Les données de santé et les assureurs : approche du débat par le risque systémique
Je suis donc récemment tombé sur un article[1] qui développe, entre autres, l’idée selon laquelle « le lobby des assureurs déplore de ne pas pouvoir accéder aux données de santé ». Et l’article de citer une lettre de la fédération Insurance Europe mentionnant le fait qu’« une grande disponibilité des données anonymes peut permettre aux assureurs de proposer des tarifs plus abordables, de nouveaux services innovants axés sur la prévention et l’atténuation des risques et d’offrir une assurance pour des risques qui n’étaient pas assurables auparavant ».
En gros, le débat est toujours le même : adapter les tarifs au profil de risque de l’assuré (ce qui engendre des risques d’exclusion ou de surfacturation) versus proposer un profil d’assuré unique, ce qui uniformise les tarifs (mais génère forcément d’autres risques). L’article utilise explicitement le terme de « lobby », qui dans le monde anglo-saxon, à la différence de la France, n’est pas péjoratif.
L’exclusion d’une partie des acteurs de la société civile de l’Espace européen des données de santé (EHDS) pose question, et ce pour plusieurs motifs. D’abord l’objectif affiché de l’EHDS (« libérer le potentiel des données de santé inutilisées afin d’ouvrir de nouvelles opportunités pour des services de santé et d’améliorer les résultats pour les patients ») est en contradiction avec l’article 35 de la proposition de règlement du Parlement européen (qui interdit de demander l’accès aux données de santé pour « la prise de décision à l’égard d’une personne physique ou d’un groupe de personnes physiques, les excluant du bénéfice d’un contrat d’assurance ou modifiant leurs cotisations et leurs primes d’assurance ») : on ne peut pas avoir le beurre et la petite monnaie en même temps. Au passage, toutes les mutuelles santé ou presque indexent la cotisation mensuelle sur l’âge du souscripteur, ce qui ne semble émouvoir personne.
Le problème est que le discours selon lequel les assureurs (ou d’autres acteurs privés du marché de la santé) sont les méchants du système se heurte à un constat factuel : tous les acteurs d’un système ont leurs propres intérêts qui induisent leurs propres biais de raisonnement et de fonctionnement. Dit autrement, si votre objectif est de gagner des sous, vous allez tenter de le maximiser (au détriment d’autre chose, telle la santé des personnes), alors que si votre objectif est la santé des personnes, vous choisirez de la maximiser… mais pas toujours, car justement une analyse financière pourrait vous permettre de lever des loups.
L’affaire des prothèses PIP[2] en est l’archétype : un opérateur privé chercherait par tous les moyens à détecter le plus vite possible le genre de cas qui plombe ses comptes, alors qu’un opérateur sans but lucratif n’y serait nullement incité (et c’est d’ailleurs ce qui s’est produit).
On peut déjà prévoir la suite du débat : l’anonymisation. Si transmettre des données trop précises à des assureurs est jugé dérangeant, il serait possible de transmettre des données agrégées avec un niveau de précision (ou d’imprécision) tel qu’il éviterait un ciblage trop précis par les assureurs. C’est sans compter sur l’évolution des techniques et la position de la Cnil, qui considère qu’une donnée anonyme à un instant T ne le restera pas éternellement du fait des possibilités de croisement en général et de la technologie de façon plus large.
Dit autrement encore une fois, il va falloir faire le choix des biais sociétaux en santé auxquels les populations seront soumises, car il n’existe pas de non-choix sur cette question.
C’est le moment exact où vous vous dites que votre serviteur va vous proposer une approche novatrice, une vision décalée de la question qui permette de sortir de ce débat circulaire. Désolé, je n’ai rien en stock, il va falloir vivre avec ça.
Bonne semaine quand même !
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Le moment Spoutnik de la cyber
24 nov. 2025 - 22:22,
Tribune
-En matière d’armement, on dit que ce qui compte vraiment, c’est le nombre et la force. Mais surtout la force.
BRISS : Transformer la crise hospitalière en levier de résilience
18 nov. 2025 - 09:35,
Actualité
- Rédaction, DSIHLa plateforme BRISS, portée par l'ARS et la FHF Bourgogne-Franche-Comté, révolutionne la formation des établissements de santé en France en proposant des séries immersives inspirées de crises réelles comme la cyberattaque du CH de Pontarlier en octobre 2025.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
Santé et cybersécurité : à la Journée SSI Santé, Judith Nicogossian rappelle que la résilience commence par l’humain
17 nov. 2025 - 15:08,
Actualité
- Rédaction, DSIHC’est lors de la conférence de clôture de la Journée SSI Santé organisée par l’APSSIS, le 13 novembre 2025, que Judith Nicogossian, anthropobiologiste et spécialiste des interactions humain-technologie, a livré un message sans détour : dans les établissements de santé, la cybersécurité ne peut plus ...
