Alors que plusieurs centres hospitaliers français ont été victimes de cyber-attaques en ce début d’année 2021 et que les données médicales sont des données que l’on peut qualifier de sensibles, il est légitime de se poser la question de leur traitement et de leur protection.

Pour comprendre ce que sont les données de santé, leur usage et comment ces dernières sont protégées par le droit et les professionnels qui les recueillent, le Village de la Justice s’est entretenu avec Aïssa Khelifa, Directeur Général de Milvue (Imagerie Médicale) et David Srequi, Juriste consultant RGPD.

Village de la Justice : Qu’est-ce qu’une donnée de santé et pourquoi est-elle précieuse ?

Aïssa Khelifa : « Je vais répondre à la fois comme citoyen et comme industriel investi dans les technologies de l’information.

Comme citoyen tout d’abord, je considère qu’une donnée de santé est précieuse par le fait qu’elle concentre potentiellement beaucoup d’informations sur son propriétaire, qui est toujours et exclusivement le patient : des informations médicales, démographiques, des informations de mode de vie, des fragilités potentielles. Ces informations, prises isolément et anonymisées, sont peu informatives.

Dans certains cadres, et en particulier dans le cadre de la santé, ces informations nécessitent de rester, au moins partiellement, nominatives. C’est dans ces contextes qu’un cadre stricte à leur stockage est essentiel. Ces données peuvent également parfois être contextualisées, c’est-à-dire croisées entre elles et avec d’autres sources (zone géographique, catégorie socio-professionnelle, données issues d’internet), qui elles sont déjà largement disponibles. C’est ainsi que l’on crée des profils d’individus, de consommateurs, etc., potentiellement exploitables par entre autres des employeurs, des banques, des compagnies d’assurance. Mais d’autres acteurs pourraient bien sûr s’intéresser à de telles données, qui ont une valeur « marketing » intéressante, comme par exemple l’industrie agro-alimentaire ou l’industrie pharmaceutique. D’où l’importance d’assurer un cadre strict à leur diffusion.

Comme industriel des technologies de l’information en santé, l’innovation est notre ADN et se nourrit de données de santé. Elles sont nécessaires à la construction des solutions, à leur amélioration continue, et enfin à leur évaluation externe. Dans l’immense majorité des cas, il n’est pas nécessaire que ces données soient nominatives.

Les développements actuels en Intelligence Artificielle, comme ceux que propose la société pour laquelle je travaille, s’appuient sur des jeux de données de centaines de milliers de cas.
Dans notre cas, seules les images anonymisées, indépendamment du diagnostic médical, sont utilisées. Nous fournissons aux partenaires hospitaliers ou libéraux un outil qui va anonymiser purement et simplement les données. D’autres sociétés françaises et mondiales exploitent les comptes-rendus médicaux dont l’anonymisation est alors difficile à réaliser.

Dans certains cas, il est nécessaire de gérer des données de plusieurs sources différentes ou chainées dans le temps, et on ne peut pas à ce moment-là anonymiser purement et simplement les données à la source. Par exemple, le suivi d’un protocole thérapeutique va nécessiter d’agréger des données issues de l’imagerie, des dossiers patients, voire du séquençage du génome, et s’assurer de leur homogénéité dans le temps. Sont alors utilisées des techniques de « pseudonymisation » consistant à remplacer l’identité du patient par un identifiant numérique inviolable. Mais, il n’existe aucun cas où la recherche et l’’innovation nécessite des informations nominatives sur les patients.

Globalement, plus le niveau d’information contenu dans la donnée traitée est élevé, plus sa gestion est complexe. Cependant la valeur de la donnée pour le traitement en big Data est bien souvent très différente de sa valeur pour le traitement médical. D’où l’importance d’avoir une réflexion en amont de la constitution des jeux de données. Aussi, est-il primordial de parfaitement qualifier en amont l’utilisation qui sera faite de cette donnée afin de justifier pleinement de la pertinence des informations stockées et de mettre en place les processus réglementaires associés au traitement de cette donnée. C’est la logique du nouveau règlement européen.

C’est également le travail de conseil, d’audit et de surveillance du Data Protection Officer (DPO) qui est le garant au sein d’une entreprise de la validité réglementaire des traitements de données effectués au sein de l’entreprise.
Dès 2019, nous avons fait le choix de désigner un DPO Externe. La réalisation d’un audit de conformité RGPD nous a permis d’identifier les actions à mener pour s’assurer que les traitements de données que nous opérions soient conformes au RGPD. »

En matière de protection des données, le droit français est-il suffisamment protecteur ?

Aïssa Khelifa et David Srequi : « Oui, la France est un des pays les plus en pointe sur la protection des données.
Bien avant l’entrée en vigueur du Règlement général relatif à la protection des données (RGPD) du 27 avril 2016, la France disposait déjà d’un cadre juridique strict, celui de la loi Informatique et Libertés du 6 janvier 1978, modifiée à plusieurs reprises.

