Les données médicales liées à environ 500 000 citoyens britanniques ont été brièvement mises en vente en ligne, déclenchant une enquête gouvernementale et ravivant les inquiétudes quant à la manière dont les informations de santé sensibles sont traitées.
Les données proviennent de la UK Biobank, un projet de recherche à grande échelle qui collecte des informations génétiques, biologiques et sur le mode de vie auprès de bénévoles afin de soutenir des études sur des maladies telles que le cancer, la démence et les maladies cardiaques.
Selon des responsables, l’ensemble de données est apparu dans plusieurs annonces sur des plateformes exploitées par Alibaba. Le gouvernement britannique a confirmé que l’information avait été annoncée par plusieurs vendeurs, suscitant l’alarme quant à la manière dont ces données avaient été consultées et distribuées.
Bien que les données exposées ne comprenaient pas d’identifiants directs tels que des noms, adresses ou numéros de téléphone, elles contenaient néanmoins des détails sensibles. Cela incluait des informations sur le genre, l’âge, la naissance, des indicateurs socio-économiques, des habitudes de vie et des mesures dérivées d’échantillons biologiques. Les autorités ont averti que même les ensembles de données anonymisés peuvent comporter des risques pour la vie privée, surtout lorsqu’ils sont combinés à d’autres sources de données.
Les enquêtes suggèrent que les données ont été initialement partagées avec des chercheurs de trois institutions académiques dans le cadre d’accords légitimes. Cependant, ces institutions sont désormais considérées comme liées à la faille, et leur accès à l’ensemble de données a été révoqué.
Les autorités britanniques et chinoises ont agi rapidement pour retirer les inscriptions, et les responsables ont déclaré qu’il n’y avait aucune preuve que des données aient effectivement été achetées avant leur retraite. Malgré cela, l’incident a été décrit comme une grave violation de confiance, notamment compte tenu de la nature volontaire de la participation au projet de la Biobanque.
L’affaire a également ravivé les inquiétudes concernant la sécurité des bases de données sanitaires à grande échelle. Des rapports antérieurs indiquaient que les données de Biobank avaient été exposées en ligne à plusieurs reprises, souvent en raison de la mauvaise gestion des jeux de données par les chercheurs plutôt que de cyberattaques directes.
En réponse, l’organisation a suspendu l’accès à sa plateforme, introduit une surveillance plus stricte des exportations de données et lancé une enquête complète. Des mesures de sécurité supplémentaires devraient limiter la quantité de données que les chercheurs peuvent télécharger et détecter plus rapidement toute activité suspecte.
La violation met en lumière un problème plus large auquel sont confrontés les systèmes de recherche modernes : concilier la collaboration scientifique ouverte avec la nécessité de contrôler strictement les données personnelles hautement sensibles.