Un arrêté du ministère de la Santé interdisait jusque-là l'accès aux données de santé aux organismes de recherche à but lucratif.

À chaque fois que vous allez chez votre médecin, à la pharmacie ou à l'hôpital, toutes les informations vous concernant sont enregistrées et stockées au sein du Sniiram (Système national d'information inter-régimes de l'Assurance-maladie). Au total, cette base de données voit transiter chaque année 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions de séjours hospitaliers. Cette mine d'or, l'une des plus grandes bases médico-administratives au monde, comprend deux catégories de données: les données agrégées, traitées afin d'obtenir des informations anonymes sur des groupes d'individus ayant des caractéristiques communes (hommes de 50 ans présentant un diabète de type 2, par exemple), et les données à caractère personnel.

Jusque-là, si l'accès aux données personnelles était partiellement ouvert aux organismes de recherche publique, un arrêté du ministère de la Santé basé sur une loi de 2013 en interdisait l'accès aux organismes à but lucratif (compagnie d'assurances, laboratoire pharmaceutique…). Mais le 20 mai, une secousse a bousculé le monde très verrouillé des données de santé. Jugeant l'arrêté en question illégal, le Conseil d'État a demandé son annulation sous quatre mois au ministère de la Santé. En conséquence, toutes les structures voulant mener une étude d'intérêt général pourront bientôt prétendre accéder aux précieuses données.

Ré-identification

Reste que cette décision intervient précisément au moment où une nouvelle loi santé, qui prévoit un accès très contrôlé à ces données, est en train d'être mise en place. Cette loi, promulguée en janvier 2016, confirme l'ouverture inconditionnelle et gratuite à tous des données agrégées (Open Data), qui ne représentent aucun risque pour la vie privée. En revanche, elle prévoit des conditions d'accès très strictes aux données de la seconde catégorie, à caractère personnel. Celles-ci peuvent en effet permettre de réidentifier une personne. Même si son nom, son prénom et son identifiant sont cryptés de manière définitive, il est possible, en croisant les informations et en possédant plusieurs éléments précis la concernant, de la retrouver par déduction. «Si une personne a été hospitalisée à deux reprises et que vous connaissez ses dates d'hospitalisation, son âge et son code postal, vous pouvez la retrouver à coup sûr», explique Dominique Blum, un médecin qui a été parmi les premiers à détecter la faille du système.

Un risque qui a conduit à une levée de boucliers. Du coup, la nouvelle loi santé prévoit d'autoriser l'accès aux données personnelles à des organismes à but lucratif ou non, mais sous plusieurs conditions. D'abord, seuls ceux dont l'objectif est de réaliser une étude d'intérêt public pourront y prétendre. Il reviendra alors à l'Institut national des données de santé (INDS), un groupement d'intérêt public composé entre autres de représentants de l'État, d'usagers de l'Assurance-maladie, de producteurs et d'utilisateurs publics et privés de données de santé, de juger de l'intérêt public de l'étude en question. Puis un comité scientifique devra examiner le protocole scientifique, avant que la Cnil (Commission nationale de l'informatique et des libertés) ne se prononce sur le respect de la vie privée. Mais, alors que les décrets assurant la mise en place de ces trois instances de contrôle ne sont toujours pas publiés, la décision du Conseil d'État bouscule toute cette organisation en autorisant les demandes des organismes à but lucratif.

Une crainte paradoxale

À quoi pourraient bien servir ces données à caractère personnel? Les perspectives ne manquent pas: évaluation des politiques de santé, amélioration de l'offre de soin, étude des maladies et de l'efficacité des traitements… Et, bien sûr, une surveillance accrue de la sécurité sanitaire. «La dernière crise médicale qu'a connue le pays, c'est celle du Mediator. Elle n'a pas été révélée par les autorités publiques, mais par Irène Frachon», rappelle un membre de l'Institut national des données de santé (INDS). Autre exemple, en 2013, la base de données du Sniiram a permis d'étudier le risque d'AVC et d'infarctus du myocarde chez les femmes sous pilules de 3e génération. L'analyse des données de plus de 4 millions de femmes a notamment permis d'identifier que le risque d'embolie pulmonaire était deux fois supérieur chez les femmes sous pilule de 3e génération que chez celles sous 2e génération.

À côté de ces perspectives très bénéfiques pour la santé publique, certains craignent que, malgré les contrôles prévus, les données soient exploitées dans un intérêt économique au détriment de l'intérêt public. Une crainte paradoxale selon l'un des membres de l'INDS.«Les gens ont peur de l'open data, mais ils oublient que les géants du Web comme Google, Apple, Facebook et Amazon glanent nos données en permanence sans qu'il n'y ait aucun contrôle», note-t-il. Par ailleurs, la nouvelle loi interdit d'«utiliser les données dans le but de promouvoir des produits, d'exclure de garanties des contrats d'assurances ou de modifier les cotisations ou les primes d'assurances d'un individu ou d'un groupe d'individus présentant un même risque». Reste qu'elle ne précise pas les sanctions encourues en cas de délit. Sans oublier les nombreuses autres questions sans réponse: comment sera définie la notion «d'intérêt public»? Qui sera chargé d'étudier les demandes à l'INDS? Comment se fera l'accès aux données? Est-il prévu qu'un contrôle en aval soit mis en place? Questions d'autant plus cruciales qu'avec cette décision du Conseil d'État, les demandes d'accès aux données de santé vont probablement exploser.

LA RÉDACTION VOUS CONSEILLE:

Les données de santé attirent les hackers

Santé: les données publiques désormais à la portée de tous

Un site officiel sur la qualité des hôpitaux