L’article 47 du projet de loi santé publique projette de créer un Système National des Données de Santé centralisant les « données de santé » et les « données médico-sociales ». Cette disposition poursuit un double objectif :
- transposer en droit français de la santé la directive « Opendata II»,
- favoriser le développement du bigdata santé.
Aussi sincère soit-elle, la volonté des pouvoirs publics ne va toutefois pas sans se heurter à un obstacle juridique classique lorsque l’on parle de données : la loi Informatique et Libertés. Le SNDS constitue en effet un traitement de données à caractère personnel. Dès lors, le système doit poursuivre une finalité déterminée, explicite et légitime.
Le Ministère de la Santé a donc travaillé sur la détermination de l’objet de sa mégabase de données de santé et il en est ressorti six objectifs distincts :
- l’information sur la santé, les soins et la prise charge médico-sociale ;
- la définition, la mise en œuvre et l’évaluation des politiques de santé et de protection sociale ;
- la connaissance des dépenses de santé, des dépenses de l’assurance maladie et des dépenses médico-sociales ;
- l’information des professionnels, structures et établissements de santé ou médico-sociaux sur leur activité ;
- la surveillance, la veille et la sécurité sanitaires ;
- la recherche, aux études et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.
La liste est suffisamment large pour que tous les acteurs de la santé se réjouissent. Bientôt, ils pourront travailler avec de vraies données de santé.
Mais seront-elles exploitables ? C’est là que le bât blesse. Soucieux de garantir l’anonymat des personnes concernées par les données du SNDS, le Ministère de la Santé a prévu deux modalités d’accès :
- la mise à disposition du public de données statistiques ou individuelles, mais ne permettant pas l’identification directe ou indirecte des personnes concernées,
- la communication de données indirectement identifiantes pour réaliser des recherches, études et évaluations répondant à un motif d’intérêt public ou pour l’accomplissement de leurs missions par les autorités publiques compétentes.
Pour travailler sur des mégadonnées, les industriels de santé ont besoin de données précises.
L’accès en opendata présentera donc peu d’intérêt. Les statistiques sont des généralités, les prendre en compte biaiserait le résultat de toute analyse bigdata. Quant aux données individuelles non idenditifiantes, elles seront aussi rares que pauvres. En effet, pour éviter toute réidentification par croisement, elles devront fournir aussi peu d’éléments que possibles.
Pour du bigdata santé avec des données SNDS, il faudra donc s’orienter vers un accès « Recherche ». Or, cette voie promet d’être ardue. Trois obstacles se dresseront face à tout candidat.
Premier obstacle : il doit s’agir d’une recherche, d’une étude ou d’une évaluation. Ces termes font assez clairement référence aux Chapitres IX et X de la loi Informatique et Libertés. Or, les champs d’application recouverts par ces trois termes sont déjà trop étroits. Modifier la forme sans toucher au fond du droit ne devrait pas permettre de régler cette difficulté.
Deuxième obstacle : il faut ensuite démontrer que le projet de recherche, d’étude ou d’évaluation s’inscrit dans les finalités du SNDS tel que prévu par la loi. La difficulté tient ici à ce que fréquemment, les découvertes bigdatesques résultent d’une certaine forme de hasard. Avant d’y avoir procédé, on ne sait pas ce qu’on va obtenir. De sorte que déterminer la finalité du SNDS dans laquelle s’inscrit le projet sera difficile.
Troisième obstacle : non content de s’insérer dans l’une ou l’autre des finalités légales du SNDS, la recherche, l’étude ou l’évaluation devront répondre à un motif d’intérêt public. La notion existe déjà dans la loi Informatique et Libertés. C’est sur cette base que la CNIL a considéré qu’un programme de télémédecine doit faire l’objet d’une autorisation préalable. Mais à l’heure actuelle, il s’avère toujours assez délicat de l’appréhender et, partant, de démontrer qu’un projet y répond.
Ces trois conditions pourraient entraver l’accès des organismes à but lucratif au SNDS.
Alors au final, l’accès aux données de santé restera sinon impossible, à tout le moins aussi délicat qu’actuellement ?
Non. En tout cas, pas si l’on en croit les dernières versions du projet de Règlement Général sur la Protection des Données (RGPD) adoptées par le Conseil de l’UE les 19 décembre 2014 et 9 mars 2015. Ces versions introduisent la notion de pseudonymisation – concrètement, il s’agit de rompre tout lien direct entre une donnée et la personne qu’elle concerne – et envisagent un traitement relativement libre des données résultant d’un tel traitement, y compris dans le domaine de la santé.
Quelle différence par rapport à l’approche française ? C’est assez simple. Là où le Ministère de la Santé tend à une protection quasi absolue de l’anonymat, le législateur européen s’interroge quant à la possibilité d’un infléchissement qui permettrait de traiter des données (très ?) indirectement identifiantes. Les discussions sur le projet de RGPD doivent encore se poursuivre, mais le cas échéant, cette évolution de la législation européenne pourrait balayer les trois obstacles qui s’érigeront entre les industriels de santé et les données du SNDS.