Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

La génétique ou le cauchemar du DPO

31 oct. 2023 - 10:12,
Tribune - Cédric Cartau
Définir, appliquer et contrôler une politique cohérente d’accès aux données médicales d’un DPI est en soi un vrai défi. A fortiori quand l’établissement est de grande taille (CHU ou gros CH), a fortiori s’il mêle des activités hétérogènes (MCO, Psy, SSR, etc.), a fortiori si l’établissement appartient à un plus gros ensemble (CHT, GHT), a fortiori si les éléments de l’ensemble ont des cultures hétérogènes, des histoires différentes. En plus des 70 pages du guide Apssis[1], votre serviteur ne parvient pas à épuiser totalement le sujet, c’est dire.    

Il y a quelque temps, dans une discussion sur la question de savoir si les données génétiques obéissaient aux règles générales, certains des interlocuteurs présents à la réunion n’avaient même pas conscience des spécificités de ce type de données, d’où cet article. Précision utile : les experts me pardonneront les approximations médicales, l’objectif de ces lignes est de montrer quelques particularités du domaine et leurs impacts sur la réglementation en cours. Autre précision : certains cas d’usage problématiques ont une réponse Cnil/RGPD. Le lecteur intéressé pourra consulter l’excellent ouvrage de la Cnil Les Données génétiques, paru en 2017 aux éditions La Documentation française.

Lorsqu’un praticien séquence le génome d’un patient, qu’il s’agisse d’établir ou de confirmer un diagnostic ou encore de rechercher des altérations éventuelles de l’ADN, à l’issue du séquençage, le praticien détient non seulement des informations médicales sur le patient lui-même, mais également sur sa parentèle (ascendants, fratrie, descendants). On se trouve donc dans le cadre d’une collecte de données médicales concernant potentiellement des personnes qui n’auront jamais rencontré le praticien ou même ignoreront ledit séquençage pratiqué sur l’ADN d’un membre de leur famille. Nous sommes donc à la frontière du consentement.

De plus, anonymiser une donnée génétique est virtuellement impossible : le génome EST la personne, la personne EST son génome. La simple détention de l’ADN d’une personne, ADN trouvé au hasard et sans aucun lien avec son « possesseur », ne garantit absolument pas l’anonymat (impossibilité de mettre la main sur le possesseur en question par des moyens « raisonnables » selon la définition du RGPD). Dans l’affaire Élodie Kulik[2] (2002), les coupables (dont on avait prélevé l’ADN sur la scène du crime sans qu’ils soient fichés nulle part) ont été retrouvés par recherche en parentèle : un parent éloigné d’un des suspects s’est fait attraper lors d’un braquage à l’autre bout de la France et, des années plus tard, le prélèvement de son ADN a fait matcher le fichier des empreintes génétiques non identifiées, permettant de remonter aux suspects.

Sur le plan médical, l’irruption de la génétique pose également des soucis au regard du concept de finalité. La connaissance du génome d’une personne permet de détecter des pathologies que l’on ne cherchait pas forcément (vous venez pour un dépistage de la maladie X, et on vous trouve la maladie Y), voire des probabilités de développer d’autres maladies (type Alzheimer). Je passe sur le fait que l’analyse du génome d’un patient exclut la possibilité qu’il soit en bonne santé : on trouvera toujours quelque chose, soit de façon sûre, soit de façon probable – bon courage aux Directions des relations usagers à l’avenir…

Sur le plan de la confidentialité, c’est un enfer. Non seulement le séquençage du génome permet de reconstituer une bonne partie d’un arbre généalogique, mais, en plus, pour peu que l’on analyse le génome d’une famille entière (procédure habituelle lorsque l’on recherche l’origine d’un dysfonctionnement génétique chez un mineur), l’arbre généalogique réel pourra être établi : si le papa du gamin porteur du dysfonctionnement génétique n’est pas le fils biologique du grand-père et que mamie l’a caché pendant 40 ans, je vous laisse imaginer la gestion en Com… Autre exemple : le séquençage de mon génome révèle une maladie incurable qui, à mon âge, ne me laisse plus que quelques années à vivre. Elle est hautement transmissible à mes descendants qui, eux, pourraient bénéficier de traitements palliatifs… sauf que pour ce faire il faudrait les contacter, ce qui les informerait de facto de mon état de santé[3]. Le séquençage du génome d’une personne X implique de détenir potentiellement des informations médicales sur sa parentèle, sans l’accord de cette dernière ni qu’elle puisse s’y opposer et faire jouer un quelconque droit à l’oubli.

