Données de santé : ce que prévoit le projet de loi

Les enjeux concernant l’accès aux données de santé sont multiples. Ils concernent le pilotage de notre système de santé dans ses dimensions veille et sécurité sanitaires, gestion du risque et épidémiologie. Mais l’ouverture de l’accès ne peut se faire au détriment de la protection des données à caractère personnel, ce qui a justifié une grande restriction jusqu’à aujourd’hui.

Les assureurs complémentaires au premier chef, mais aussi les industriels du secteur informatique, les laboratoires pharmaceutiques ainsi que les chercheurs ont souligné la très grande difficulté d’accès au SNIIRAM, cet entrepôt de données médico-administratives de grande richesse eu égard à son périmètre (presque toute la population française) et à la complétude des données hospitalières et ambulatoires qu’il contient. Le SNIIRAM est en effet fortement verrouillé aujourd’hui, ce qui freine les recherches tant en matière de maîtrise du risque que d’épidémiologie.

Afin de clarifier la situation, la Ministre a lancé une large consultation dont témoignent le Rapport sur la gouvernance et l’utilisation des données de santé de Pierre Louis Bras (sept. 2013) et le Rapport de la Commission Open data en santé (juillet 2014).

S’inspirant des conclusions de la Commission, l’article 47 du projet de loi de santé publique, relatif à l’ouverture des données de santé, a suscité une vive émotion des acteurs de santé en donnant le sentiment de restreindre l’accès aux données au lieu de l’ouvrir.

Quelles sont les propositions et les discussions qui s’y rapportent ?

 

La gouvernance et l’identifiant unique de santé

 

Il est créé un Système National des Données de Santé (SNDS) qui collectera et mettra à disposition les données de santé d’activité médicale des hôpitaux et de la médecine ambulatoire. Il intègrera le SNIIRAM actuel et s’enrichira des informations sur les causes de décès (partiellement intégrées aujourd’hui dans le SNIIRAM) auxquelles s’ajouteront les données médico-sociales et les données de l’assurance santé.

Un Institut National des Données de Santé (INDS, de statut GIP) prendra la place de l’actuel Institut des Données de santé (IDS), pour gérer le droit d’accès aux données de santé. Il aura une composition pluraliste large réunissant les représentants de tous les acteurs de la santé financeurs et opérateurs de soins ; il sera plus ouvert aux acteurs publics et privés que l’IDS, en intégrant les organismes de recherche et les industriels de la santé. Il devrait fonctionner en guichet unique simplifiant le traitement des demandes d’accès et appréciant leur conformité éthique et le statut d’intérêt public de la recherche, de l’étude ou de l’évaluation objet de la demande d’accès. Il dépendra du code de la santé publique et non plus du code de la sécurité sociale, plaçant ainsi plus clairement la gouvernance du côté de la santé et non pas du financeur.

C’est la loi qui donnera désormais accès au SNDS pour les Agences Régionales de Santé et en fixera les conditions. Leur accès au SNIIRAM était jusque-là restrictif et faisait l’objet de conventions avec la CNAMTS.

Le NIR deviendra l’identifiant unique de santé à des fins sanitaires et médico-sociales, facilitant ainsi l’identification des patients et l’appariement entre les données des différentes bases. Ceci devrait enfin résoudre l’un des problèmes majeurs de l’interopérabilité des systèmes d’information de santé pour la sécurité du patient – de nouveau récemment dénoncée par l’Etablissement Français du Sang – et pour l’efficience des systèmes d’information de santé partagés.

 

Deux volets d’usage des données organisent le degré d’accessibilité des données

 

  • Un volet « open data » : les données anonymisées pour lesquelles aucune identification n’est possible seront accessibles et réutilisables par tous, en « open data ». Ces données seront accessibles sous forme de d’ensemble de données mis à disposition sur une plateforme et permettant des traitements sans avoir à demander une autorisation spécifique. Leurs périmètre et contenu seront définis par décret. Il pourra par exemple s’agir de données extraites de l’EGB [1], mises ainsi à disposition.
  • Un volet « données personnelles » : les données anonymisées mais potentiellement identifiantes (même si elles ne comportent ni noms et prénoms, ni numéro de sécurité sociale), pourront être utilisées sur autorisation de la CNIL à des fins de recherche, d’étude ou d’évaluation d’intérêt public dans le domaine de la santé, ou sur autorisation par décret […] pour l’accomplissement de missions de service public, à des conditions rigoureuses assurant la protection de ces données sensibles. Elles seront en accès restreint. Si l’utilisation à vocation de recherche et études sera autorisée, les cas d’utilisation à vocation essentiellement commerciale ne le seront pas. L’accès sera donc strictement encadré et payant par redevance (principe et tarif restant à définir).

