Par Élise DEBIÈS
Avocate au Barreau de Paris
Vendredi 15 mars, les Institutions européennes sont arrivées à un accord provisoire sur l’Espace européen des données de santé, un texte capital pour le développement de l’Intelligence artificielle en santé en Europe. Le point dur principal de ce futur règlement, la capacité pour les citoyens européens de s’opposer à l’usage secondaire de leurs données de santé, a trouvé une issue : l’opt out est inscrit dans le texte, avec des contours précis qui permettent de l’exclure pour la recherche et les finalités d’intérêt public. Un compromis finalement comparable à la situation en France actuellement.
Dans quel contexte s’inscrit l’Espace européen des données de santé ?
Limitée dans ses compétences en matière de santé publique, la Commission européenne agit par le biais du marché intérieur pour faciliter l’accès aux données de santé, via la stratégie pour les données. Avec en filigrane le règlement général pour la protection des données (RGPD), cette stratégie se traduit déjà par le règlement sur les marchés numériques (DMA), sur les services numériques (DSA), très bientôt par le règlement sur l’intelligence artificielle (AI Act). Le règlement sur la gouvernance des données (DGA) est entré en application en septembre 2023, qui offre déjà des opportunités pour tester des modèles de gouvernance qui vont être déclinés par secteurs. Le prochain règlement sur l’espace européen des données de santé (EHDS) constitue la première déclinaison sectorielle, applicable aux données de santé. Construit sur la tension entre partage et protection des données, le futur règlement opère à travers deux axes :
-faciliter la mobilité des citoyens européen grâce à l’interopérabilité des dossiers médicaux électroniques, là nous sommes dans les usages dits « primaires » des données de santé ;
-et réutiliser ces données, pour la surveillance de la santé publique, la recherche, l’entrainement des IA, le développement des produits et services liés à la santé. Ce sont les usages dits secondaires, qui ont provoqué plus de questions à régler entre les Etats avant l’adoption du règlement mais aussi de grandes opportunités pour les acteurs du numérique en santé.
Avant de voir ce que les règles européennes changeront, attardons-nous un instant sur les règles d’accès aux données de santé applicables en France, avec un rappel de l’évolution historique de la gouvernance des accès, en particulier pour assurer la prise en charge des soins par l’assurance maladie obligatoire et complémentaire, qui peut aider à comprendre les enjeux d’aujourd’hui et comment ils s’articulent avec le cadre européen en cours d’adoption.
En France, usages primaires et secondaires des données de santé font déjà l’objet de régimes différents
Les soins et leur prise en charge par les organismes d’assurance maladie, de base et complémentaire, font partie des finalités listées à l’article 65 de la loi informatique et liberté pour lesquelles l’autorisation de la Cnil n’est pas nécessaire, par exception aux règles de l’article 66 qui s’applique aux traitements mis en œuvre en considération de la finalité d’intérêt public qu’ils présentent. Non que ces usages primaires soient anodins, toute la loi Informatique et libertés s’applique (minimisation, sécurité des données…), mais les acteurs concernés assurent leurs missions, et n’ont pas besoin de l’autorisation de la CNIL pour cela. Cependant la Cnil considère que cette disposition ne constitue pas en soi une base de licéité au traitement des données de santé nécessaires, elle ne lève pas l’interdiction de principe de traiter les données de santé, pas plus qu’elle ne lève le secret médical qui les protège[1] : On a besoin soit d’une disposition ad hoc, soit du consentement du patient. Pour la prise en charge des soins par les organismes d’assurance maladie complémentaire, cette disposition existe dans le code de la sécurité sociale, uniquement pour les contrats dits responsables. Comme la Cnil l’appelle de ses vœux, une disposition spécifique pourrait permettre de préciser ce qu’inclut et implique la prise en charge par les organismes d’assurance maladie complémentaire, disposition qui pourrait inclure la prévention, le suivi des parcours, la lutte contre la fraude, au cœur de leurs missions.
