Projet PrivGen : Comment sécuriser des données génétiques externalisées ?

Au travers de cette série d’interviews, nous vous invitons à découvrir certains des projets du labex CominLabs tout en en apprenant plus sur les sciences du numérique.

Aujourd’hui nous avons échangé avec Gouenou Coatrieux, professeur à l’IMT Atlantique au département Image et Traitement de l’Information. Il mène son activité de recherche au sein du LaTIM (Laboratoire de Traitement de l’Information Médicale), une unité mixte (UMR1101) de l’Inserm, de l’Université de Bretagne Occidentale (UBO) et de l’IMT Atlantique qui associe le CHRU de Brest. Il a participé à deux projets de CominLabs, POSEIDON et PrivGen ; il contribue actuellement à un troisième projet qui vient de débuter, le projet dnarXiv.

Nous avons choisi d’échanger avec lui sur son second projet CominLabs, PrivGen.

Comment est né le projet PrivGen ?

PrivGen a été porté et financé par CominLabs, il a de plus été mené en relation avec le labex GenMed. C’est la rencontre entre deux communautés : la génétique et la sécurité numérique. PrivGen est un projet collaboratif entre le Latim (à travers l’IMT Atlantique), une équipe du laboratoire LS2N (à travers l’Université de Nantes), et l’unité Inserm de Emmanuelle Genin.

 

Différentes compétences ont donc été réunies dans ce projet, en génétique, en cybersécurité plutôt orientée vers l’informatique et les réseaux, et en protection et traitement sécurisé des données.

Quelles difficultés cela entraîne ?

Travailler avec différentes équipes et ce dans plusieurs domaines de compétences implique en premier lieu le besoin de se comprendre les uns les autres, car ce ne sont pas forcément les mêmes langages, les mêmes références. Comme dans tout projet de ce type, il y a eu un temps d’adaptation pour bien identifier les enjeux et les verrous. Chaque personne impliquée dans un domaine a dû acquérir des connaissances dans l’autre domaine, par exemple en génétique pour les équipes de sécurité.

 

Photo by Louis Reed on Unsplash

Quelles ont été les principales étapes du projet ?

Dans la proposition de projet soumise au labex CominLabs, il a fallu tout d’abord bien formuler la démarche à suivre :

  • Comment identifier le besoin.
  • Comment identifier les objectifs.
  • Quels sont les verrous technologiques qui peuvent être bloquants ?
  • Quelles sont les solutions existantes ?
  • Qu’est-ce qu’on propose de nouveau ?

Ensuite, une fois le projet retenu par CominLabs, lorsque le projet est mis en place, c’est la mise en musique de ces étapes et la mise en œuvre de ces nouvelles approches. La partie qui prend le plus de temps est de bien poser le problème, de bien le comprendre. Ensuite, ce sont des allers-retours entre la théorie et l’expérimentation. Cette démarche est commune à tous les projets.

Qu’est-ce que le projet PrivGen ?

L’objectif de PrivGen est de développer des mécanismes permettant de traiter et d’externaliser de manière sécurisée des données génétiques.

 

Nous nous sommes intéressés aux problématiques de sécurité des données qui sont externalisées dans le Cloud. L’originalité du projet était de travailler sur un contexte applicatif où il y a des besoins relativement forts : la génétique. Dans le cadre, notamment, du traitement sécurisé des études d’association pangénomique, où il faut comparer des parties de génome de patients atteints d’une maladie à des personnes saines, afin de mettre en évidence le variant, partie du gêne ou expression, associé à cette maladie. Ces études nécessitent une collaboration avec différentes unités de recherche en génétique. Il y a un donc un besoin de partager des données. Dans le contexte des données génétiques, ce sont clairement des données identifiantes, le génome est unique à une personne, mais elles donnent également d’autres informations notamment sur ses proches. Ce sont donc des données très sensibles et elles sont identifiées comme telles par la RGPD. Quand on est dans un environnement partagé avec des données sensibles, la confidentialité est cruciale. On analyse donc le besoin notamment en termes de confidentialité, d’intégrité, de traçabilité des données.

Externaliser les données induit que le propriétaire des données va perdre le contrôle sur l’information. Cette situation fait émerger des problématiques comme : Comment pouvoir traiter sous forme sécurisé les données ? Comment être sûr qu’on ne va pas pouvoir ré-identifier quelqu’un ? Comment être sûr que le résultat du traitement ne sera pas connu de celui qui fait les calculs ?

Nous avons donc abordé des techniques de chiffrement un peu particulières permettant de faire du traitement sur des données sécurisés. Nous avons aussi utilisé des mécanismes de cryptographie plus classiques.

 

Quels ont été les résultats du projet ?

Nous avons créé une solution opérationnelle avec la garantie que les traitements sont sécurisés. Cette solution permet de partager des données génétiques afin de pouvoir faire des études statistiques sur ces données de manière sécurisée. Les données sont alors envoyées sur un serveur qui va faire les calculs et il va retourner le résultat à celui qui l’a demandé. Nous sommes donc arrivés à un démonstrateur, une preuve de concept, sur le supercalculateur DATARMOR.

Dans un second aspect du projet, celui impliquant des nouvelles technologies, nous avons produit de nouvelles méthodes de tatouage, moyen de protéger des données en modifiant un ensemble de données de support, spécifiques aux problématiques des données génétiques. Le concept est : on tatoue, on contraste, mais on ne vient pas perturber les calculs qui seront faits. Nous sommes les premiers à avoir créé ce genre de solution.

 

DATARMOR © Ifremer : Olivier Dugornay

Qu’elles sont les perspectives à court et moyen terme de ce projet ?

Ces solutions peuvent être adaptés à d’autres applications, pour d’autres domaines partageant les mêmes besoins et problématiques. L’idée est de créer des solutions génériques pour ne pas être limité à un seul contexte applicatif. Toutes les données sont publiées et accessibles.

Le projet CominLabs PrivGen s’est conclu fin 2019, mais la collaboration continue. L’unité Inserm est en train de créer une plateforme et nous y intégrons la partie sécurité. Leur volonté est de créer une plateforme utilisable au niveau national et international.

La perspective de notre côté est de continuer d’avancer vers de nouveaux outils de protection qui sont valables tant pour le domaine de la génétique que pour d’autres domaines sur lesquels nous sommes capables de démontrer les performances d’un point de vue théorique.

Pour en savoir plus, vous pouvez aller sur le site du projet PrivGen (site en anglais).

Les commentaires sont clos.