Le projet de loi de modernisation de la santé, ancienne loi de santé, vient d’être voté par le Sénat, qui a renforcé les conditions d’accès aux données de santé. L’occasion de se pencher sur un de ses articles les plus techniques et les plus polémiques. En se posant la question du secret médical dans l’ouverture des données de santé à de nouveaux acteurs.

 

C’est la plus grande base de données de santé au monde et même une des plus grandes bases de données individuelles tout court. Grâce à son assurance maladie universelle, la France a les moyens, et eut la volonté politique dès les années 1990, de compiler l’ensemble de ses données sur la production de soins. C’est l’accès à cette gigantesque base de données, stockées dans des serveurs superpuissants et ultra-sécurisés à Évreux, que réorganise l’article 47 du projet de loi Touraine. Avec la promesse d’ouvrir un peu les portes de la forteresse mais tout en garantissant au mieux la sécurité des données. Au risque de susciter espoirs et inquiétudes à la fois.

Parmi les partisans de l’ouverture, on trouve des associations de patients (le Ciss), le monde de l’assurance complémentaire (la Mutualité française, le réseau de santé Santéclair) ou des grands noms de la médecine comme le Pr Didier Sicard, ancien président du Comité consultatif national d’éthique. Et chez les réfractaires, la réticence culturelle du ministère de la Santé et de la Cnam est aujourd’hui partagée par une partie du corps médical. Quoi qu’il en soit, sous la pression européenne, la France doit aujourd’hui apprendre à partager davantage ses données publiques, à l’instar des pays scandinaves et de la Grande-Bretagne.

 

“Les données publiques sont rendues anonymes de manière irréversible”

Ainsi, le projet de loi crée un “Système national des données de santé” (Snds) afin de rassembler et mettre à disposition les données du Programme médicalisé des systèmes d’information (Pmsi), autrement dit les informations sur l’activité des hôpitaux publics et privés – une base de données créée en 1996 –, celles du Système national d’information inter-régimes de l’Assurance maladie (Sniiram), c’est-à-dire l’ensemble des remboursements de soins et de produits de santé, une base qui date de 1999 – ainsi que les données sur les causes de décès produites par les mairies et celles du secteur médico-social.

“Les données de santé individuelles concernées par l’article 47 du projet de loi de santé sont celles des bases de données publiques qui sont rendues anonymes de manière irréversible en enlevant non seulement le nom, le prénom, le numéro de Sécurité sociale mais aussi tout ce qui pourrait permettre une réidentification de la personne, précise Christian Babusiaux, président de l’Institut des données de santé, l’organisme responsable de la mise à disposition de ces données. Il y a des règles très strictes pour empêcher la réidentification des personnes, et il faut savoir qu’il n’y a d’ailleurs jamais eu d’incident depuis que nous avons commencé à faire ouvrir, dans des conditions adaptées, ces bases de données publiques.”

Parallèlement, le même article prévoit de mettre en “open data”, c’est-à-dire sur Internet et à disposition directe du public davantage d’informations brutes sur le système de santé. Sous forme de données globales, d’échantillons ou de jeux de données agrégées, il peut, par exemple, s’agir du nombre de consultations ou de visites en médecine de ville ou de statistiques sur les actes techniques. “Ce type de données ne pose, par définition, aucun problème de confidentialité, puisque ce ne sont pas des données individuelles, souligne Christian Babusiaux. Pour le reste, c’est-à-dire les données anonymisées mais individuelles, nécessaires par exemple pour étudier des types de parcours de soins, beaucoup dépendra des textes d’application et de la pratique.”

 

“Il n’y aura plus aucun anonymat, la santé publique est un alibi”

Plusieurs syndicats médicaux ont exprimé des craintes. “À partir du moment où on va vouloir faire des études en croisant des fichiers, il n’y aura plus aucun anonymat, la santé publique est un alibi, dénonce Jean-Paul Hamon, président de la FMF. Tous les informaticiens le disent, et Frédéric van Roekeghem lui-même, quand il a quitté la direction de la Cnam, a mis en garde la ministre.” Plus mesuré, Jean-Paul Ortiz, président de la Csmf, juge que le “fait d’utiliser ces bases de données pour faire des études de santé publiques, notamment en épidémiologie, est tout à fait logique”. Cependant, “il va falloir être très attentif à la granularité de ces bases de données afin que tout risque de réidentification des patients soit impossible et que les assureurs complémentaires ne puissent pas croiser les données de remboursement de l’assurance maladie anonymisées avec leurs propres données de remboursement”, dit-il aussi.

Ce risque théorique de réidentification a été longuement soupesé au ministère. En juillet, la Drees, la Direction des statistiques du ministère, a rendu publique une étude qu’elle gardait depuis plusieurs mois dans ses tiroirs. Des crash tests informatiques ont été réalisés sur les données du Pmsi pour vérifier la solidité de l’anonymisation. Les risques de réidentification ne peuvent pour l’heure pas être totalement évacués. C’est pourquoi la Drees continue ses travaux afin de “produire des jeux de données individuelles suffisamment appauvris pour que le risque de réidentification puisse y être raisonnablement considéré comme nul mais suffisamment riches pour qu’on puisse en tirer des analyses utiles”.

