La donnée de santé : un cadre juridique à sa mesure

Préambule

En 2013, selon un rapport de l'Assemblée nationale sur le dossier médical partagé et les données de santé, 153 exaoctets de données de santé ont été produits dans le monde (1 exaoctet = 10^18 octets). En 2020, 2 314 exaoctets ont été produits. Sur cette période, le volume des données de santé aurait été multiplié par dix¹.
‍
Dans le domaine de la santé, les données jouent un rôle crucial pour améliorer les soins, la recherche et la gestion des établissements de santé. Cependant, leur utilisation soulève des questions éthiques et de protection de la vie privée. En France et en Europe, des cadres réglementaires stricts ont été mis en place pour encadrer la collecte, le traitement et l'utilisation des données de santé.

1. Qu’est ce qu’une donnée de santé ? Rappel de la définition juridique

1. La donnée de santé est définie par la réglementation européenne 

Une donnée de santé fait partie d’une catégorie particulière de donnée de caractère personnel, les données sensibles ou anciennement qualifiée de donnée hautement personnelle. 

Selon la réglementation européenne, plus précisément le Règlement Général sur la Protection des Données (RGPD- Règlement UE 2016/679), une donnée de santé peut être définie comme “toute information concernant la santé physique ou mentale d'une personne physique identifiée ou identifiable”. Cette information peut inclure des éléments tels que les antécédents médicaux, les résultats d'examens médicaux, les traitements médicaux en cours, les diagnostics, les données génétiques et biométriques liées à la santé, ainsi que toute autre information connexe.

La Commission nationale de l'informatique et des libertés (CNIL) répond à la question "qu'est-ce qu'une donnée de santé ?" et souligne qu'elle "permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne"².

Il existe ainsi trois catégories de données à caractère personnel concernant la santé :

2. En France, la donnée de santé est identifiée dans le Code de la Santé Publique au travers du Système national des données de santé (SNDS)

Le législateur français n’a pas défini spécifiquement la donnée de santé mais il propose une vision exhaustive en encadrant le Système national des données de santé (SNDS). 
‍
Le SNDS est une base de données française unique en son genre créée  par la loi n° 2016-41 du 26 janvier 2016, qui rassemble et centralise une vaste quantité de données de santé anonymisées. Cette base  a été créée dans le but de faciliter la recherche médicale, la surveillance de la santé publique, ainsi que l'analyse et la compréhension des tendances de santé à grande échelle, tout en préservant la confidentialité des données personnelles. Le SNDS intègre des données provenant de différentes sources, telles que les remboursements de soins de santé, les dossiers médicaux, les hospitalisations, les prescriptions médicales et autres informations de santé.

Historiquement, il était géré et hébergé par la Caisse Nationale de l’Assurance Maladie (Cnam) et permettait le chaînage de différentes catégories de données entre elles, soit :

Le CSP encadre l’accès et l’utilisation des données faisant partie du SNDS.

2. Quelle est la réglementation autour des données de santé ? Rappel des points clés

En France, la réglementation en matière de données de santé est principalement encadrée par trois sources fondamentales.  

1. Les législateurs français et européen

Ils  établissent un cadre légal exhaustif pour le traitement des données personnelles, et de facto des données de santé. La pierre angulaire de la réglementation est le RGPD, dont les principaux points sont retranscrits dans la législation française au sein de la Loi informatique et liberté (LIL -  Loi n° 78-17 du 6 janvier 1978).

L’objectif était de trouver un juste équilibre entre le traitement parfois nécessaire des données de santé et la protection des droits et de la vie privée des patients lors de la réutilisation de leurs données. Les patients sont juridiquement dénommés personnes concernées, ce qui montre bien qu’ils sont les premiers concernés par ce qui est fait avec leurs données de santé. Le patient est le premier titulaire des droits sur ses données, que sont le droit d'accéder à ses  propres données de santé, le droit de demander la rectification de ses données , leur suppression ou leur portabilité. Il a  également le droit de s'opposer au traitement de ses données  dans certaines situations.

Les données de santé étant des données qui touchent à la sphère privée des individus, le principe est l'interdiction de les traiter. Des exceptions sont néanmoins prévues dont les principales sont : 

• le consentement éclairé du patient;
• si le traitement est nécessaire  pour des motifs d’intérêt public;
• si le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée (droit du travail, sécurité sociale, protection sociale).  

