​Données personnelles de santé : ça bouge de toute part

Tant dans le secteur public que privé, on s’organise afin d’être en mesure de tirer parti de ces informations. Conscient de ces évolutions, le législateur travaille à préciser leur encadrement. D’un côté, une législation française très protectrice à l’égard des données personnelles de santé, de l’autre, des acteurs du digital qui collectent tant et plus des informations de toute nature, y compris celles sur la santé des individus. Où en est-on ?

Démarrage d’une nouvelle ère pour les données de santé

On se fait tous avoir par les GAFA (Google, Apple, Facebook, Amazone). En s’inscrivant à un service digital, en téléchargeant une application, dans la précipitation, on se garde bien de lire les conditions générales d’utilisation et l’on file directement en bas de la page pour donner son accord et accéder au plus vite au service demandé. C’est un tort.

« Le problème est que les GAFA obtiennent souvent des consentements certes, mais viciés. Les internautes ne font que cliquer après avoir fait défiler les conditions générales d’utilisation qui les informent parmi une multitude d’autres choses de la collecte de leurs données personnelles et de leurs droits. Est-ce que les personnes physiques sont bien conscientes du potentiel commercial de leurs données à caractère personnel ? Rien n’est moins sûr », alerte Maître Antoine Chéron, avocat spécialisé en droit des affaires et en droit de la propriété intellectuelle et industrielle.

Indispensable consentement
Tout traitement de données à caractère personnel requiert le consentement libre, spécifique et informé de la personne concernée. C’est le principe cardinal du consentement. Le traitement des données à l’insu de personnes physiques est une véritable intrusion dans la vie privée d’autrui, en particulier dans le cas d’informations relatives à la santé.

« Les GAFA ont accès à une masse d’informations à caractère personnelle très sensibles. A contrario, les assurances santé complémentaires doivent se plier à de fortes contraintes liées à l’environnement juridique et réglementaire afin de ne pas avoir une connaissance précise des soins et des biens médicaux qu’elles prennent en charge. Il y a là une véritable contradiction », ne manque pas de souligner Christophe Lacambre, Associé fondateur du cabinet AndenBridge Consulting.

Selon une enquête d’Umanis rendue public en avril 2016 et par ordre d’importance, les chantiers prioritaires pour les acteurs de l’assurance santé à l’heure du digital sont la digitalisation des processus ; la collecte, l’agrégation et la restitution de données issues de sources externes ou internes ; l’usage des données sur des gros volumes, une meilleure exploitation de nouvelles sources de données volumineuses ; la mise en place de modèles prédictifs avec des analyses exploratoires ; ainsi que l’optimisation du traitement et de la transformation en temps réel d’informations brutes. Des bouleversements auxquels il s’agit de se préparer…

Frénésie législative
Pour encadrer ces évolutions, du côté législatif et au plan national, plusieurs textes sont en préparation ou viennent d’être adoptés et visent à renforcer la protection des données personnelles : projet de loi pour une République numérique, projet de loi stratégie e-santé 2020, loi de modernisation du système de santé.

Aux textes nationaux vient s’ajouter le règlement européen relatif à la protection des données personnelles, publié le 04 mai 2016 et qui sera directement applicable à l’ensemble des Etats membres de l’Union européenne à compter du 25 mai 2018. Concernant les aspects techniques, il faut aussi prendre en compte la future transposition de la directive NIS (Network and Security Information). Celle-ci a pour objet d’assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union européenne.

Données de santé : un gisement à exploiter

Le big data et l’open data (recueil et mise à disposition des données personnelles en vue de leurs réutilisation par la communauté) se révèlent être un formidable gisement pour stimuler l’innovation économique.

Le Système national d'information interrégimes de l'Assurance maladie (Sniiram) compile l’ensemble des données de liquidation des bénéficiaires des régimes d’assurance maladie obligatoire (totalité des actes médicaux et des 1,2 Mrd de feuilles de soins émises annuellement, entre autres). Il a été conçu en vue de doter les pouvoirs publics d’un outil unifié de pilotage des dépenses de santé.

La loi de modernisation de notre système de santé prévoit la mise à disposition gratuite pour le public de jeux de données du Système national des données de santé (regroupant Sniiram et d’autres systèmes) sous forme de statistiques agrégées ou de données individuelles sans risque d’identification directe ou indirecte des individus.

La Commission nationale de l'informatique et des libertés (Cnil) doit en homologuer les conditions d’accès. Publié le 04 mai 2016, un rapport de la Cour des Comptes propose de conjuguer une « ouverture plus grande » de cette base de données à une « sécurité renforcée ».

Des informations à l’échelle d’une population
« A ce jour, des données agrégées issues du Sniiram sont accessibles pour les complémentaires santé via leur fédération professionnelle. Ce système est d’une richesse considérable. La France est le seul pays au monde à compiler les informations santé pour une population aussi importante, soit 65 millions d’individus », met en avant Christophe Lacambre.