La loi de de 2002 sur la protection des patients et la certification d’hébergeurs de données de santé constitue, avec le RGPD, un socle très solide.
La généralisation précoce des Messageries Sécurisées dans le domaine de la santé ou la sécurisation des outils de diffusion de résultats d’imagerie ou de biologie vers les médecins ou les patients contribuent également à renforcer la protection des données.

Le caractère national du droit français, contrairement par exemple à l’Allemagne où la protection des données est traitée au niveau des Länder, est également un facteur positif.

Cependant aujourd’hui, cette protection peut également être un frein pour la recherche biomédicale et les entreprises, en particulier face aux enjeux du big data, en limitant l’accès à des bases de données rétrospectives existantes et qualifiées, qui pourraient être totalement anonymisées et sans risque pour le patient. En effet, le cadre légal qui entoure cette étape d’anonymisation nécessite le consentement du patient et est donc de fait limitante. »

Comment s’applique le règlement européen sur la protection des données au secteur médical ?

Aïssa Khelifa et David Srequi : Le RGPD est un ensemble très complet de principes fondamentaux assortis de sanctions permettant de s’assurer que les dispositions soient respectées par les responsables de traitement. Il définit donc les règles auxquelles les acteurs de santé doivent se soumettre (consentement préalable des patients, droit à l’oubli, etc…).

Les entreprises doivent se doter d’un Délégué à la Protection des Données (DPO). Ces dispositions sont désormais bien appliquées. Le secteur médical ne déroge pas à cette règle. Et le traitement des données de santé hors soin courant est encadré par des règles d’information et/ou de consentement.

Mais le RGPD fixe également des sanctions très élevées pour les industriels qui ne respecteraient pas les règles. Entre 2020, ce sont 306 M€ de sanctions qui ont été imposés en raison de violations du RGPD selon le média britannique Finbold.

Enfin, en créant un espace européen commun de protection des données, le RGPD a également bâti un contrepoids au Cloud Act américain, plus permissif, et qui s’imposent aux entreprises américaines sur le territoire américain comme à l’étranger. Ce conflit de doctrine a ainsi conduit la CNIL a critiqué l’attribution du Health Data Hub à Microsoft.

Quel danger pour nos données médicales (Accès non autorisés ou illicites,…) ?

Aïssa Khelifa et David Srequi : « Deux risques majeurs sont identifiés. Le vol de données et le Ransomware.

Le vol de données consiste à pirater une base de données (un dossier patient par exemple), pour revendre les données sur un marché clandestin.
Selon une estimation récente, un dossier médical complet s’échangerait aux alentours de 250 $ sur le "Dark Web". Mais le vol de données semble relativement rare en Europe.

Le Ransomware, beaucoup plus fréquent, consiste à bloquer une base de données et à la débloquer contre le paiement d’une rançon. De très nombreux cas de Ransomware ont été recensés ces dernières années, aux USA d’abord mais en Europe également. Des établissements américains ont ainsi perdu leurs fichiers patients pour avoir refusé de payer.

Dans les deux cas, il existe cependant des solutions pour protéger les données. Elles font appel à de la technologie d’une part (firewall, cryptage, duplication des bases), mais aussi à des règles d’organisation relativement strictes, comme par exemple la gestion des pièces jointes dans les courriels ou le contrôle des accès. Une association, l’APSSIS, publie régulièrement des recommandations très pertinentes sur la sécurité de nos données et les attaques récentes contre des hôpitaux ont montré la résilience des Systèmes d’Information. A notre connaissance, en France, aucune attaque n’a réussi à mettre durablement en danger la sécurité des données hospitalières.

On peut toutefois noter que si les professionnels de la santé mettent en œuvre des mesures de sécurité drastiques, les patients partagent de leur côté beaucoup d’informations de santé sur des réseaux sociaux ou dans des échanges non sécurisés. »

Les données des personnes ne souhaitant pas se faire vacciner peuvent-elles être collectées ?

Aïssa Khelifa et David Srequi : « A priori non, la doctrine veut qu’aucune donnée ne puisse être collectée sans l’accord préalable et informé de la personne concernée.
Cependant, pour être totalement transparent, la doctrine du consentement préalable éclairé a subi quelques brèches dans la période récente. Par exemple, la centralisation des données des tests de dépistage positifs à la Covid-19 dans SI-DEP se fait sans le consentement des patients. Cette centralisation est nécessaire pour le "contact-tracing" afin de prévenir au plus vite les cas contacts et a été validée par le Conseil d’Etat, qui a jugé la dérogation "proportionnée à l’enjeu". »

Interview de Aïssa Khelifa par Marie Depay Rédaction du Village de la Justice.