Dans tous les cas, les conditions de collecte, de traitement et de conservation des données de santé sont strictement encadrées. En outre, les données de santé doivent être collectées et traitées de manière proportionnée et pertinente par rapport aux finalités pour lesquelles elles sont utilisées (principe de minimisation), elles sont anonymisées ou pseudonymisées, et les patients sont systématiquement informés des finalités de la réutilisation de leurs données. 

2. Les institutions publiques de santé  

A. L’ Agence du numérique en santé

L'Agence du Numérique en Santé (ANS) est une institution dédiée à la transformation numérique du secteur de la santé en France. Anciennement l'Agence des Systèmes d'Information Partagés de Santé (ASIP Santé), elle édicte des règles et des normes pour garantir la sécurité, l'interopérabilité et la confidentialité des systèmes d'information de santé (normes d’interopérabilité, référentiels métiers, normes sur l’hébergement des données de santé etc…).  Elle œuvre pour le développement et la mise en place de solutions numériques innovantes afin d'améliorer la qualité des soins, la coordination entre les professionnels de santé et l'accès aux données médicales pour les patients. L'ANS joue un rôle essentiel dans la modernisation du système de santé en favorisant l'adoption des technologies numériques au service du bien-être des patients et de l'efficacité des pratiques médicales.

A titre d’exemple, l’ANS a mis en place  le Service d’accès aux soins (SAS), une plateforme numérique dont l’objectif est de répondre à la demande de soins vitaux, urgents et non programmés de la population. Plus concrètement,  le SAS centralise les appels au 15, au 18 et à l’hôpital pour mieux gérer les demandes.

B. Le Health Data Hub (HDH)

Le Health Data Hub (ou Plateforme des données de santé)  est un groupement d’intérêt public créé en 2019 dont la mission principale est de mettre en place  une plateforme technologique  qui a vocation à  héberger l’ensemble des données nationales de santé en France afin de les mettre à disposition de l’éocystème  en vue leur réutilisation à des fins de recherche. Le HDH accompagne les porteurs de projets en leur offrant un accompagnement technique, financier et réglementaire. Il assure  également le secrétariat du CESREES (Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé) chargé de rendre des avis sur les projets d’études nécessitant le recours à des données personnelles de santé. 

Le HDH met à disposition un “Catalogue” de données de santé dont fait partie le Système National des données de santé historique (SNDS):  C’est donc l’acteur qui, sur le long terme, va être responsable de la gestion des accès du SNDS, et des réglementations techniques et de sécurité d'hébergement de ce dernier. Aujourd’hui (depuis sa mise à jour en juin 2021), on parle du SNDS élargi qui englobe les données du Catalogue du Health Data Hub; chaque année, un arrêté est pris par le Ministre de la Santé qui autorise des bases de données présélectionnées par le HDH à être intégrées au Catalogue. Ces bases ne couvrent pas l’ensemble de la population, mais elles sont soumises aux mêmes règles en  termes d’accès, de sécurité et de transparence que le SNDS historique.

C. Les organismes de certification hébergeurs de données de santé 

La certification HDS est une certification spécifique en France qui concerne les prestataires de services d'hébergement de données de santé. Les organismes de certification dédiés s’assurent que les hébergeurs de données  garantissent  la sécurité et la confidentialité des données de santé qu’ils hébergent, conformément aux exigences réglementaires en matière de protection des données de santé.

Pour obtenir la certification HDS, un prestataire d'hébergement de données de santé doit démontrer qu'il respecte un ensemble de critères et de normes techniques et organisationnelles spécifiques, visant à garantir la sécurité des données tout au long de leur cycle de vie, de la collecte à la destruction. Ces critères couvrent des aspects tels que la sécurisation des locaux, des infrastructures informatiques, des accès, la mise en place de mesures de protection des données, la gestion des incidents de sécurité, etc.

3. La Commission Nationale Informatique et Libertés  (CNIL)

La CNIL joue un rôle important dans la réglementation autour des données de santé, et plus particulièrement pour les projets de recherche impliquant un traitement de données. Elle  contrôle l’accès aux données de santé, soit à priori par le biais d’une autorisation de traitement, soit par un contrôle a postériori sous réserve que le porteur de projet soit conforme à une méthodologie de référence. En effet, la CNIL a édicté des Méthodologies de Référence (MR) qui sont des procédures simplifiées d'accès aux données de santé. Elles sont aujourd’hui le principal mode d'accès pour la recherche scientifique, là où le circuit d'autorisation est l'exception.

C’est également l’organe compétent pour les sanctions en cas de violation de la réglementation relative à la protection des données; cette année, elle a d’ailleurs prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé.

