Accélération de la recherche, développement de la médecine personnalisée, l’avenir de notre système de santé ne semble plus échapper à l’utilisation croissante de nos données de santé. Mais le traitement de ces données, qui dévoilent une partie de notre intimité, entre de plein fouet en collision avec notre culture occidentale en matière de protection de la vie privée. La réglementation est-elle à la hauteur des enjeux ?

Le volume des données de santé dans le monde double tous les 73 jours. Une croissance exponentielle riche de promesses alors que la transition vers une médecine personnalisée et prédictive passe par la collecte massive de ces don-nées. En ce sens, intégrer la Big data à la connaissance médicale et aux diagnostics, traitements, suivis des patients constitue un enjeu essentiel. En retraitant ce flux continu de données individuelles de santé (DIP), il s’agit non seulement d’améliorer la qualité des soins mais aussi d’accélérer la recherche.

Les multiples visages des DIP

Compte-rendu médical, remboursement de mutuelle, image d’échographie, chiffres d’un bilan biologique ou encore résultats d’une enquête sur une cohorte de patients : le spectre des données de santé est extrêmement large, voire infini. Il l’est d’autant plus qu’elles ne se limitent désormais pas aux seuls renseignements médicaux qui jalonnent une vie humaine mais s’étendent à l’ensemble des indicateurs de la vie réelle : un rythme cardiaque enregistré sur une montre connectée, un nombre de pas collecté sur l’application santé d’un smartphone, ou des discussions sur les réseaux sociaux ou des forums internet sur des sujets bien-être, voire un abonnement à un club de sport, des commandes régulières de pizzas ou de hamburgers à livrer. La révolution numérique entraîne l’explosion des données de santé.

"Intégrer la Big data à la connaissance médicale et au suivi des patients constitue un enjeu essentiel"

Autant d’informations du quotidien qui peuvent être collectées facilement et dont le croisement révèle beaucoup de notre état de santé, mais pas seulement.

Une définition juridique bicéphale

En France, l’article L.1111-8 du code de la santé publique définit ces DIP comme les données recueillies "à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social". Il s’agit de "données médicales" de santé recueillies dans le cadre du secret médical par un professionnel de santé.

L’article 4 du règlement général de protection des données européen (RGPD), applicable depuis mai 2008, en offre une acception plus étendue et les définit comme "les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne". Il s’agit de données dites sensibles principalement régies par la loi sur les données personnelles. Si le monde médical se réfère plus volontiers à la définition du code de la santé publique, le grand public utilise plus volontiers celle du RGPD. Les conséquences sont loin d’être anodines. Sauf exception, seuls les professionnels de santé soumis au secret médical peuvent collecter, traiter, faire traiter ou stocker des "données médicales". Et encore, celles-ci doivent être hébergées chez un hébergeur certifié de données de santé.

Une protection forte

Dans les textes, les données de santé font l’objet d’une protection toute particulière, qu’il s’agisse du RGPD ou de la loi informatique et libertés, ou encore du code de la santé publique. Par principe, le traitement de ces données de santé est interdit. En réalité, cette interdiction souffre plusieurs exceptions, notamment lorsque ce traitement poursuit une finalité d’intérêt public spécifique ou que la personne concernée a consenti au traitement de ses DIP. Des informations réservées aux professionnels soumis au secret médical, les autres données concernant la santé ne devant être traitées que par des personnes "habilitées".

En outre, elles ne peuvent être transférées à des tiers qu’à certaines conditions et uniquement à des professionnels soumis au secret médical dans le cadre d’un parcours de soins. Les autres paramètres concernant la santé ne peuvent être confiés qu’à des catégories de personnes préalablement déterminées et ayant une obligation de confidentialité et ce, dans des pays de niveau de protection similaire. Enfin, la sécurité des données de santé doit être d’un niveau élevé. Dans les faits, elle n’est pas toujours suffisante.

En France, les cyberattaques contre les établissements de santé sont en nette augmentation. Les DIP sont prisées car faciles à valoriser pour les cybercriminels. Elles intéressent de nombreux acteurs économiques, qu’il s’agisse des mutuelles, des assureurs, des biotech, ou bien sûr des Gafam, pour qui leur monétisation est un cœur d’activité... Le réseau de laboratoires de biologie médicale Cerba, un des plus gros acteurs en France, en a récemment fait les frais, de façon spectaculaire, avec une fuite de données concernant 500 000 patients français de six départements des régions Bretagne, Centre-Val-de-Loire et Normandie, révélée dans la presse en février dernier.

Big data : un enjeu de performance

Si ces données doivent à l’évidence être protégées de manière infaillible, l’optimisation de leur collecte pour en faciliter l’accessibilité n’en demeure pas moins un enjeu lourd pour la performance de notre système de santé. L’essor de la médecine personnalisée et de la médecine prédictive, qui repose très largement sur l’exploration des Big data, comme nos progrès en médecine génomique brouillent peu à peu les frontières entre maladie et santé. Il s’agit là d’une véritable disruption en matière de soins.

