Protégez nos données, ouvrez le SNIIRAM !
T.Ratcliff/Flickr
Le projet de loi Santé publique prévoit une ouverture, timide, des données de santé. Dans le même temps, les grands acteurs privés des technologies de l’information déploient des plateformes récoltant les données de santé des individus avec les objets connectés. Dès lors, les données personnelles détenues dans les bases de données publiques seraient « protégées » par les freins administratifs, alors que d’autres données personnelles seraient disponibles sur le marché, mises à disposition par les industriels du big data, sans contrôle. C’est pourquoi Pierre Desmarais, Norbert Paquel et Denis Berthault plaident pour une ouverture des données publiques de santé, offrant une meilleure protection aux citoyens, et de meilleures données aux réutilisateurs.
Cet article fait partie du dossier:
Données de santé : une libération sous tension
Par :
- Pierre Desmarais, Avocat à la Cour, Correspondant Informatique et Libertés, Chargé d’enseignement « Avocat-CIL » à l’EFB,
- Norbert Paquel, Consultant et spécialiste des données de santé
- Denis Berthault, Animateur du GT Données publiques du GFII
Et si le SNIIRAM ne s’ouvrait pas ? L’ouverture des données de santé est une nécessité. Malgré cela, l’ébauche présentée dans le projet de loi Santé Publique reste limitée, pour ne pas dire décevante. Alors que l’on espérait la mise à disposition du SNIIRAM, le texte créerait un nouveau Système National des Données Médico-Administratives (SNDMA) qui centraliserait la quasi-totalité des données de santé, encourant ainsi une censure par le Conseil Constitutionnel pour atteinte à la vie privée, tout en renforçant les contrôles d’accès à cette mégabase.
Lire :
- Données de santé : pourquoi l’opendata est une nécessité et comment y parvenir
- Données de santé : quoi ? pour quoi ? pour qui ? comment ?
Là où on attendait une véritable libéralisation, on trouverait la création de nouveaux comités d’experts chargés d’étudier la recevabilité des demandes d’accès, de comités techniques chargés de veiller à la confidentialité des données, et ce avant de passer devant la CNIL. Autant dire que la libéralisation ne semble pas véritablement à l’ordre du jour.
Mais si le SNIIRAM devient le petit village qui résiste encore et toujours à l’envahisseur, comment les réutilisateurs potentiels réagiront-ils ? Feront-ils le siège de la Caisse ou se replieront-ils sur une autre solution ?
Mais si le SNIIRAM devient le petit village qui résiste encore et toujours à l’envahisseur, comment les réutilisateurs potentiels réagiront-ils ? Feront-ils le siège de la Caisse ou se replieront-ils sur une autre solution ?
Et si cette alternative existait déjà, en fait ?
La donnée personnelle, une marchandise comme une autre
Revenons rapidement en arrière. En 1995, l’Union Européenne adoptait une directive relative à la protection des données personnelles. Pour justifier sa compétence, elle se fondait sur la liberté de circulation des marchandises. Traduction, l’or noir du XXIème siècle est un bien « dans le commerce ». Le 30 avril 2004, la Commission Européenne se penchait sur la « santé en ligne » (1)et l’identifiait comme un secteur porteur et un incontournable du marché intérieur.
Trois mois plus tard, le législateur français introduisait dans une loi relative à l’assurance maladie trois dispositions sibyllines relatives à la télémédecine et à la téléprescription (2).
En fait, il aura fallu attendre 2008 et une nouvelle communication de la Commission européenne (3)pour que le législateur français prenne la plume pour permettre un déploiement pratique de la télémédecine en France.
En fait, il aura fallu attendre 2008 et une nouvelle communication de la Commission européenne (3)pour que le législateur français prenne la plume pour permettre un déploiement pratique de la télémédecine en France.
Mais la lenteur de réaction des pouvoirs publics français n’a pas été une perte de temps. Le secteur privé a su en profiter pour développer son offre de service en matière d’e-santé. Aujourd’hui, les carnets de santé en ligne, les réseaux sociaux de malades et autres plateformes d’échange de données de santé pullulent sur la Toile. Désormais, le secteur privé s’oriente vers le quantified self, l’automesure de soi.
Tout cet écosystème tourne autour d’une seule et même chose : la « donnée personnelle ».