Par ailleurs,  elle a mis en place un référentiel entrepôt de données de santé à destination des hôpitaux dans l’objectif de faciliter la mise en place et le stockage pérenne des données, afin de les exploiter sur le long terme.

3. Quelles sont les utilisations des données de santé connues ?

La valorisation des données de santé touche de nombreux domaines, allant de la recherche médicale à la création de nouveaux dispositifs médicaux. Elles sont précieuses pour l’écosystème, et leur potentiel est vaste. De nombreux acteurs utilisent et manient des données de santé, que ce soit des établissements de santé publics et privés, des entreprises pharmaceutiques, les CRO et les entreprises comme Arkhn, qui traite des données au quotidien pour le compte des hôpitaux. 

Un des utilisateurs les plus populaires des données de santé est le monde hospitalier (i.e. les CH, les CHU, les fondations de recherche, les centres de lutte contre le cancer etc..). En effet, l’utilisation de  la donnée de santé est nécessaire au pilotage des  hôpitaux, afin d’assurer la qualité des soins et la sécurité des patients. 

Plus largement,  cela implique entre autres  une utilisation des données de santé pour  :  

• L’aide au diagnostic et traitement médical : Les données de santé, tels que les antécédents médicaux, les résultats d'examens, les analyses de laboratoire et les données d'imagerie, sont utilisées par les professionnels de la santé pour établir des diagnostics précis et recommander des traitements appropriés.
• La recherche scientifique :  Que ce soit une utilisation primaire ou secondaire des données,  l’utilisation des données est essentielle pour la recherche. Elles permettent entre autres d'identifier des tendances, des facteurs de risque et des modèles liés aux maladies, ainsi que de développer de nouvelles thérapies et de mieux comprendre les mécanismes pathologiques;  
• La surveillance des indicateurs de qualité, la gestion des risques et la prévention des erreurs médicales au sein des établissements de santé; 
• La gestion des systèmes de santé et des dossiers médicaux : les données de santé contribuent à la création et à la gestion des dossiers médicaux électroniques, facilitant l'accès aux informations médicales pertinentes pour les professionnels de la santé; 
• La télémédecine et la santé mobile : Les applications et les technologies de télémédecine permettent le suivi à distance des patients, la communication avec les professionnels de la santé et la collecte de données de santé en temps réel; 
• La surveillance de la santé publique : Les données de santé sont utilisées pour surveiller et contrôler les épidémies de maladies, planifier des interventions de santé publique, mettre en œuvre des programmes de vaccination et suivre l'évolution des maladies infectieuses.

Encore faut-il que l’utilisation respecte la réglementation et l’éthique des patients pour que les données puissent être  valorisées au mieux dans différents domaines, et que les données soient exploitables…!

4. L’impact  sur les hôpitaux et autres acteurs de l'écosystème 

La réglementation a un impact significatif sur l’écosystème. Elle influence leur gestion et utilisation  des données en les obligeant à adopter des pratiques de gestion plus rigoureuses, à garantir la confidentialité et la sécurité des données de santé de leurs patients, et à mettre en place des mécanismes pour assurer la conformité à ces règles.

Encore plus aujourd’hui, avec la volonté croissante des hôpitaux de créer des entrepôts de données de santé conformes au référentiel CNIL EDS mentionné plus haut. En tant que responsables de traitement des données de santé qui constituent leur EDS, ils ont la charge de  mettre en place des environnements techniques de plus en plus sécurisés et d’assurer le respect les droits des patients à chaque étape, i.e.  de la collecte à la réutilisation des données.  

Cependant, la mise en place des normes techniques et de sécurité imposée n'est pas simple : les  hôpitaux manquent de moyens et doivent souvent trouver des prestataires pour les accompagner dans la modernisation de leur environnement technique. De même, l’obligation légale d’obtenir un consentement éclairé et d’informer individuellement les patients de chaque utilisation qui est faite de leurs données peut s’avérer complexe pour les praticiens,  surtout dans le milieu de la recherche où les données sont utilisées et que les patients n’ont pas été informés à l’origine. 

La gestion opérationnelle des EDS sera aussi un frein à lever dans le milieu hospitalier, notamment dans les CHU où les expertises sont insuffisantes.

Sources

• (1) Vie Publique. Données numériques de santé : entre enjeux médicaux, technologiques et juridiques. 6 juin 2023.
• (2) CNIL. Qu’est-ce ce qu’une donnée de santé ?.