Débat : Les données de notre santé doivent rester confidentielles

L'accès aux données de l'Assurance maladie ou des hôpitaux, même rendues anonymes, fait courir un risque pour la protection de la vie privée. Shutterstock

Où vont les données que nous produisons lorsque nous nous soignons ? Les noms et la quantité des médicaments que nous prenons à la pharmacie, les actes réalisés par l’infirmier ou le médecin lorsque nous nous rendons aux urgences ? Qui les utilise, et de quelle façon ?

Le mouvement général en faveur de l’ouverture des données, ou open data, se renforce, dans un objectif de transparence et surtout d’avancées pour la recherche en santé publique. Il vise notamment à mieux prévenir les crises sanitaires, par exemple en repérant le plus tôt possible les effets indésirables liés à un médicament.

Le système actuel rend public un grand nombre de données de santé, après les avoir rendues anonymes. Se pose néanmoins la question de leur réelle confidentialité. C’est l’un des sujets actuellement débattu dans les États généraux de la bioéthique, notamment à travers la consultation en ligne ouverte jusqu’au 1er mai. « Comment concilier des objectifs, antinomiques en apparence, de protection de la vie privée et de contribution à l’intérêt collectif ? » : tout citoyen peut y poster ses propositions sur ce thème.

Les soins remboursés via la carte Vitale, les actes réalisés à l’hôpital

Le principe de l’ouverture des données consiste à mettre à la disposition de tous les citoyens des données relevant de la vie publique. Celles sur la santé en font partie. Beaucoup sont issues des remboursements de soins via la carte Vitale et du codage des actes réalisés à l’hôpital. Elles sont d’ores et déjà regroupées en totalité dans un seul système, le Système national d’information interrégimes de l’Assurance maladie (SNIIRAM). Un autre système, le Programme de médicalisation des systèmes d’information (PMSI), offre également un fichier très étoffé, contenant des données sur les ressources et l’activité des établissements de soins.

Il en existe un troisième, plus récent, le Système national des données de santé (SNDS). Créé en 2016 par la loi de modernisation de notre système de santé, c’est un métafichier, autrement dit un fichier de fichiers, institué pour mettre à la disposition des chercheurs un certain nombre de données de santé. Celles-ci sont rendues anonymes, le but affiché étant de ne pas nuire aux personnes dont il est question. Elles peuvent aussi être réutilisées par des établissements publics ou des entreprises privées, à l’exception de celles relevant du commerce d’assurance et de l’industrie pharmaceutique.

En pratique, cela revient à regrouper en un seul lieu les informations émanant des feuilles de soins gérées par l’Assurance maladie, des données hospitalières, des données liées au handicap et un échantillon des données provenant des organismes de garantie complémentaire (les mutuelles), ainsi que des actes de décès.

Le respect de la confidentialité de nos données personnelles de santé

Dans un tel système, la confidentialité de nos données personnelles de santé est-elle assurée ? Le principe d’un contrôle a posteriori du respect de cette confidentialité a été retenu par le législateur. La Cour des comptes a publié en mai 2016, après la loi de modernisation, un rapport sur les données personnelles de santé gérées par l’Assurance maladie. Elle se disait favorable à ce mode de contrôle « s’appuyant sur des sanctions renforcées et faisant notamment l’objet d’un rapport annuel au Parlement de la Commission nationale de l’informatique et des libertés (CNIL) ».

Le 27 février, la CNIL a mis en demeure l’Assurance maladie de « renforcer la sécurisation » de la base SNIIRAM dans les trois mois, en raison de ses insuffisances. Un mois plus tôt, cependant, la présidente de la CNIL, Isabelle Falque-Pierrotinelle, regrettait le manque de moyens pour faire face aux missions qui lui étaient confiées.

Aujourd’hui, l’anonymat apparaît difficile à garantir, dans les faits, au citoyen. Pour l’élaboration de la loi créant le SNDS, l’inspecteur général des affaires sociales (IGAS) Pierre-Louis Bras avait rendu en 2013 son rapport sur les données de santé. Il remarquait qu’« en croisant certaines informations, on peut identifier des personnes connues par ailleurs ». Et insistait sur le fait que, dès lors que les données présentaient un risque pour les patients d’être ré-identifiés, l’accès devait en être restreint. Il écrivait ainsi (page 29) :

« Même si le risque de réidentification ne doit pas être majoré, il est indéniable que ce risque existe et ne permet pas d’envisager un accès libre à l’ensemble des données du système d’information. Il ne fait aucun doute en particulier […] aux dires des experts rencontrés par la mission IGAS, que les données individuelles exhaustives du système d’information, associant soins hospitaliers et ambulatoires [NDLR : c’est-à-dire les soins avec des nuits passées à l’hôpital et les soins sans], permettent d’identifier une grande proportion des personnes présentes dans la base pour qui en connaît – même approximativement – l’âge, l’adresse, la nature et la date de certains soins et éventuellement la date du décès. De sorte qu’un tiers disposant de ces informations peut apprendre pour quelles maladies ces personnes ont reçu des soins. »

La commission open data en santé avait à son tour, en 2014, remis son rapport à la ministre de l’époque, Marisol Touraine. Celui-ci était favorable au « principe d’ouverture par défaut des données anonymes, sauf exception motivée ». À propos des possibilités de ré-identification, la commission concluait : « Le risque de mésusage n’est pas considéré comme un motif de non-publication ». Et par là-même, reconnaissait l’existence de ce risque.

