Village de la Justice www.village-justice.com

L’article 47 du projet de loi de modernisation de notre système de santé, l’open data des données de santé ? Par Donatienne Blin, Avocat.
Parution : mercredi 13 janvier 2016
Adresse de l'article original :
https://www.village-justice.com/articles/article-projet-loi-modernisation,21210.html
Reproduction interdite sans autorisation de l'auteur.

La révolution numérique concerne également le secteur de la santé.

Dans le prolongement du big data qui permet la valorisation des données collectées en masse, et de l’open data qui garantit le libre accès et la réutilisation des données d’origine publique par tous, l’article 47 du projet de loi relatif à la santé (dite « loi Touraine ») a introduit dans le Code de santé publique un titre intitulé « Mise à disposition des données de santé ».

Le gouvernement est parti du principe que les traitements liés à la collecte massive de données de santé par les professionnels de santé et l’analyse ciblée et intelligente de l’information en résultant pourraient permettre de mieux comprendre les pathologies, de déterminer les habitudes de consommation des médicaments, d’identifier les traitements qui fonctionnent et ceux qui sont inefficaces, d’orienter les axes de recherche dans le cadre des politiques de santé publique, ou encore de mieux gérer les dépenses de santé publique.

Avec cet article 47 « Mise à disposition des données de santé », l’objectif du gouvernement est donc de permettre l’exploitation à grande échelle des données de santé, dans l’intérêt de la collectivité.

Les enjeux liés à la sécurité des données de santé et au respect de la vie privée

Cet article 47 est probablement celui qui soulève le plus de polémiques dans le projet de loi. Les discussions ont été nombreuses au Parlement (celles-ci sont d’ailleurs encore en cours) compte tenu du sujet hautement sensible auquel il se rapporte : il s’agirait de centraliser et de mettre à disposition du public dans une unique base les données personnelles concernant la santé de 66 millions de français.

Il faut donc analyser ce projet d’article 47 en lien étroit avec l’article 9 du Code civil sur le respect de la vie privée, mais surtout avec la loi Informatique Fichiers et Libertés n°78-17 du 6 janvier 1978 relative à la protection des données personnelles (ci-après, la « loi Informatique et Libertés »), l’article 1er de cette dernière affirmant que « l’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le projet de créer une telle base, « l’une des plus importantes du monde » selon la ministre de de la Santé Marisol Touraine, et d’en permettre l’accès au public, pose la problématique de la sécurité et de la confidentialité des données de santé la composant, ces données étant qualifiées de « sensibles » au sens de la loi Informatique et Libertés.

Les données de santé obéissent à un régime spécifique plus contraignant que celui applicable aux autres données personnelles, tant en terme de collecte que lors de leur traitement, par principe interdits selon l’article 8 de la loi Informatique et Libertés (les exceptions y sont listées de manière exhaustive).

L’enjeu du gouvernement est donc de concilier ces dispositions légales protectrices consacrées par la loi Informatique et Libertés avec la nécessité de permettre l’accès et la valorisation des données de santé, en vue d’améliorer le fonctionnement de notre système de santé.

La création du « Système National des Données de Santé » ou la centralisation des données de santé dans une base unique

Le projet d’article 47 du projet de loi relatif à la santé prévoit la mise en place d’un « Système National des Données de Santé » (SNDS).

Ce système centraliserait l’ensemble des fichiers de données de santé collectées notamment par les établissements de santé publics et privés, par les organismes d’assurance maladie (le fichier SNIIRAM) ou encore par la caisse nationale de solidarité pour l’autonomie des personnes handicapées. Le responsable de ce traitement au sens de l’article 3 de la loi Informatique et Libertés serait la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (la CNAMTS) .

Selon le projet de loi, le SNDS aurait notamment pour finalités de « contribuer à l’information sur la santé  », « à la mise en œuvre des politiques de santé », « à la connaissance des dépenses de santé », « à l’information des professionnels et des établissements sur leurs activités », ou encore, à « la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé ».