En termes de recherches, il n’est plus simplement question d’étudier des cohortes mais de retraiter et d’analyser des données de santé de masse à l’aide de programmes d’intelligence artificielle (IA). L’application mPower dédiée aux patients atteints de la maladie de Parkinson leur permet d’assurer un suivi de leurs symptômes en consignant leurs activités sur iPhone au moyen de capteurs intégrés et de pratiquer des jeux de mémoire et des exercices basés sur le toucher, la parole et la marche. Les données ainsi recueillies sont compilées pour alimenter la recherche sur la maladie de Parkinson à une échelle inédite. Dans le cas du cancer du sein, le projet Désirée bâtit un écosystème de soutien à la décision clinique pour une prise en charge personnalisée, collaborative et multidisciplinaire.

En oncologie, le système Watson (IBM) a pour objectif d’assister le clinicien en traitant le plus grand nombre possible de données de la littérature scientifique. De larges flux d’entre elles sont nécessaires pour de tels programmes, notamment en matière de Deep learning, lorsqu’il s’agit d’entraîner une intelligence artificielle à effectuer un diagnostic, par exemple 50 000 images pour un mélanome, 128 000 pour une rétinopathie.

"La France doit inventer son chemin entre règles éthiques et nécessaire valorisation des données de santé"

La disponibilité et l’accessibilité de ces données constituent donc un enjeu de performance majeur. Mais ce nouvel impératif se heurte de façon directe et spectaculaire au niveau élevé de protection que la France a toujours légitimement conféré à des données relevant du secret médical et de la protection de la vie privée.

Favoriser l’accessibilité des données

Or, en la matière, la France a un vrai retard à combler. Rien n’a d’ailleurs été pensé efficacement pour harmoniser la collecte de ces informations qui peuvent revêtir des formats très différents, compliquant d’autant leur retraitement. Pour favoriser leur accessibilité, la France a lancé le Système national des données de santé (SNDS), encadré par l’Institut national des données de santé, qui a regroupé en 2017 les principales bases de données de santé du pays.

Afin de consolider plus encore leur centralisation, le projet Health Data Hub (HDH) a été effectivement lancé au début de la crise de la Covid afin d’intégrer au SNDS les "données de pharmacie", celles de "prise en charge en ville telles que des diagnostics ou celles, déclaratives de symptômes, issues d’applications mobiles de santé et d’outils de télé-suivi, télésurveillance ou télémédecine" ou encore de services d’urgence. À plus long terme, toute donnée collectée dans le cadre d’un acte remboursé par l’assurance maladie sera intégrée au HDH.

De nombreuses voix ont émis des doutes sérieux quant à la légitimité d’un tel dispositif, principalement au regard de la vie privée et du secret médical.

Un enjeu de souveraineté

Désormais, le HDH reçoit de nombreux dossiers sollicitant l’accès à ses données dans le cadre de projets de recherches. La procédure est co-instruite par la Cnil. En mai 2021, 42 projets sont accompagnés, dont 15 sur la Covid. Plusieurs dizaines sont également en cours d’instruction. Les dossiers doivent répondre à des cadres juridiques très stricts (MR ou demandes d’autorisation de la Cnil ou n’utiliser que des données totalement anonymisées) et suivent un formalisme rigoureux. Cependant, certaines entreprises ne respectent pas ces normes qui sont, en réalité, des engagements unilatéraux de respecter le cadre juridique.

"Saurons-nous – pour une fois – conjuguer pragmatisme et réalisme par l’outil juridique et réglementaire ?"

En outre, ses détracteurs reprochent aux décideurs du HDH d’en avoir confié l’hébergement à Microsoft. Basé aux États-Unis, ce Gafam est soumis au Cloud Act 2018 qui permet de récupérer les données stockées sur des serveurs, qu’ils soient situés aux États-Unis ou ailleurs. Pour la Cnil, mais aussi pour de nombreux acteurs de la santé, dont la Cnam, il existe un réel risque de transfert des données de santé des Français, notamment vers les États-Unis. Au-delà de cet imbroglio juridique, on voit que les sacro-saints principes chers à notre culture européenne, notamment de vie privée, de secret médical et de droit à l’intimité, sont chahutés par l’irruption des Big data dans le domaine de la santé.

Comment penser la réglementation pour la médecine du futur ? C’est un défi que la France et les pays de culture similaire doivent relever en inventant un chemin singulier entre règles éthiques et nécessaire valorisation des données de santé. En réalité, c’est aussi un véritable enjeu de souveraineté qui s’impose à nos décideurs. La volonté politique en la matière est essentielle mais insuffisante : saurons-nous – pour une fois – conjuguer pragmatisme et réalisme par l’outil juridique et réglementaire ?

SUR L’AUTEUR

Gilles Bigot est co-gérant du bureau parisien de Winston & Strawn et Head du département Santé. Il conseille et défend les leaders du marché en France et en Europe, parmi lesquels des établissements de santé publics et privés, des laboratoires, des associations professionnelles, des fabricants d’équipements médicaux et de produits pharmaceutiques et des professionnels du secteur de la santé. Il est considéré comme un pionnier dans le domaine du droit de la santé.

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2024