L’exploitation commerciale des données
Jusqu’à récemment, l’e-santé est restée le terrain de chasse de start-ups et sociétés extrêmement spécialisées, lesquelles collectent de plus en plus de données. Ces opérateurs sont maintenant à la tête d’un volume colossal de données.
La tentation de les exploiter n’a pas tardé à transparaître chez certains. Mais comment ? A quelle fin ? Plusieurs pistes ont été envisagées dont l’élaboration d’étude « bien-être » à partir de données collectées par le biais d’applications et de dispositifs commerciaux. Aujourd’hui, les acteurs de l’e-santé se tournent vers le monde de l’assurance. Le potentiel serait immense, mais la façon d’exploiter ces informations reste encore indéterminée.
La tentation de les exploiter n’a pas tardé à transparaître chez certains. Mais comment ? A quelle fin ? Plusieurs pistes ont été envisagées dont l’élaboration d’étude « bien-être » à partir de données collectées par le biais d’applications et de dispositifs commerciaux. Aujourd’hui, les acteurs de l’e-santé se tournent vers le monde de l’assurance. Le potentiel serait immense, mais la façon d’exploiter ces informations reste encore indéterminée.
Mais les majors du secteur s’intéressent également à ces données. Inévitablement, les plateformistes se sont intéressés à ce secteur, notamment en raison du développement de la santé mobile, allant jusqu’à intégrer nativement des carnets de santé en ligne, voire des capteurs.
Microsoft a proposé son Healthvault, inaccessible aux internautes français pour des raisons juridiques, Apple a présenté son HealthKit et Samsung vient d’annoncer ses projets Simband et Sami.
Microsoft a proposé son Healthvault, inaccessible aux internautes français pour des raisons juridiques, Apple a présenté son HealthKit et Samsung vient d’annoncer ses projets Simband et Sami.
Les trois plateformistes semblent plus libéraux en ce qui concerne l’exploitation commerciale des données de santé de leurs clients. Certes, ils interdisent aux développeurs d’applications tierces d’accéder aux données de santé conservées sur les smartphones. Mais ils n’hésitent pas, en revanche, à imposer à leurs clients de signer des licences les autorisant à réutiliser librement les données. Alors, pourquoi ne pas envisager de les proposer à des compagnies d’assurance ?
Le droit à la vie privée, les applications mobiles et les objets connectés
Les problématiques juridiques commencent alors à poindre. Admettons que le traitement de données réalisées par l’éditeur de l’application mobile soit licite, qu’il n’y ait pas de contestation quant à la nature des informations collectées. Il n’en demeure pas moins un fort risque d’atteinte à la vie privée. Ce risque est-il réel ? Peut-on l’éviter ?
I – L’ouverture du SNIIRAM comme moyen de concilier vie privée et protection de la santé
Lorsqu’il est porté atteinte à un droit fondamental, les juges s’interrogent systématiquement quant à la proportionnalité de cette atteinte par rapport à l’objectif poursuivi. En l’occurrence, l’ouverture des données de santé peut parfaitement s’envisager sans qu’il soit porté une véritable atteinte aux droits de la personne et pour réaliser des objectifs légitimes.
A – Des risques connus pour l’individu
Les risques liés à l’exploitation des données personnelles sont bien connus : atteinte à la vie privée et au droit à la protection des données personnelles mais également discrimination.
L’utilisateur d’un smartphone adepte du quantified self peut-il sérieusement être considéré comme ayant consenti à des échanges de données personnelles – potentiellement attentatoires à sa vie privée – entre l’éditeur de l’application et un industriel désireux de développer de nouveaux services et produits sur cette base ou un laboratoire de recherches ?
L’utilisateur d’un smartphone adepte du quantified self peut-il sérieusement être considéré comme ayant consenti à des échanges de données personnelles – potentiellement attentatoires à sa vie privée – entre l’éditeur de l’application et un industriel désireux de développer de nouveaux services et produits sur cette base ou un laboratoire de recherches ?
Si la clause de la licence permettant à l’éditeur de réaliser cette opération n’avait pas été noyée dans un contrat de plusieurs dizaines de pages à lire sur un terminal de 5″, aurait-il consenti ? Concédons-le, la réponse à ces questions est délicate, puisque s’agissant de contrats d’adhésion, ne pas accepter cette clause aboutirait à renoncer à utiliser le logiciel.