Eviter des scandales comme celui du Mediator

Les promoteurs de l’open data défendent, non sans raison, une certaine idée de la santé publique, promettant que l’analyse des données permettra d’éviter des scandales comme celui du Médiator. L’accès aux « données administratives de l’Assurance maladie » était déjà, en 2014, une recommandation de la revue médicale indépendante Prescrire pour que les victimes du médicament puisse étayer leur action en justice. En outre, cet accès aux données permettrait de mieux mesurer le poids de chaque pathologie dans la population et son coût pour le système de santé.

Robert Madelin, alors conseiller spécial sur les questions d’innovation à la Commission européenne, se demandait en 2015 s’il était éthique de refuser de partager des données personnelles dans des domaines comme la recherche médicale. Sur le site du média européen Euractiv, il affirmait : « Si le stockage des mégadonnées, plus mon génome, plus le génome de tout le monde peut sauver des vies, ai-je le droit de dire “Non, je ne veux pas partager mon génome avec la société” ? »

En revanche, il faudrait, toujours selon lui, imposer des limites aux variations de primes d’assurance que l’accès aux données de santé ne manquera pas d’entraîner. Ainsi, pour Robert Madelin, il est acquis que les assureurs connaîtront nos données de santé et que certaines personnes en pâtiront.

Des remboursements modulés selon les citoyens

Aujourd’hui, de nombreuses questions se posent. Les données de santé issues du SNDS peuvent être recoupées avec celles de nombreuses autres sources, par exemple des smartphones ou des pèse-personnes connectés. Qui peut garantir que ces mégadonnées ne serviront pas, un jour, à moduler les remboursements des citoyens par l’Assurance maladie ou des mutuelles ?

Le danger est que des critères actuariels, c’est-à-dire tenant compte du risque individuel, soient appliqués, à la place de la solidarité collective qui prévaut actuellement. Et que le modèle mutualiste, dans lequel les plus vulnérables sont pris en charge de la même manière que les autres, soit remis en cause.

Ces mégadonnées vont-elles permettre, à terme, de contrôler la conduite des personnes malades, en les remboursant seulement si elles adoptent un comportement jugé responsable, par exemple en arrêtant de fumer ? En trouvant les bons algorithmes, l’ensemble des données issues des objets connectés et des réseaux sociaux peut permettre de connaître assez précisément les comportements des individus. Si une personne diabétique poste des photos de sucreries sur Instagram, que pourra en conclure sa mutuelle ?

Le même type d’interrogation surgit concernant les assureurs. Le groupe Axa, par exemple, a lancé dès 2015 son chantier pour produire et exploiter des mégadonnées ou big data. Projetons-nous dans un futur peut-être pas si lointain : si l’assureur connaissait le génome de l’assuré, avec ses prédispositions à telle ou telle maladie, ne serait-il pas tenté de calculer un risque spécifique le concernant ?

Quel secret médical dans une période où l’échange d’information domine ?

Nous nous trouvons actuellement dans une forme d’injonction paradoxale. D’une part, l’accès plus grand à des données de santé massives est un réel service rendu à la population, qui bénéficie à la santé publique ; de l’autre, ses enjeux économiques risquent de mettre à mal la cohésion sociale. L’objet du débat, c’est au fond notre capacité à continuer à supporter ensemble, à l’échelle du pays, un risque commun, afin de protéger les plus vulnérables au sein de la population.

Le secret professionnel des médecins participe de cela en évitant que soient stigmatisés les plus malades. D’une certaine manière, il protège la possibilité de vivre ensemble. Quel sens donner à ce secret dans une période où le principe de l’échange d’information et de l’accès généralisé aux données domine ? Le médecin que je suis, soucieuse de le voir respecté, s’interroge.

Entre protection de la vie privée et sécurité sanitaire, la question se pose de ce que chacun veut vraiment. À l’échelle de la société, notre capacité de faire n’excède-t-elle pas, actuellement, notre capacité à penser ce que nous faisons ?

Ce texte a été republié dans le cadre d'une série d’articles autour de la thématique « Santé publique, sujet du colloque de l’Agence universitaire de la Francophonie (AUF) qui se tient les 6 et 7 novembre, à Bruxelles avec plus de cent cinquante acteurs francophones : établissements universitaires, représentants gouvernementaux, représentants des agences nationales, experts des politiques de santé publique dans le monde francophone.