Et puis il y a la recherche et les études dans le domaine de la santé, couvertes par les articles 72 et suivants de la loi informatique et libertés, qui requièrent l’autorisation de la Cnil ou la conformité à une méthodologie de référence, après instruction par le comité scientifique et éthique national. Des méthodologies nouvelles peuvent être proposées, qui faciliteraient le partage de données entre l’assurance maladie obligatoire et l’assurance maladie complémentaire.
Le Health data hub ou Plateforme des données de santé est devenu progressivement en France le guichet unique des demandes d’accès aux données de santé pour les réutiliser, dans la logique d’intermédiation qu’on retrouve dans les règlements européens. Le développement de la Plateforme est aujourd’hui freiné par le problème que pose en terme de souveraineté numérique l’hébergement des données chez Microsoft Azure, mais ce peut être une opportunité pour, non pas centraliser les données de santé, mais bien plutôt de les fédérer et en organiser les accès. Sur point, l’accord obtenu le 15 mars par les Institutions européennes a tenu compte des difficultés pour garantir la souveraineté numérique européenne : le strict hébergement des données de santé en UE n’est pas inclus dans l’accord provisoire.
On a en France l’atout d’une forte antériorité, avec le Système national inter-régime d’assurance maladie (Sniir-am) créé dès 1998 pour regrouper toutes les données des feuilles de soins dans ce qui a constitué « la plus grande base de données de santé du monde ». Mais il est apparu très vite que les accès aux Sniir-am étaient trop limités. La création de le l’Institut des données de santé (IDS) en 2004, dans un contexte de rééquilibrage du risque maladie entre l’assurance maladie obligatoire et complémentaire, a conduit la Cnam à ouvrir le sniir-am à d’autres acteurs. Les membres permanents de l’IDS, dont les représentants de l’assurance maladie complémentaire, disposaient d’un accès permanent au sniir-am, précisément aux data mart (données anonymisées thématisées) et à l’EGB (échantillon généraliste des bénéficiaires, données pseudonymisées).
Puis à la fin des années 2000, c’est l’électrochoc du Médiator : on aurait pu sauver des vies humaines si on avait accédé et exploité les données du Sniir-am ; en 2013 le mouvement « Libérez les données » fait bouger les lignes ;
Enfin arrive en 2016 la loi de modernisation de notre système de santé avec son fameux article 193 et la création du Système national de données de santé (SNDS) qui regroupe dans sa base principale aujourd’hui les données du Sniir-am, les données hospitalières du PMSI, les causes de décès, bientôt les données relatives au handicap. Aujourd’hui la stratégie data converge vers l’IA, mais en 2016 le mantra c’est l’open data, qui couvre en fait des réalités fort différentes : l’intérêt public d’un côté, mais aussi la pure valorisation des données pour des intérêts commerciaux. La loi de 2016 est présentée comme une loi d’ouverture, mais en fait les représentants de l’assurance maladie complémentaire, des professionnels de santé, des patients, n’accèdent plus de droit au SNDS. Seuls des services publics ont cet accès permanent.
Pour les autres demandeurs, certes leur qualité n’est pas un critère d’appréciation de l’intérêt public nécessaire à l’accès aux données. Mais une obligation spécifique pèse sur les mutuelles, qui doivent démontrer pour accéder aux données que les modalités de mise en œuvre du traitement rendent impossible toute sélection du risque, ou recourir à un bureau d'études. Les laboratoires pharmaceutiques, qui sont aussi soumis à une restriction d’accès ex ante pour garantir qu’ils n’utilisent pas les données à des fins de publicité auprès des professionnels de santé, ont l’habitude du recours au tiers, ce n’est pas encore le cas des mutuelles.
Dans l’espace européen des données de santé, les finalités interdites sont maintenues et même étendues mais les restrictions propres à certaines catégories de demandeurs disparaissent.
Que va apporter le cadre européen ?