Outre-Manche, le magazine britannique New Scientist a révélé début mai 2016 l’existence d’un accord secret entre trois hôpitaux londoniens gérés par le Royal Free NHS Trust et DeepMind, une filiale du géant Google. Cette société aurait eu accès aux données de santé des patients soignés dans ces établissements et même à des informations confidentielles comme la séropositivité sans leur consentement. Un patient traité dans ces établissements est en mesure de refuser le traitement des données le concernant. DeepMind s’est engagé à ne pas utiliser ces données de manière inappropriée ni à les vendre, le but de cette opération étant d’en tirer une analyse pour un meilleur suivi des pathologies.

Approche culturelle de la donnée
En France, une différence bien marquée est établie entre le droit à la vie privée et le droit des données personnelles. Dans les pays anglo-saxons, c’est le concept de privacy (sphère d’autonomie à laquelle toute personne a droit) qui a cours et peut être invoquée pour se prémunir des ingérences de la société (la police ou des entreprises commerciales par exemple).

« Dans la culture anglo-saxonne, si l’on estime que la collecte et le traitement ne sont pas intrusifs au regard du droit à la ‘’privacy’’, il n’y aura pas de problème. En revanche, quelle que soit la gravité du traitement, le consentement demeure indispensable en France », explique Maître Antoine Chéron.

Sous réserve d’effectuer les formalités nécessaires auprès de la Cnil, un assureur complémentaire peut recueillir et traiter les données de santé de ses assurés, à la condition qu’ils aient accordé leur consentement. Une collecte et un traitement toutefois très encadrés. Ainsi, on ne doit pas obtenir plus de données que ce dont on a besoin pour poursuivre un objectif légitime.

Données de santé et mises en chantier

Aux Etats-Unis, le symbole du bouton bleu (Blue Button) figurant sur un site Internet indique qu’il est possible de télécharger les informations à caractère personnel recueillies sur la santé. Le site officiel HealthIT.gov voit l’intérêt de cette procédure au cas où un individu souhaite davantage contrôler sa santé et ses informations personnelles, s’il est en charge d’une personne âgée, s’il change de médecins ou s’il lui est nécessaire d’obtenir les résultats d’un examen médical ou la liste de ses traitements médicamenteux.

La Caisse nationale d’Assurance maladie s’intéresse actuellement au Blue Boutton en fonction outre-Atlantique pour éventuellement intégrer ces fonctionnalités dans le Dossier médical partagé, qui doit être refondé. Un dispositif qui sera expérimenté à partir de septembre 2016 dans neuf régions puis déployé sur l’ensemble du territoire en 2017.

Un dossier pour chaque individu
Celui-ci serait accessible directement depuis l’espace personnel de chaque assuré sur Ameli.fr, le site Internet de l’Assurance maladie. La création du dossier médical partagé sera proposée sous réserve d’avoir donné son consentement. Depuis la loi Informatique et Libertés de 1978, la France est très réactive en matière de protection des données.

Le règlement européen qui sera applicable à compter du 25 mai 2018 traite en particulier des données génétiques, biométriques et de santé. Ainsi, la qualité et l’efficience des procédures de règlement des demandes de prestations et de services dans le régime de l’Assurance Maladie vont dorénavant justifier des dérogations à l’interdiction de traiter des catégories particulières de données à caractère personnel (considérant 52 du règlement).

Cependant, « si le traitement des données relatives à la santé d’un individu sans le consentement de la personne concernée pourra être admis pour des motifs d’intérêt public dans les domaines de la santé public, le législateur européen prend soin de préciser que, dans ce cas, un tel traitement ‘’ne devr[a] pas aboutir à ce que les données à caractère personnel soient traitées à d’autres fins par des tiers, tels que […] les compagnies d’assurance’’ (considérant 54) », précise Maître Antoine Chéron.

Faire évoluer les comportements
De plus en plus d’assureurs complémentaires ou de courtiers proposent des programmes d’accompagnement en santé afin de faire évoluer les comportements des assurés et d’agir sur les aspects préventifs.

« C’est non seulement un gain pour les assurés mais aussi pour les complémentaires et l’Assurance maladie. Si un assureur se contente de donner un objet santé connecté à un assuré pour recueillir ses data, on se rend compte que le taux d’engagement chute après trois semaines et une proportion d’environ deux-tiers des participants délaissent ces programmes. En revanche, si cette démarche est complétée par un accompagnement ou un coaching, l’engagement demeure soutenu », a observé Christophe Lacambre.

Reste à insuffler confiance et envie aux assurés en santé afin qu’ils soient prêts, eux aussi, à se lancer dans ces nouvelles aventures.