A l’heure de cette crise sanitaire, après le 1er moment passé de prise en charge des patients par le personnel soignant, viendra dans un 2e temps celui de d’analyse des données pour étudier plus précisément les facteurs de risques et les taux de guérisons suivant les protocoles de soins appliqués.
Il sera alors nécessaire de centraliser l’ensemble des données informatiques gérées à différents niveaux du système de santé que ce soit les prescriptions, la durée d’hospitalisation, les facteurs de risque des patients, les analyses des laboratoires, les caractéristiques par sexe et âge des patients, les pathologies liées….
Cette question d’apparence simple s’avère en fait d’une complexité insoupçonnée : où sont stockées les données ? Comment les traiter, les relier ? Comment respecter la protection des données personnelles, comment assurer la sécurisation de ces données ? Qui peut utiliser ces données ? Que prévoit la loi ? De quelles bases de données dispose-t-on ?
Commençons par le cadre juridique : La loi de Santé relative à l’organisation et à la transformation du système de santé adoptée par le Parlement le 16 juillet 2019, dans son article 41 prévoit la création de la plateforme des données de santé (Health Data Hub).
Cette structure devra notamment :
- réunir, organiser et mettre à disposition les données du système national des données de santé (SNDS);
- promouvoir l’innovation dans l’utilisation des données de santé;
- favoriser l’interopérabilité des données;
- accompagner les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative.
Dès Avril 2019, 10 projets avaient été retenus et tout récemment suite à la crise sanitaire du Covid-19 ses prérogatives ont été étendues. Ainsi, le 21 avril dernier, le gouvernement a pris, au nom de l’état d’urgence sanitaire, un arrêté autorisant le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.
Autre ajout, l’arrêté du 21 Avril prévoit une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements.
Le PMSI comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque.
Le Health Data Hub est géré par un groupement d’intérêt public (GIP) chargé d’administrer l’ouverture des données à des acteurs extérieurs. La loi santé a modifié les textes régissant ces accès afin de permettre leur utilisation par des acteurs privés.
Jusqu’alors, les données personnelles de santé ne pouvaient être soumises à un traitement informatique que dans le cadre de « l’accomplissement des missions des services de l’État » ou « à des fins de recherche, d’étude ou d’évaluation » et « répondant à un motif d’intérêt public ». La loi santé a fait disparaître toute référence à une finalité scientifique pour ne conserver que le « motif d’intérêt public ».
Comment est financé ce nouvel organisme ? Pas de mégotage, un budget pluriannuel de 80 millions d’euros a été mis sur la table par l’Etat pour 3 ans pour couvrir les frais de cette structure permettant le recrutement de profils très spécialisés en analyse de données et les diverses dépenses inhérentes à ce type de structure.
Jusque-là, les avis étaient partagés, un partenariat public/privé, pourquoi pas ? Même si nous pouvions regretter de ne pas avoir vu cette mission confiée à l’assurance maladie dans la continuité du développement de la base informatique nationale gérée par elle depuis 20 ans. En effet, depuis 2001, la Cnam dispose d’une base nationale des prescriptions enrichie des données d’hospitalisation.
Que ce soit à la Cnam ou au Health Data Hub, les données de ces bases informationnelles statistiques sont pseudonymisées c’est-à-dire que les données sensibles permettant l’identification des personnes sont chiffrées grâce à une clé de chiffrement.
Mais là où tout a pris une autre tournure, c’est lorsque la décision a été prise de choisir le géant américain Microsoft pour héberger l’ensemble des données de cette toute nouvelle plateforme des données de santé.
A l’heure du règlement européen de la protection des données personnelles (RGPD), le choix d’un hébergeur américain, soumis aux lois américaines (Patriot Act, America First) plutôt qu’européennes, a soulevé de vives interrogations et inquiétudes, que ce soit des directeurs d’hôpitaux et non des moindres, du président du forum européen de la bio-éthique, de la Cnil, de plusieurs acteurs du monde médical, de députés, de journalistes d’investigation, de responsables de sociétés Françaises hébergeuses de données …. et évidemment de Nous, élus CGT au Conseil économique et social (CSE) de la Cnam.
En effet, ce choix pose de multiple questions, pourquoi le choix d’une entreprise américaine pour héberger les données de santé, pourquoi ne pas avoir choisi un organisme public pour héberger ces données, pourquoi les responsables de structures, d’organismes ou d’hôpitaux fournisseur de ces données n’ont-ils pas été consultés, quelles sont les garanties pour que ces données ne soient pas utilisées par les Etats-Unis ?
Les données de ces bases informationnelles statistiques sont pseudonymisées, c’est-à-dire que les données sensibles permettant l’identification des personnes sont chiffrées grâce à des clés de chiffrement.
Mais là aussi que prévoit le contrat liant le Health Data Hub à Microsoft ?
Dans son rapport, la Cnil indique que, même si les données stockées seront bien chiffrées « avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé », les clefs de déchiffrement seront envoyées à Microsoft. « Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », pointe la commission de la CNIL. « No COMMENT’ » comme diraient les Anglais !
Contre la mainmise des données de santé publiques offertes aux plus offrants, contre l’utilisation de ces données offertes en pâture aux algorithmes d’intelligence artificielle n’offrant pas toutes les garanties de finalités non mercantiles, pour la gestion des données de santé publiques par des acteurs publics, pour des données au service d’une véritable politique de santé publique, nous demandons aux plus hauts responsables du secteur de la santé d’agir et de mener expressément l’action de mettre en œuvre un cloud interne public pour les données sensibles comme les données de santé et un autre cloud supervisé par l’Etat et la Cnam mais en partenariat avec un ou des industriels nationaux spécialisés dans l’hébergement pour des données et applications de moindre sensibilité.
Une réflexion au sujet de « Dé-confinement des données de santé : à qui cela profite ? »
Un scandale d’Etat de plus !
Nous n’avons aucune visibilité du devenir de ces données.
Je reste solidaire à toute action à mener pour empêcher le gouvernement de livrer nos données médicales. Comme par hasard elles sont données aux USA et de plus, à Microsoft (Mr Bill Gates).