Inutile de dire que, dans ce contexte, il y a deux sujets absolument majeurs à instruire avant d’informatiser[4] ce type d’activité dans un établissement de santé : la question du stockage des données de génétique (dans le DPI ou dans un progiciel métier dédié) et la question de la politique d’habilitation à l’accès à ces données. En l’état de mes réflexions, j’ai tendance à penser qu’il faut absolument un progiciel dédié, que les informations génétiques ne peuvent figurer dans un DPI généraliste et que c’est le seul cas (avec le traitement de la médecine du travail) qui justifie des habilitations intuitu personæ.

Article connexeHabilitations d’accès aux données médicales à l’ère des GHT - Vision juridique

Et, pour couronner le tout, dans un CH/CHU, le séquençage d’ADN est pratiqué non seulement en génétique, mais le sera potentiellement à terme dans tous les services MCO « traditionnels » : un cardiologue ou un urologue auront de plus en plus recours au séquençage pour confirmer ou approfondir un diagnostic. On n’en est donc qu’au début.


[1] https://www.apssis.com/nos-actions/publication/551/guide-cyber-resilience-opus-3-les-habilitations-d-acces-aux-donnees.htm 

[2] https://fr.wikipedia.org/wiki/Affaire_%C3%89lodie_Kulik 

[3] Ces deux cas d’usage ont une réponse spécifique au regard du RGPD, ce qui montre bien que le sujet est complexe.

[4] On va dire que l’ère du papier rend cette activité moins dangereuse, mais ce n’est bien entendu pas vrai.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration En direct de SantExpo | DALVIA Santé en action : retour d'expérience sur l’IA générative 100% française au service de la santé

En direct de SantExpo | DALVIA Santé en action : retour d'expérience sur l’IA générative 100% française au service de la santé

21 mai 2025 - 09:14,

Actualité

- Par Pauline Nicolas

Cette nouvelle agora permet de revenir sur les évolutions d’une solution présentée il y a tout juste un an dans le cadre de l’édition 2024 de SantExpo : DALVIA Santé. Des travaux menés autour d’une nouvelle synthèse médicale dans une approche de co-construction au retour d’expérience d’un médecin sp...

Illustration SantExpo 2025 | En avant-première : la nouvelle solution de transcription de consultation par l'IA souveraine et éthique signée La Poste Santé & Autonomie

SantExpo 2025 | En avant-première : la nouvelle solution de transcription de consultation par l'IA souveraine et éthique signée La Poste Santé & Autonomie

20 mai 2025 - 16:30,

Actualité

- Par Pauline Nicolas, DSIH

Remettre l’échange entre le patient et le médecin au centre de la prise en charge. Telle est l’ambition de DALVIA Vox, la nouvelle solution souveraine de reconnaissance vocale et de retranscription basée sur l’IA signée La Poste Santé & Autonomie. Présentation, en direct de cette 59ème édition de Sa...

Illustration En direct de Santexpo - Numih France, une nouvelle identité pour MipihSIB et une ouverture à l’international

En direct de Santexpo - Numih France, une nouvelle identité pour MipihSIB et une ouverture à l’international

20 mai 2025 - 16:15,

Actualité

- Damien Dubois, DSIH

À l’occasion du premier jour de Santexpo 2025, le tout nouveau groupement Numih France a présenté ses nouvelles ambitions, en France, avec le plan Métamorph’OSE, et à l’international, avec un partenariat au Maroc.

Illustration Les innovations de l’application Chimio

Les innovations de l’application Chimio

20 mai 2025 - 16:00,

Communiqué

- Computer Engineering

Avec la possibilité de mettre en place un « Chimio de territoire » et l’utilisation de la réalité augmentée dans la préparation des poches de chimiothérapie, Computer Engineering propose des réponses globales et sécurisées aux services d’oncologie, quelle que soit la configuration des sites.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.