La commission « Opendata Santé » mise en place par la Ministre de la Santé à l’automne 2013 a rendu son rapport le 9 juillet 2014. Etabli alors que le Gouvernement planche sur le projet de loi Santé Publique, on s’attendait logiquement à ce que ses conclusions contiennent en germe le futur dispositif législatif permettant l’ouverture du SNIIRAM et du PMSI, entre autres.
Mais au terme de la lecture des 63 pages de ce document, c’est la déception qui prédomine. Voici un rapide aperçu, un commentaire approfondi – à paraître à la Semaine Juridique Administration et Collectivités Territoriales – étant en cours de rédaction.
Sur la forme
Les juristes attentifs comme les spécialistes de l’opendata auront constaté les imprécisions émaillant notamment la première partie du rapport. C’est étonnant dans un rapport public remis à la Ministre.
Le rapport s’ouvre ainsi sur la nécessité de distinguer « entre données publiques et données indirectement nominatives ». Une rapide lecture de la directive opendata I et de l’ordonnance de 2005 qui la transpose suffit à comprendre qu’il n’y a aucune distinction à opérer. En fait, les « données indirectement nominatives » font référence aux notions de données à caractère personnel et de données anonymes développées dans la loi Informatique et Libertés n° 78-17 du 6 janvier 1978. Mais ces données sont également réutilisables, même si les conditions sont alors plus restrictives.
Pour conclure sur ce point, signalons que la locution « donnée indirectement nominative » est trop restrictive. Si « le Président de la République en exercice » peut effectivement s’analyser comme une telle donnée, la locution retenue par le rapport ne comprend pas les données indirectement identifiantes du type :
« Homme né en 1978 ayant consulté un chirurgien le 12 juillet, un orthopédiste le 13 juillet et un cardiologue à Perpignan le 14 juillet 2014. »
Le SNIIRAM et le PMSI regorgent pourtant de telles données (en fait, il n’y a même que ça !) qui, sans être indirectement nominatives, permettent d’isoler un individu dans la base, de le réidentifier au sens de la loi Informatique et Libertés. Le manque de précision du rapport est donc fort regrettable.
Dans la même lignée, les lecteurs du rapport auront constaté qu’on y évoque exclusivement les « données de santé ». Deux parties du rapport sont d’ailleurs dédiées à la définition de cette notion, dont une dans la section relative à la loi Informatique et Libertés. Sur ce point, peut-être eût-il été plus opportun – au moins dans cette dernière section – de reprendre la terminologie légale ? L’article 8 de la loi évoque en effet des « données à caractère personnel relatives à la santé ».
La distinction entre les données relatives aux malades et celles, génériques, relatives au système de santé eût ainsi été plus simple… et surtout, on aurait ainsi pu éviter l’utilisation de la notion – crispante – de « données personnelles de santé », qui ne correspond juridiquement à rien. Dommage.
D’autant plus dommage que la CNIL a participé à ce rapport. Mais c’est peut-être pour cela qu’elle a refusé d’ « approuver formellement le rapport » ?
Les pénalistes regretteront enfin la confusion entre l’obligation de confidentialité mise à la charge de tout responsable de traitement et le secret professionnel. Rappelons en effet que le manquement à la première est sanctionné de 5 ans d’emprisonnement et 300 000 euros d’amende contre 1 an et 15 000 euros d’amende pour le second.
Sur le fond
Le rapport se focalise sur deux points, inextricablement liés : garantir le respect du droit des malades à la confidentialité de leurs données et mettre en place des conditions d’accès simplifiées et clarifiées.
Sur le premier point, le rapporteur a distingué les données strictement anonymes, les données à très faible risque de réidenfication et les données à très fort risque de réidentification. La réutilisation de données indirectement identifiantes est (en règle générale) subordonnée à l’anonymisation des données.