Néanmoins, les autorités européennes de protection des données veillent. Et elles trouveraient certainement à y redire, notamment en ce qui concerne le caractère éclairé du consentement. Et en tout état de cause, quand bien même la validité du consentement ne pourrait pas être contestée sur le terrain de la loi du 6 janvier 1978, le droit de la consommation permettrait certainement une annulation du contrat sur le fondement des clauses abusives.
Quel est le taux de prévalence d’une telle annulation ? Tant que les données restent chez l’éditeur ou à tout le moins tant qu’elles ne font l’objet d’une exploitation commerciale que sous une forme agrégée, il est proche de zéro. Même l’introduction en droit français de la class action ne devrait pas pouvoir induire une augmentation de ce taux.
A l’inverse, si des données granulaires devaient être cédées à un tiers, ce taux croîtrait de façon exponentielle du fait, d’une part, de l’ingérence dans la vie privée des utilisateurs, d’autre part, des discriminations qu’ils pourraient alors subir dans l’accès à telles ou telles prestations.
En effet, lorsque les compagnies d’assurance US imposent l’utilisation de dispositifs de QS ou se montrent intéressées par l’acquisition de données granulaires, il ne s’agit vraisemblablement ni d’adapter leurs tarifs en fonction de profils types, ni de faire évoluer leur appréciation du risque. L’objectif vise à discriminer les assurés et candidats à l’assurance.
Mais doit-on pour autant renoncer à la réutilisation de données de santé ?
B – Mais un réel intérêt pour le système de santé
Les opposants à l’opendata santé craignent essentiellement une exploitation discriminatoire des données de santé par l’assurance maladie complémentaire. Néanmoins, à une période où l’on critique le montant du ticket d’entrée de ces organismes, à une époque où les régimes obligatoires transfèrent régulièrement le poids des remboursements vers les complémentaires, est-il bien raisonnable de leur opposer un refus aussi catégorique ?
Le monde de l’assurance a un intérêt légitime à pouvoir prendre connaissance des données de santé, qu’elles soient accessibles sous forme granulaire ou agrégée. Agrégées, les données permettent à l’assurance maladie complémentaire de faire évoluer les systèmes experts et guidelines utilisés par le service médical des compagnies pour fixer la tarification. La loi Informatique et Libertés constitue à cet égard un garde-fou intéressant.
Le texte permet en effet à toute personne « de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».
Le texte permet en effet à toute personne « de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».
L’ajustement des traitements automatisés – déjà existants – à l’aide de données de santé agrégées peut donc se faire de façon vertueuse, sans crainte, dès lors que contrôles et sanctions constituent une réalité et non un mythe. De telles informations statistiques pourraient également conduire à la constitution de profils médicaux types en vue de proposer des services de médecine préventive : la communication de ces données permettrait enfin de réaliser le changement de paradigme du cure vers le care.
Mais des données relatives aux prescripteurs, agrégées au niveau d’un quartier, voire d’une ville, et par spécialité, présenteraient également un intérêt. Les assurances pourraient ainsi aisément mettre en place des réseaux de soins destinés à adapter l’offre de soins à leurs assurés. Elles pourraient obtenir un abaissement des tarifs des praticiens de secteur 2 au profit de leurs clients les moins favorisés.
L’intérêt des données granulaires est tout aussi important. Mais la méfiance, pour ne pas dire la suspicion, à l’égard de l’assurance maladie complémentaire est patente. Pourtant, grâce à son programme Inédit Santé, AXA a pu faire évoluer le montant des remboursements proposés à ses assurés, et ce dans un cadre respectueux des droits fondamentaux de ces derniers. Mais, pour parvenir à un tel résultat, AXA a dû mettre en place des mécanismes technico-juridiques suffisants pour obtenir la confiance de la CNIL. Et tout cela pour n’accéder qu’à une infime partie des données de santé détenues par les pouvoirs publics.
C – Pour un opendata santé vertueux
Le SNIIRAM et les autres bases publiques de données de santé restent pour l’heure très difficilement accessibles aux réutilisateurs et, notamment, à l’assurance maladie complémentaire, aux industriels de la santé et aux laboratoires de recherche.
On comprend alors pourquoi, dans chacun de ces secteurs, l’accès aux bases privées de données de santé est tant convoité. Imaginez, des données telles que l’âge, le poids, la taille, le sexe, la fréquence cardiaque, la pression artérielle, les pathologies, les traitements en cours. Des données non pas équivalentes à celles contenues dans le SNIIRAM, mais au contraire plus précises !
