Données de santé, entre impératif de protection et nécessité d’ouverture

 Par Marguerite Brac de La Perrière, Avocate, experte en Santé Numérique

Le rapport sur l’intelligence artificielle et les données de santé de Cédric Villani du 21 mars 2019 avait relevé « le risque majeur serait de ne pas s'ouvrir à l'IA, au numérique et au pilotage par les données » et initié un changement de paradigme par l’introduction du concept de soli-data-rité, trouvant désormais échos au niveau européen dans le Data Governance Act, et la proposition de règlement relatif à l’Espace Européen des Données de Santé. 

Depuis lors, outre la création de la Plateforme des Données de Santé (ou Health Data Hub), on assiste à une multiplication d’opérations, publiques comme privées, autour de la réutilisation des données de santé, notamment à la création de nombreux entrepôts de données de santé, selon la terminologie consacrée par la Cnil. 

En dépit de ce qui précède, les conditions d’accès aux données de santé, les conditions d’utilisation secondaire restent fragmentées et peu lisibles. 

C’est dans ce contexte, et « afin d’éclairer les décisions et les politiques publiques relatives à la conception et à la mise en œuvre des PDS [plateformes de données de santé] » que le Comité consultatif national d’éthique (CCNE) et le Comité national pilote d’Ethique du numérique (CNPEN) se sont auto-saisis pour mener une réflexion sur les Plateformes de Données de Santé qui tienne compte des enjeux de l’éthique de la santé, et de l’éthique du numérique. 

Ce nouvel avis de février 2023 propose, dans une ambition de recherche d’équilibre entre exigences portées par l’intérêt public et garanties de respect de la vie privée, un état des lieux des principaux enjeux actuels de santé numérique, des conditions de constitution de ces PDS, aux ambitions de souveraineté et d’autonomie, sans oublier les pratiques de valorisation.

La construction de bases de données de santé, de cohortes, d’entrepôts et de PDS représente un investissement important, souvent financé par la solidarité nationale nécessitant de préciser les valeurs sur lesquelles continuer à bâtir notre système de santé. 

Parmi les points essentiels traités dans ce document, sera relevé celui tenant à la tension entre anonymisation des données pour le respect de la vie privée de patients et préservation de leur identité pour améliorer leurs conditions de prise en charge, et la recommandation de développer des méthodes alternatives à l’anonymisation et la pseudonymisation des données, notamment par des techniques de chiffrement homomorphe. 

A cet égard, on relèvera que la vision actuellement binaire du droit sur le sujet trouve ses limites, et pourrait évoluer au vu de la récente décision de rupture opposant deux instances européennes sur ces notions en retenant « qu’il convient de se placer du point de vue [du destinataire] pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables », ouvrant donc la voie à une approche plus pragmatique et extensive de la notion d’anonymisation.

Un autre sujet primordial sur lequel sont formulées des recommandations est celui de la souveraineté, faisant échos aux difficultés qui agitent le secteur concernant l’hébergement de données de santé par des prestataires relevant de juridictions extracommunautaires, et aux craintes associées à la financiarisation du système de santé, notamment par l’acquisition par des investisseurs étrangers via des montages jugés opaques de SEL (sociétés d’exercice libéral) et notamment de plateaux d’imagerie médicale. 

Des recommandations, conformes aux pratiques sectorielles actuelles, sont formulées s’agissant des conditions de valorisation des données de santé, valorisation en réalité articulée autour des coûts associés à leur structuration et mise à disposition – permettant de contourner le principe d’interdiction de cession à titre onéreux des données de santé -. Est également suggérée la mise en place d’un droit souple de rétribution des opérateurs publics en cas de succès des initiatives ayant bénéficié de données de santé de leur part, approche louable mais qui semble peu réaliste à date. 

Enfin, et surtout, le sujet du consentement des patients à la réutilisation de leurs données de santé est abordé, relevant le glissement d’un opt in (consentement) qui présidait à l’ancien DMP à un opt out (régime d’information et droit d’utilisation) notamment dans le cadre de Mon Espace Santé. 

A date, subsistent toutefois encore, selon le contexte, d’importantes tensions, entre la vision prônant le consentement comme gage de transparence, et celle considérant une telle approche comme emportant une sur-sollicitation des patients pouvant présenter un caractère anxiogène, voire impacter la vie privée, à supposer même qu’une information suffisante et nécessaire à éclairer le consentement soit en mesure d’être délivrée, ce qui est pour le moins contestable. 

Dans ce contexte, la réutilisation des données dans des conditions légales, techniques et organisationnelles appropriées, définies au niveau sociétal, sera plus respectueuse des droits et libertés des patients que celle reposant sur un consentement individuel par patient et par projet…