Le rapport préconise ainsi de mettre en place des solutions standardisées d’anonymisation. L’idée est intéressante… mais sa mise en œuvre reste fortement sujette à caution comme en témoigne la lecture du rapport du G29 sur l’anonymisation. En effet, non seulement les procédés d’anonymisation à mettre en place sont variables en fonction de la nature des données et de l’objectif du réutilisateur, mais surtout doivent-ils être périodiquement revus afin de tenir compte de l’évolution des technologies. La standardisation est donc peu probable.
Les membres de la Commission « Opendata Santé » devaient d’ailleurs en avoir conscience. Concernant le PMSI ils ont ainsi indiqué que « des travaux techniques [avaient] été menés pour constituer des jeux de données anonymes à partir du PMSI ». De la sorte, seraient mises à disposition des réutilisateurs des données strictement anonymes, et non pas à risque de réidentification, comme c’est le cas les bases PMSI et SNIIRAM.
Au niveau de la personne concernée, rien de mieux pour garantir ses droits. Mais quid du réutilisateur ? Relisons la phrase attentivement :
« des travaux techniques ont été menés pour constituer des jeux de données anonymes à partir du PMSI »
Il ne s’agit pas là d’anonymiser les données, mais bel et bien de constituer de nouveaux jeux de données. Et ? Et si on constitue de nouveaux jeux, c’est qu’on ne met pas à disposition les jeux originaux – après anonymisation éventuelle, comme c’est pourtant proposé pour les données à très faible risque de réidentification.
En clair, vous vouliez la data ? Vous aurez l’édulcorant !
Concernant les conditions d’accès, le rapport préconise une mise à disposition immédiate des données strictement anonymes, tout en listant diverses bases qui devraient l’être à bref délai (certaines bases visées ont été mises en ligne dans les 48 heures suivant la publication du rapport, d’ailleurs). On ne peut que se féliciter de ce que la Commission préconise cela, alors que la directive Opendata II l’impose à compter de juillet 2015… Intéressant donc, mais rien de neuf.
Pour les données à risque de réidentification, la Commission préconise une simplification des circuits, notamment vis-à-vis de la CNIL, ainsi que la création d’un guichet unique pour décider de l’accès aux données. Enfin !
On regrettera toutefois de voir que la décision d’accès aux données appartiendra en définitive au Ministre, au vu de l’avis d’un comité d’experts et d’un comité organisationnel…
Simplifié, clarifié, mais alourdi, non ? A côté de ça, le parcours d’Initiative Transparence Santé pour obtenir les données du Médiator paraît étonnamment simple, en tout cas. Une simple demande CADA !
Les grands absents
Le rapport martèle le principe de la gratuité de la réutilisation des données. Outre le fait que cette affirmation est juridiquement infondée – ni la loi n° 78-753 du 17 juillet 1978 relative à l’accès aux documents administratifs, ni les directives Opendata, ni l’avis de la Commission de Terminologie de mai 2014 ne l’envisagent ! – elle pose une question majeure à laquelle aucune réponse n’est fournie. Quel business model ? Qui va supporter le coût induit par la mise à disposition des données, leur anonymisation et la constitution de « jeux de données anonymes à partir du PMSI » ?
Les spécialistes auront constaté un autre point manquant. Le rapport traite des données produites ou recueillies par toute sorte de personnes publiques. Mais à l’heure actuelle, le cadre juridique permet d’aller plus loin et de demander la réutilisation des données issues de personnes morales de droit privé gérant une mission de service public. En matière de données de santé, cet oubli du rapport n’a que peu d’importance, me direz-vous. Vous êtes certain, vous répondrais-je. Et qu’est-ce qu’un ESPIC sinon une personne privée gérant un service public ?
La plus grande déception
Les rapports sur l’ouverture des données de santé se sont succédés courant 2013 et l’on espérait que celui de la commission « Opendata Santé » serait le dernier. Eh bien non. A plusieurs reprises, le rapport précise que des phases de concertation sont encore nécessaires, qu’il faut constituer d’autres groupes de travail.
L’ouverture des données de santé risque donc de prendre du retard. Sera-t-on prêt pour juillet 2015 ?