Des données accessibles moyennant la signature d’un simple contrat avec le producteur de la base de données ! Ici, nous forçons à peine le trait, comme en témoigne le rapport « Le Corps, nouvel objet connecté » publié par la CNIL, le 28 mai 2014. Les services de la Commission y préconisent en effet l’interdiction des cessions business-to-business de données de santé pour éviter une réutilisation de données extérieures au SNIIRAM.
La CNIL semble l’avoir bien compris. En refusant l’ouverture de SNIIRAM et des autres bases de données de santé, les pouvoirs publics favorisent, pour ne pas dire encouragent, la constitution de bases de données privées, librement accessibles, plus complètes et donc plus susceptibles de porter atteinte à la vie privée des utilisateurs d’applications mobiles et objets connectés.
La CNIL semble l’avoir bien compris. En refusant l’ouverture de SNIIRAM et des autres bases de données de santé, les pouvoirs publics favorisent, pour ne pas dire encouragent, la constitution de bases de données privées, librement accessibles, plus complètes et donc plus susceptibles de porter atteinte à la vie privée des utilisateurs d’applications mobiles et objets connectés.
Paradoxalement, l’ouverture des données publiques permettrait donc de renforcer la protection des droits fondamentaux du malade en contrôlant le type de données accessibles. Et ce renforcement serait d’autant plus sérieux que l’accès en opendata aux bases de données de santé publiques peut être encadré. Non seulement le caractère vertueux de la réutilisation et de ses conditions serait auditable, comme c’est également le cas pour les bases privées, mais surtout les producteurs et le législateur pourraient-ils fixer des exigences essentielles.
Cet encadrement de l’accès à des bases publiques n’est-il pas susceptible de favoriser encore les bases privées ?
II – Privées ou publiques, les bases de données de santé n’interviennent pas sur le même secteur d’activité
La valeur des données de santé publiques contrebalance l’encadrement de l’accès. En fait, non, encadrer l’accès aux bases publiques ne favorisera pas nécessairement les bases privées. Certes, les bases privées sont plus riches que les bases publiques, censées ne contenir que des données d’ordre « médico-administratif ». Mais les bases privées sont alimentées par les personnes concernées elles-mêmes.
Le médium de collecte influe ici directement sur la qualité des données. Les personnes concernées ne maîtrisent pas nécessairement les objets connectés à l’origine des données collectées. Elles peuvent vulgariser les données qu’elles rentrent, faire des contresens ou commettre de véritables erreurs. Et le caractère communicant des objets connectés ne permet pas d’améliorer la fiabilité des données, dans la mesure où la fiabilité de l’appareil n’est pas connue. En clair, les bases privées, effectivement plus riches, contiennent des données moins précises. Or, sur le marché de la donnée, la finesse est l’une des composantes majeures dans la détermination de la valeur. Une base moins riche mais contenant des informations plus précises présente donc un plus grand intérêt pour les réutilisateurs.
Le second élément garantissant la valeur des données tient à l’exhaustivité de la base. Quand bien même elles seraient d’une précision extrême, des informations issues d’un ensemble non exhaustif présentent un biais, du fait de l’incomplétude dudit ensemble. Une base de données privée permet ainsi d’obtenir certes une connaissance précise des utilisateurs, mais cette connaissance se cantonnera toujours à la clientèle du producteur privé. A l’inverse, le SNIIRAM recense les données relatives à la totalité des assurés sociaux, offrant ainsi aux réutilisateurs une vision plus panoramique.
Car les réutilisateurs de données de santé ont besoin de précision et d’exhaustivité. Un lecteur au sens critique bien aiguisé, soucieux de la préservation de la vie privée, rétorquera certainement qu’une diminution simultanée du degré de précision et des contraintes juridiques n’effraiera pas un réutilisateur peu scrupuleux.
En fait, une analyse vis-à-vis des deux principaux réutilisateurs de données de santé que constituent les industriels de la santé et l’assurance maladie complémentaire semble indiquer le contraire.
Commençons par les industriels désireux de réutiliser des données de santé pour créer de nouveaux produits et services ou améliorer ceux existants. Les données issues de bases privées paraissent difficilement exploitables dans ce contexte.
Commençons par les industriels désireux de réutiliser des données de santé pour créer de nouveaux produits et services ou améliorer ceux existants. Les données issues de bases privées paraissent difficilement exploitables dans ce contexte.
