droits des personnes à la confidentialité des données - la pseudonymisation des données est présentée comme une méthode permettant aux entreprises de traiter des «catégories spéciales» ou des données sensibles sans enfreindre la loi. Les données de catégorie spéciale comprennent les données génétiques et les données concernant la santé.

La nouvelle étude de UC Berkeley et les recherches antérieures du MIT démontrent que la pseudonymisation des données peut ne pas être suffisante pour les sécuriser indéfiniment. Cela signifie que même les projets de loi sur la confidentialité des données les plus avant-gardistes peuvent ne pas protéger adéquatement les citoyens contre les attaques par puzzle.

AI la loi

Mises à jour législatives nécessaires

Aswani et son équipe de chercheurs ont exhorté le gouvernement américain à «revoir et retravailler» la législation HIPPA existante afin de protéger les gens contre les dangers créés par l'IA. De nouvelles réglementations qui protègent les données de santé sont nécessaires, mais les chercheurs de Berkeley craignent que les décideurs américains semblent aller dans la mauvaise direction:

"Idéalement, ce que j'aimerais voir de cela, ce sont de nouveaux règlements ou règles qui protègent les données de santé. Mais il y a en fait un gros effort pour même affaiblir la réglementation en ce moment. Par exemple, le groupe d'élaboration des règles pour HIPAA a demandé des commentaires sur l'augmentation du partage des données. Le risque est que si les gens ne sont pas au courant de ce qui se passe, les règles que nous avons seront affaiblies. Et, le fait est que les risques que nous perdions le contrôle de notre vie privée en matière de soins de santé augmentent et ne diminuent pas."

Si cette histoire vous a fait reconsidérer votre propre sécurité en ligne, pourquoi ne pas jeter un œil à notre meilleure page de services VPN pour savoir comment vous pouvez rester en sécurité en ligne.

Crédits image: metamorworks / Shutterstock.com, cinq arbres / Shutterstock.com, milliards de photos / Shutterstock.com.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me