Une enquête [1] a révélé que la UK Biobank a ouvert sa vaste base de données biomédicales à des entreprises du secteur de l’assurance à plusieurs reprises entre 2020 et 2023. Les données de santé avaient été partagées par un demi-million de citoyens britanniques volontaires, pensant qu’elles bénéficieraient à la recherche médicale.
Créée en 2006 pour aider les chercheurs à étudier les maladies, la base de données contient des millions d’échantillons de sang, de salive et d’urine, ainsi que des dossiers médicaux, des scanners, des données de dispositifs portables (cf. Données personnelles : l’Europe s’inquiète du rachat de Fitbit par Google), et des informations sur le mode de vie des volontaires.
Des données réservées aux chercheurs, en théorie
Les chercheurs agréés du monde entier peuvent payer de 3 000 à 9 000 livres sterling pour accéder à ces dossiers, allant des antécédents médicaux et des informations sur les modes de vie aux données de séquençage du génome.
La biobanque avait assuré qu’elle surveillerait « strictement » l’accès à ses données, en n’autorisant l’accès qu’aux chercheurs « sérieux » pour des projets liés à la santé dans « l’intérêt du public ». Elle aurait précisé que cela incluait les chercheurs de tous bords, qu’ils soient employés par des universités, des organisations caritatives ou des entreprises – y compris des compagnies d’assurance. « Les informations sur le partage des données ont été clairement communiquées aux participants au moment du recrutement », assure-t-elle.
Pourtant, l’enquête a révélé que la biobanque n’a pas explicitement dit aux participants qu’elle partagerait les données avec des compagnies d’assurance. Au contraire, elle s’est engagée publiquement, à plusieurs reprises, à ne pas le faire, comme lors de l’annonce du projet en 2002.
En outre, jusqu’en février 2006, on pouvait lire dans la foire aux questions du site web de la biobanque que « les compagnies d’assurance n’auront pas accès aux résultats individuels ni aux données anonymes ». En 2006, le projet de biobanque a fait l’objet d’un examen public et a été discuté au Parlement.
Un « engagement » révoqué
Le week-end dernier, la biobanque a déclaré que cet engagement de non divulgation auprès des compagnies d’assurances avait été pris avant le « début officiel du recrutement » en 2007. Les volontaires ont reçu des informations révisées au moment de leur inscription, affirme-t-elle. Mais les brochures et formulaires de consentement contenaient une disposition selon laquelle les données anonymes de la biobanque pourraient être partagées avec des entreprises privées à des fins de recherche « liée à la santé », sans préciser explicitement les compagnies d’assurance, ni démentir les déclarations précédentes.
En outre, les engagements selon lesquels « les compagnies d’assurance .[…] ne recevr[aient] pas d’informations, d’échantillons ou de résultats de tests individuels », répétés à longueur de brochures sur une période de 17 ans, faisaient seulement référence à des informations identifiables, indique la biobanque.
Des données utilisées pour développer l’algorithme d’un assureur
Plusieurs compagnies d’assurances ont ainsi eu accès aux données de la biobanque. Parmi elles, ReMark International, un « cabinet de conseil en assurance mondial » qui souscrit un million de polices par an. Dans sa demande d’accès à la UK Biobank, approuvée en décembre 2022, l’entreprise a déclaré qu’elle avait besoin de données « pour développer un algorithme permettant de prédire les risques de maladies et de décès » (cf. Australie : des assurances vie en fonction du profil génétique). En utilisant les dossiers hospitaliers et les données des montres connectées, le cabinet voulait examiner la relation entre le mode de vie, la santé psychique et les biomarqueurs.
Lydia.ai est une entreprise canadienne qui entend attribuer des « scores de santé personnalisés et prédictifs ». L’entreprise indique travailler avec les assureurs pour « exploiter de nouvelles sources de données afin de prédire les risques ». Elle aussi a eu accès aux données. De même que Club Vita, une « société d’analyse de données sur la longévité pour les fonds de pension et leurs conseillers, les assureurs, les réassureurs et les gestionnaires d’actifs », qui compte parmi ses clients 400 fonds de pension et 25 assureurs.
Rien n’indique toutefois que les données de la biobanque aient été utilisées par des assureurs pour prendre des décisions directes concernant des polices individuelles (cf. Aux Etats-Unis, l’« assurance-santé comportementale liée aux objets connectés » offrira des tarifs personnalisés).
Un « abus de confiance »
Pour le professeur Yves Moreau, expert en génétique et en intelligence artificielle qui a travaillé sur des projets utilisant les données de la UK Biobank, le partage de ces données avec des compagnies d’assurance constitue un « abus de confiance grave et inquiétant ». Les brochures ne peuvent pas se substituer aux engagements publics de la biobanque, juge-t-il. Les participants avaient-ils compris que les données pourraient être partagées avec ces compagnies ? Même si « les données semblent très banales », « elles ont des impacts vraiment importants », prévient-il (cf. Du business autour des tests génétiques : 23andMe vend les droits d’un médicament).
A l’heure de la banalisation des dossiers médicaux numériques et de la télésanté (cf. « Mon espace santé » : le lancement du dossier médical numérique sous consentement présumé), le patient est-il conscient des usages qui pourraient être faits de ses données ? (cf. Données de santé : le patient devenu produit ; Santé : la marchandisation des données est actée)
L’Information Commissioner’s Office, l’organisme britannique de surveillance de la confidentialité des données, s’est penché sur le dossier. « Les gens sont en droit d’attendre des organisations qu’elles traitent leurs informations en toute sécurité et qu’elles ne les utilisent qu’aux fins qui leur ont été communiquées ou pour lesquelles ils ont donné leur accord », rappelle-t-il. « Les organisations doivent fournir des informations claires, précises et complètes, en particulier lorsqu’il s’agit d’informations personnelles sensibles. » Un vœu pieu ?
[1] The Guardian, Shanti Das, Private UK health data donated for medical research shared with insurance companies (12/11/2023)
Photo : iStock