Comment développer un produit sûr sur des données « de masse », sur des données collectées par des personnes dont on ne sait rien, sur des données collectées par des objets connectés dont le degré de précision n’a pas été attesté, sur des données non exhaustives ?
Comme en matière de recherche, pas de cohortes, pas de fiabilité. Des travaux fondés sur de telles données seraient biaisés : le développement de produits et services nouveaux a besoin de données précises, relatives à des populations déterminées. Pas de données « de masse ».
Comme en matière de recherche, pas de cohortes, pas de fiabilité. Des travaux fondés sur de telles données seraient biaisés : le développement de produits et services nouveaux a besoin de données précises, relatives à des populations déterminées. Pas de données « de masse ».
Quant à l’assurance maladie complémentaire, le besoin en terme de précision et d’exhaustivité des données utilisées pour alimenter un système expert ou établir des guidelines est plus important encore.
Rappelez-vous. Toute personne a le droit d’obtenir « les informations permettant de connaître et de contester la logique qui sous-tend [un] traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à [son] égard ». Un régime complémentaire qui se fonderait sur des données imprécises s’exposerait ainsi à un risque juridique conséquent. Imaginons en effet qu’il soit démontré une imprécision des données à la base des guidelines, tous les adhérents au produit en cause pourraient alors se fonder sur ce point pour contester les décisions prises sur cette base. Ajoutez un soupçon de class action là-dessus et vous comprendrez en quoi la réutilisation de données imprécises reviendrait pour notre assureur à s’asseoir sur une poudrière.
III – Conclusion
En persistant à refuser l’ouverture des données de santé, les pouvoirs publics encouragent le développement et l’enrichissement de bases de données privées. Car c’est désormais un fait, SNIIRAM a des concurrents ! L’émergence de cette concurrence est une véritable obole, tant en terme de santé publique que de compétitivité. C’est une chance de pouvoir enrichir les données publiques, de pouvoir comparer les résultats de la recherche académique face à des données brutes et partant de corriger les biais connus de la première.
Mais SNIIRAM et ses concurrents n’interviennent pas sur le même secteur d’activité. Ces opérateurs devraient être complémentaires. Au lieu de cela, les acteurs privés se retrouvent obligés de combler la place laissée vacante par l’Assurance Maladie. C’est un fait, les réutilisateurs de données personnelles se tournent désormais vers les premiers du fait du refus de la seconde de donner accès au fleuron de ses bases de données.
En définitive, cette substitution du privé au secteur public effraie. Le second est traditionnellement perçu comme un modèle de transparence, là où le premier est systématiquement diabolisé. On craint qu’il ne profite de sa position dominante sur le marché de la donnée de santé pour se livrer à des pratiques attentatoires à la vie privée. Mais cette inquiétude n’est justifiée qu’en présence de producteurs de bases ayant une utilisation des données décomplexée, et l’hypothèse est d’autant plus rare en Europe que l’arsenal juridique, principalement en matière de consommation et de protection des données, comporte de multiples garde-fous et instruments permettant d’éviter un tel écueil. Reste à s’interroger quant à l’existence d’un moyen permettant de limiter ce risque en amont.
Paradoxalement, le meilleur moyen de contrecarrer les intentions d’acteurs désinhibés, c’est d’ouvrir le SNIIRAM. Proposer des données exhaustives et précises dont on contrôlerait la granularité priverait en effet leur offre de tout intérêt, pour un réutilisateur de bonne foi. La résistance des pouvoirs publics quant à l’ouverture du SNIIRAM constitue ainsi un risque en terme de santé publique, en même temps qu’elle expose les personnes à des discriminations injustifiées. Faute d’alternative, les réutilisateurs vont en effet se tourner vers des données certes moins précises, mais néanmoins disponibles.
La clé à cette difficulté consiste donc à ouvrir les données publiques, moins riches, mais plus fines, à permettre leur réutilisation dans un cadre éthique – et pourquoi pas autorégulé ? – et même à encourager cette réutilisation afin d’obtenir des données enrichies, de pouvoir contrebalancer les résultats d’enquêtes basées exclusivement sur des données publiques, etc.
Comme en matière de produits de santé, l’opacité des données est facteur d’insécurité, tandis que l’ouverture raisonnée résonne comme un accroissement de la sûreté sanitaire, sans atteinte corrélative aux droits fondamentaux des personnes.
Note (02)
Art. 32 à 34 de la loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie. - Retourner au texte
Aucun commentaire:
Enregistrer un commentaire