Le premier ministre du Québec, François Legault, a prononcé le 19 octobre dernier un discours d’ouverture de session à l’Assemblée nationale. Dans ce discours, il a affirmé sa volonté d’accélérer la transformation numérique de l’État et du système de santé.
Le premier ministre du Québec, François Legault, a prononcé le 19 octobre dernier un discours d’ouverture de session à l’Assemblée nationale. Dans ce discours, il a affirmé sa volonté d’accélérer la transformation numérique de l’État et du système de santé. Un tel projet soulève de nombreux enjeux éthiques, mais nous nous focaliserons ici sur deux d’entre eux : la cybersécurité et la souveraineté numérique de l’État. La numérisation croissante du système de santé soulève des questions de sécurité informatique et il y a actuellement une pénurie d’expertise dans de nombreux domaines des technologies de l’information et des communications (TIC), notamment en cybersécurité. De plus, le secteur public n’a pas les ressources pour recruter cette expertise compte tenu des conditions avantageuses offertes dans le secteur privé. Ceci pose des enjeux de dépendance envers les firmes privées.
La sécurité informatique réfère à la protection des systèmes et réseaux contre les accès, utilisations et modifications non autorisés, les dommages matériels et logiciels ainsi que les vols, prises en otages et altérations de données. Les cyberattaques peuvent cibler les systèmes de gestion, les données et des appareils médicaux connectés des hôpitaux (ex. dispositifs d’imagerie médicale).
Des spécialistes en cybersécurité estiment que les hôpitaux et les cliniques ne sont actuellement pas capables de faire face aux cyberattaques. Ils réclament du gouvernement fédéral une réglementation et des fonds permettant aux organisations de santé de mettre à jour leurs mesures de sécurité et de respecter des standards. Afin de s’assurer de la sécurité de leurs systèmes, réseaux et données, les organisations doivent s’appuyer sur un ensemble de normes développées par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), ce qui engendre des coûts importants.
Les cyberattaques sont un phénomène en croissance dans le monde. Par exemple, plus d’une organisation de soins de santé sur trois dans le monde a déclaré avoir subi une attaque par rançongiciel en 2020. Dans ce type d’attaque, un logiciel malveillant bloque l'accès aux fichiers ou aux systèmes jusqu'à ce que la victime verse une somme d'argent aux pirates. En octobre 2020, une attaque à rançongiciel a ciblé plusieurs organisations de santé américaines et canadiennes, dont l’Hôpital général juif de Montréal et le CIUSSS du Centre-Ouest-de-l’Île-de-Montréal.
Le vol de données est un autre phénomène préoccupant. Par exemple, en octobre 2019, LifeLabs, un centre de tests médicaux et de diagnostic, a été la cible d’un vol de données médicales d’envergure. Les dossiers de 15 millions de Canadiens, comprenant notamment les noms, adresses, résultats de laboratoire et numéros d’assurance maladie des patients, ont été dérobés et l’entreprise a dû payer pour les récupérer. En France, en février 2021, des pirates informatiques ont accédé aux bases de données d’une trentaine de laboratoires français et ont dérobé des informations médicales de près de 500 000 patients, dont des coordonnées ainsi que des informations des diagnostics et des traitements.
Les cyberattaques menacent l’autonomie et le bien-être des citoyens. Respecter l’autonomie des citoyens c’est reconnaitre leur capacité à l’autodétermination, leur aptitude à choisir ce qui est souhaitable pour eux dans les domaines qui les concernent directement. Un de ces domaines est la vie privée. Toute personne autonome a le droit de décider quels sont les aspects de sa vie privée qu’il souhaite partager et dans quelles circonstances. Par exemple, une personne peut vouloir que certaines informations la concernant demeurent confidentielles. On parle alors d’autodétermination informationnelle. Par ailleurs, le dévoilement d’informations sensibles comme les données de santé peuvent causer de sérieux torts aux personnes et réduire significativement leur bien-être. Par exemple, cela peut menacer leur employabilité et leur assurabilité.
Les attaques ne menacent pas uniquement la vie privée des patients, elles peuvent aussi avoir des effets sur leur prise en charge ainsi que sur leur état de santé. En effet, les attaques qui paralysent les systèmes informatiques peuvent entrainer des prolongations d’hospitalisation, des délais dans les tests diagnostiques ainsi que des complications cliniques. Par exemple, en mai 2021, le système de santé irlandais a été la cible d’une cyberattaque d’envergure qui a, notamment, entrainé des délais importants dans les tests sanguins et les imageries par rayon X. Plusieurs mois plus tard, les conséquences se faisaient encore sentir : les employés n’avaient toujours pas accès à leurs courriels et les retards en radiographie persistaient.
Au moment où le gouvernement annonce un grand chantier de numérisation des services publics, il y existe de manière générale un important manque d’experts en curation et ingénierie (préparation et structuration) des données, en infrastructure numérique (ex. architecture technologique, génie logiciel, structuration et gestion de bases de données) et en cybersécurité. Dans le secteur de la santé plus particulièrement, il y avait 60 000 postes en TIC affichés au Canada en mai 2021.
Des sommes importantes devraient donc être investies dans la formation de l’expertise dans ces différents domaines des TIC si on veut opérer une transformation numérique réussie et sécuritaire pour les citoyens. Cependant, il faut noter qu’il faut de nombreuses années pour former de tels experts.
De plus, la rémunération des professionnels dans le secteur public ne permet pas à celui-ci de rivaliser avec le secteur privé qui offrent de bien meilleures conditions. Ceci limite la capacité du secteur public de développer une expertise interne en TIC et le rend trop dépendant des firmes privées. Cette situation soulève des enjeux de souveraineté numérique de l’État et d’allocation responsable et efficiente des ressources. En effet, par le passé, les grandes firmes privées ont eu souvent tendance à : 1- fermer les codes de leurs solutions informatiques de manière à être les seuls à pouvoir réparer, adapter, améliorer ou mettre à jour les technologies tout en ayant la latitude pour en fixer les coûts; 2- bloquer les données de manière à faire payer le gouvernement pour les données des patients. Dans ces circonstances, certains observateurs craignent des abus comme nous avons connu dans le domaine de la construction.
Pour éviter ces abus, plusieurs mesures peuvent être prises. L’État pourrait se doter d’une solide expertise interne en TIC de manière à pouvoir évaluer ses besoins, rédiger les appels d’offres et surveiller la réalisation des contrats donnés au secteur privé. Les solutions informatiques fournies par le privé pourraient être ouvertes et appartenir au gouvernement. Enfin, les données numériques devraient être accessibles au gouvernement (et au citoyen en ce qui concerne ses propres données).
Si l’enregistrement des fichiers de témoins est activé sur votre navigateur, la visite de ce site placera un fichier de témoins sur votre ordinateur, ou un fichier de témoins sera lu si vous avez déjà visité ce site auparavant. Notre utilisation des fichiers de témoins vise uniquement à améliorer votre expérience comme utilisatrice ou utilisateur sur le site Web de la Commission.