C’est ce deuxième volet « données personnelles » qui fait craindre une restriction et une complexification de l’accès aux données, car les critères d’accès, en particulier la notion « d’intérêt public », sont flous. In fine, ce seront l’INDS et la CNIL qui élaboreront la doctrine qui s’enrichira progressivement.

 

Ce que l’on sait des modalités pratiques d’accès

 

De façon opérationnelle, l’accès aux données se fera à partir de requêtes réalisées sur une plateforme de l’INDS, qui pourra ainsi les contrôler et s’assurer qu’aucun traitement chaînant des données ré-identifiantes n’aura été effectué. Pour les organismes ayant accès à la base, c’est le NIR anonymisé qui permettra de chaîner les différentes données (ce qui est déjà le cas sur le SNIIRAM et le PMSI).

Certains organismes chargés de missions de service public bénéficieront comme aujourd’hui d’un accès permanent à un ensemble de données défini. Pour les acteurs privés lucratifs, le projet de loi fait une distinction entre les entreprises ayant une activité d’études, qui pourront accéder directement aux données après autorisation, et celles qui traitent les données pour soutenir et mieux cibler leurs propres actions commerciales (sont visés en particulier les laboratoires pharmaceutiques), qui devront passer par des organismes intermédiaires donnant des garanties de protection des données à caractère personnel.

Ainsi, l’article 47 précise que « Les recherches, études ou évaluations doivent être effectuées pour le compte d’un organisme à but non lucratif ou, dans le cas de recherches, d’études ou d’évaluations effectuées pour le compte d’entreprises et d’organismes à but lucratif, doivent l’être par des laboratoires de recherche ou bureaux d’études, publics ou privés,… dont les responsables présentent à la Commission nationale de l’informatique et des libertés un engagement de conformité à un référentiel incluant les critères d’expertise et d’indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même Commission ». « L’accès aux données est subordonné à l’engagement par le bénéficiaire de communiquer, à la fin de la recherche, de l’étude ou de l’évaluation, …, les résultats de l’analyse et les moyens d’en confirmer la validité » (projet de loi, chapitre I, Art. L. 1461-3-II).

Malgré l’ouverture des accès au SNIIRAM qu’il convient de saluer, les restrictions qui subsistent suscitent encore une forte contestation.

D’ici le début de la discussion de la loi, la concertation avec la ministre se poursuit afin d’affiner la rédaction de cet article 47, en s’appuyant notamment sur des spécialistes de l’Open data venant d’Etalab sollicités pour renforcer les équipes du ministère.

 

OpusLine est très impliqué sur la question de l’accès et du traitement des données de santé, tant sur le plan juridique que sur le plan technique, avec pour mission d’éclairer les décisions stratégiques ou les réalisations opérationnelles, en s’appuyant notamment sur une analyse approfondie et exigeante des données de santé disponibles – aujourd’hui principalement à l’étranger.

OpusLine affirme ainsi son positionnement unique de premier cabinet de conseil spécialisé sur le secteur de la santé et du vieillissement, qui intervient auprès de tous ses acteurs : assureurs privés et publics, industrie et services en santé, organismes publics et offreurs de soins.

 

[1] EGB : L’Echantillon Généraliste des Bénéficiaires (EGB) est un échantillon au 1/97ième des données du SNIIR-AM. L’EGB permet de rassembler une population suffisamment importante (plus de 600 000 bénéficiaires du régime général, de la MSA et du RSI, identifiés de manière anonyme, et suivis sur 20 ans) pour répondre à la plupart des questions portant sur le comportement sanitaire de la population.. Cette base permet de faire des études de suivi de parcours de soins et de ses épisodes de soins.
Retour à l’ensemble des actualités