L’IBBL dans l’ebrc Trusted Cloud, gage de confidentialité

Le principe d’une biobanque repose sur l’anonymisation, à savoir la protection des donneurs. Autrement dit, empêcher de pouvoir établir un quelconque rapprochement entre l’échantillon et la personne concernée, mais aussi garantir qu’aucune information relative à des personnes en particulier ne pourra être déduite de cette recherche, ou leur être communiquée en retour.

Si cette anonymisation protège le participant des risques psychologiques et sociaux liés à la découverte d’une nouvelle condition médicale, elle exclut en même temps la possibilité d’informer les donneurs des résultats de la recherche qui pourraient leur être utiles. Si l’anonymisation est irréversible, la codification permet la réversibilité. On parle alors d’anonymisation réversible -ou pseudonymisation. C’est une des particularités de l’IBBL, le projet de biobanque soutenu par le gouvernement luxembourgeois, opérationnel depuis la mi 2010.

«Les données et les échantillons doivent être protégés efficacement par un codage fiable, explique Dominic Allen, Chief Operation Officer, IBBL. Ceci vaut tant pour la conservation dans une biobanque que pour l’utilisation dans la formation et la recherche. Le code et les données codées doivent être conservés et administrés de façon séparée sur le plan organisationnel.»

Concrètement, cette pseudonymisation implique que toutes les données personnelles permettant une identification du donneur soient séparées, comme c’est le cas lors de l’anonymisation irréversible. Il reste cependant possible, en cas de besoin, de rétablir la liaison aux données permettant l’identification à l’aide d’une clé de décodage -entre les mains d’un dépositaire déclaré du secret, indépendant par rapport à une seconde utilisation et qui ne sera donc pas pris dans un conflit d’intérêts.

«Nous étions en quête des mécanismes pour mettre en place cette anonymisation réversible, commente Dominic Allen. ebrc a identifié non seulement les outils pour y parvenir, mais nous a aussi proposé les infrastructures pour gérer ces données. L’originalité du projet, par nature hautement sécurisé, est qu’il repose dans un environnement mutualisé!»

Agissant comme un intermédiaire entre les acteurs du secteur de la santé et le monde de la recherche, l'IBBL se devait d’assurer à la fois la disponibilité et la richesse de l'information et le plus haut niveau de confidentialité. Pour Dominic Allen, ce projet est un modèle «win-win»: d’un côté, la recherche recueille des échantillons; de l’autre, les citoyens pourraient bénéficier de médicaments spécifiques, résultant de la recherche. A l’entendre, c'est le début d'une ère nouvelle pour la médecine dite «personnalisée».

Le projet TTP (Trusted Third Party) a démarré au CRP Henri Tudor, qui a défini une série de spécificités, dont la double de-identification de toutes les données. Concrètement, cela signifie qu’aucune donnée relative aux donneurs n’est stockée sur le réseau, l’IBBL ne stockant non plus la moindre donnée relative aux personnes (noms, adresses...). Le rôle de la biobanque est par conséquent confiné au partage de données et d’échantillons entre les différents environnements scientifiques.

Des objectifs majeurs de sécurité, mais aussi de disponibilité, flexibilité et évolutivité ont été fixés. L’architecture repose sur la plate-forme Oracle Master Patient Index.
ebrc s’est chargé des quatre phases successives du projet: développement, tests, pré-production et production. L’infrastructure d’IBBL repose sur deux centres de données distants et interconnectés, ebrc exploitant des environnements de stockage et de traitement classés Tier IV, ce qui augmente considérablement la fiabilité opérationnelle

Le projet étant appelé à évoluer, ebrc (http://www.trustedcloudeurope.com/Case-studies) a veillé à pouvoir maintenir des niveaux élevés de disponibilité permanents, y compris durant les étapes de modifications en vue des extensions. Aujourd’hui, agissant comme un tiers de confiance pour son client, ebrc couvre toute la chaîne des événements, se positionnant à travers son Trusted Cloud comme un partenaire de BPO (Business Process Outsourcing).

La sécurité, zone d’ombre du Cloud Computing? En attribuant son premier award européen à ebrc (catégorie «Public Sector») pour son projet mené à l’IBBL, l’association Euro Cloud a mis en exergue «une solution ouverte, facile et sécurisée de l'accès pour tous les acteurs de la santé, dans un environnement particulièrement réglementé». Et de démontrer par là que le cloud peut être sûr, même pour les informations les plus sensibles. Indirectement, Euro Cloud a salué les compétences de ebrc en matière d’analyse et de gestion de projet.