Compte tenu du risque d’identification directe des personnes, il est prévu que le SDNS ne contienne ni le nom ni le prénom ni même le numéro de sécurité sociale des personnes, en synthèse, aucune information permettant une identification directe. Les données permettant une ré-identification seront confiées à un organisme distinct, qualifié de « tiers de confiance », seul détenteur du dispositif de correspondance permettant de ré-identifier les personnes pour des cas précisément définis.

Les différents régimes d’accès au SDNS

Pour respecter les principes de confidentialité imposés par la loi Informatique et Libertés, le projet d’article 47 prend soin de distinguer, dans le cadre de l’accès aux données contenues dans ce SNDS, (i) les données personnelles rendues entièrement anonymes (ii) des autres données personnelles de santé, potentiellement identifiantes.

S’agissant des données complètement anonymes, elles seront accessibles et réutilisables par tous gratuitement, sous forme de statistiques agrégées : c’est le concept de l’open data. S’agissant en revanche de la deuxième catégorie (les données présentant un risque de ré-identification directe ou indirecte), elles obéiraient à un régime spécifique et beaucoup plus contraignant.

-  L’accès ne serait autorisé que pour permettre des traitements :
o (i) réalisés à des fins de recherches, d’étude ou d’évaluation contribuant à l’une des finalités précisées ci-dessus et répondant à un motif d’« intérêt public », qu’il faudra donc pouvoir démontrer et justifier précisément, ou
o (ii) pour les besoins des missions des services de l’Etat, des établissements publics ou des organismes chargés d’une mission de service public.

-  Pour le (i), le traitement ne serait possible qu’après une procédure de requête spécifique impliquant notamment l’autorisation de la CNIL et l’avis de l’Institut National des Données de Santé (organisme remplaçant l’actuel Institut des Données de santé, aux missions plus élargies). Ce dernier aura le rôle de « guichet unique », notamment en charge de l’évaluation du motif « d’intérêt public »

-  Ces données seront payantes afin que les demandeurs contribuent au coût de l’infrastructure mise en place par la puissance publique pour assurer leur sécurité.

Les mesures permettant la protection des droits des personnes

Conformément aux dispositions de la loi Informatique et Libertés, il est prévu plusieurs « gardes fous » pour protéger la vie privée, garantir la sécurité et la confidentialité des données du SNDS et des traitements utilisant ces données, notamment :

-  Un référentiel de sécurité garantissant la confidentialité, la traçabilité et l’intégrité des données. Celui-ci devra être défini par le demandeur et approuvé par la CNIL au préalable ;
-  Aucune décision ne pourra être prise à l’encontre d’une personne physique identifiée sur le fondement des données la concernant ;
-  Le système ne pourra pas avoir pour finalités (i) la promotion des produits autorisés par l’ANSM ni (ii) l’exclusion de garantie des contrats d’assurance ou la modification de cotisations ou de primes d’assurance en fonction de l’état de santé d’un individu ;
-  Enfin la CNIL, qui devrait déjà voir ses pouvoirs de sanctions renforcés avec le règlement européen sur la protection des données personnelles, voit également ici avec ce projet d’article 47 ses pouvoirs élargis, notamment pour l’autorisation préalable à la mise en œuvre des traitements.

Compte tenu de ces précautions, l’accès aux données potentiellement identifiantes devrait donc être cantonné à des cas limités et soumis à des conditions contraignantes. Les rédacteurs du projet de l’article 47 semblent avoir veillé au respect des droits des personnes. Reste à déterminer si en pratique, ces mesures seront suffisantes. Il faudra notamment rester vigilant sur la qualification in concreto de l’« intérêt public », sur la garantie de l’anonymat, sur la non réutilisation des données à des fins commerciales et sur l’indépendance des membres composant l’Institut National des Données de Santé chargés de donner leurs avis à la CNIL.

Avocat à la Cour SEA AVOCATS