Déjà résiduel, ce risque sera encore réduit quand les données ne seront plus transmises aux chercheurs par des CD-roms, comme c’est encore le cas aujourd’hui, mais en leur donnant un accès à un serveur avec clé et mot de passe qui permettront de tracer les requêtes. Autrement dit, une personne mal intentionnée qui voudrait profiter de son autorisation d’accès pour essayer de violer l’anonymisation des données serait repérée, et les sanctions pour ce type d’infraction sont très dissuasives. Et à vrai dire les associations de patients et de consommateurs, plutôt que de s’inquiéter de possibles atteintes au secret médical, ont toujours poussé plutôt dans le sens de l’ouverture. Leurs critiques sur l’article 47 concernent plutôt sa réelle complexité. “Il faut mettre en place un système d’accès aux données de santé plus simple, efficace, lisible pour nos concitoyens, soucieux des deniers publics et sources d’emploi potentiel”, plaide le Ciss. Dans le viseur de ces organisations : l’évolution des dépassements d’honoraires et du reste à charge des patients.

 

“Il est inutile d’agiter des fantasmes au sujet du secret médical pour inquiéter les citoyens”

Mais la première raison d’être de l’ouverture des données reste la recherche en santé publique. Le Dr Christophe Segouin est le président du Syndicat des médecins DIM, ces praticiens chargés du codage des actes médicaux dans les hôpitaux, codages qui constituent justement le Pmsi. “Il y a toujours des risques quand on ouvre des données, mais je ne crois pas qu’il faille crier au loup, estime-t-il. C’est normal d’avoir des craintes, mais je crois aussi que déverrouiller ces informations pour les chercheurs sera très utile pour mieux comprendre comment on prend en charge les pathologies, notamment entre la ville et l’hôpital.”

Pour sa part, l’Ordre des médecins, garant du secret médical, s’est toujours montré plutôt ouvert, estimant que “l’utilisation des données de santé est un élément fondamental du pilotage du système de santé” et qu’il “importe de développer l’accès à ces données pour produire de la connaissance et informer le public”. “Malgré ses imperfections, l’article 47 apporte beaucoup de points positifs, et les organisations syndicales devraient trouver leur intérêt dans l’open data, souligne Jacques Lucas, vice-président du Cnom, délégué aux systèmes d’information. Il est inutile d’agiter des fantasmes au sujet du secret médical pour inquiéter les citoyens. En revanche, l’Ordre a demandé un certain nombre de garanties supplémentaires. Il ne nous apparaît par exemple pas opportun que les causes de décès puissent être chaînées avec les autres données, car cela pourrait faciliter les réidentifications. Nous pensons aussi qu’il faut que les moyens de la Cnil soient augmentés en conséquence. Enfin, nous avons demandé que deux Ordres (médecins et pharmaciens) représentant les sept Ordres puissent siéger à l’Institut des données de santé, qui va superviser le Système national des données de santé.”

Les syndicats de médecins libéraux, en tant que membres de l’Institut des données de santé (IDS), ont aujourd’hui accès aux données agrégées et notamment à l’échantillon généraliste de bénéficiaires (ECB), un échantillon anonymisé de 600 000 personnes. “À la demande de certaines professions de santé, l’IDS a mis en place des tableaux de bord permettant de suivre l’évolution des actes essentiels pour leur profession, explique Christian Babusiaux. Je pense que c’est important que les organisations syndicales puissent avoir ce type de données afin que leurs négociations avec l’assurance maladie soient éclairées.” Avant chaque round de négociations, la précédente direction de la Cnam gardait jalousement ses informations avant de les livrer aux représentants syndicaux à la première séance sous formes de soporifiques PowerPoint. Les négociations cruciales qui auront lieu l’année prochaine seront l’occasion de voir si la transparence sur le système de santé aura progressé. Dans l’intérêt des médecins aussi.

 

“Les données de santé en question, ce ne sont pas des dossiers médicaux”

Egora : De quelles données parle-t-on dans l’article 47 ? S’agit-il des données des dossiers médicaux ?

Pierre Desmarais, avocat à Paris, spécialiste de la e-santé : Non, dans le futur “Système national des données de santé”, il n’y aura pas de données purement et simplement médicales. Le médecin n’a pas à y transférer ses dossiers patients, ni même les données produites dans le cadre du DMP. Il s’agit, en fait, uniquement des données médico-administratives, soit essentiellement des données de remboursement de soins ou de produits par l’assurance maladie. On est dans le cadre de la loi de juillet 1978 sur les documents administratifs et informations publiques : pour qu’une information puisse être rendue publique, il ne faut pas que cette information puisse nuire à la vie privée d’une personne ni porter atteinte au secret des information sur sa santé.

Y a-t-il selon vous des risques de réidentification des personnes ?

Quand il s’agit de données agrégées, de séries statistiques, non, c’est pratiquement impossible. Pour les données individuelles anonymisées, le ministère de la Santé a dit qu’il va mettre en place des procédures d’anonymisation standard pour empêcher la réidentification. Mais je reste un peu dubitatif sur leur efficacité à long terme. Cependant, les sanctions prévues en cas de tentative de violation de l’anonymisation sont très lourdes : jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende selon les infractions retenues.

Est-ce que l’article 47 représente une ouverture ou une fermeture dans l’accès aux données ?

La mise en open data de données agrégées est un progrès, mais n’est pas d’une grande utilité pour la recherche. En revanche, pour faire des études à partir des bases de données individuelles anonymisées, on peut parler de fermeture car les procédures d’autorisation seront plus complexes qu’aujourd’hui pour les acteurs privés. Il faudra justifier de “l’intérêt public” de l’étude, qui est une notion à géométrie variable et faire valider le projet de recherche, la méthodologie et même les résultats par un comité scientifique dont on ignore encore tout de la composition et du fonctionnement.

 

Source :
www.egora.fr
Auteur : Véronique Hunsinger