En termes de gouvernance, les mécanismes sont déjà en place, grâce au DGA. Il constitue ainsi un « régime horizontal » qui repose lui-même sur quatre principes– dits « FAIR », s’appliquant aux données, pour « Facilement traçables, Accessibles, Interopérables et Réutilisables ». Ce règlement introduit une séparation des activités de production, intermédiation, utilisation des données. Le DGA instaure une véritable gouvernance du mécanisme de réutilisation des données par un acteur différent de celui qui en est le détenteur initial, qui peut être testée dès maintenant, avec deux types d’intermédiaires : les prestataires de service d’intermédiation de données (commerciaux) et les organisations altruistes en matière de données (bénévoles). Les deux types de tiers de confiance prévus par le DGA partagent un principe de neutralité : il leur est interdit de réutiliser pour leur propre compte les informations qui sont mises à disposition par leur intermédiaire. Le data altruism permet aux individus de mettre volontairement à disposition leurs données pour des objectifs d’intérêt général et rappelle en cela les fondements même du mouvement mutualiste. Ces objectifs seront définis par le droit national et pourront inclure les soins de santé, la lutte contre le changement climatique, … On retrouve le data altruism à l’identique dans le projet d’Espace européen des données de santé.
L’EHDS est organisé autour de trois piliers :
1-Donner aux citoyens le pouvoir de contrôler et d’utiliser leurs données de santé (niveau européen du « Mon espace santé » français). Des expérimentations transfrontières sont déjà en cours sur les usages primaires.
2-Favoriser un marché unique des produits et services de santé numérique (traduction européenne du catalogue de services numériques en santé en construction dans Mon espace santé)
3-Fixer des règles strictes pour l’utilisation des données de santé à des fins de recherche, d’innovation, c’est la partie la plus importante :
L’accès aux données de santé pour une utilisation secondaire doit contribuer à l’intérêt général de la société. Les organismes responsables de l’accès aux données de santé (ce sont les intermédiaires désignés par les Etats spécifiques aux données de santé) ne donnent accès que pour des finalités conformes à une série d’activités, parmi lesquelles se trouvent, entre autres :
art.34 f) le développement et l’innovation pour les produits ou services contribuant à la santé publique ou à la sécurité sociale … », [et]
g) la formation, au test et à l’évaluation des algorithmes, entre autres dans les dispositifs médicaux, les systèmes d’IA et les applications de santé numériques …».
On va retrouver les finalités interdites, exclusion du bénéfice d’un contrat d’assurance ou modification des cotisations et des primes d’assurance, prise de décision préjudiciable à une personne sur la base de ses données de santé, publicité, mais aussi fourniture d’un accès aux données à des tiers non mentionnés dans l’autorisation et mise au point de produit ou services qui portent préjudice aux personnes et à la société.
Le respect des règles est placé sous la surveillance et le contrôle des organismes responsables de l’accès aux données de santé. Les délais de mise à disposition par le détenteur de données sont limités, sous peine de sanctions possibles, ce qui va accélérer les délais actuels de mise à disposition des données de santé en France. L’utilisateur devra justifier de son droit à accéder aux données dans le cadre de ses missions et les autorisations de traitement de données délivrées par les organismes d’accès aux données de santé constitueront une décision administrative définissant les conditions d’accès aux données. Des redevances pourront être prévues.
L’accès devra se réaliser dans un environnement sécurisé, dont la Commission précise que certains Etats ont pris des mesures pour que de tels environnements sécurisés soient localisés en Europe.
L’article 33 liste le socle des données de santé destinées à une utilisation secondaire, parmi lesquelles se trouvent entre autres :
a) les données des dossiers médicaux électroniques,
b) les données ayant une incidence sur la santé, dont les déterminants sociaux, environnementaux et comportementaux de la santé;
d) les données administratives relatives à la santé, dont les données relatives aux demandes et aux remboursements;
n) les données électroniques relatives au statut en matière d’assurance, au statut professionnel, à l’éducation, au mode de vie, au bien-être et au comportement qui ont un rapport avec la santé;
L’HEDS introduit une nouvelle base de licéité pour la réutilisation des données de santé. Il crée même, y compris à l’égard de la personne concernée, l’obligation juridique au sens de l’article 6, paragraphe 1, point c), du RGPD de divulguer les données aux organismes d’accès aux données de santé, tandis que la base juridique aux fins du traitement initial (par exemple, la prestation de soins) n’est pas affectée. L’option de « non-participation » (opt-out) a donc été retenue par les Institutions européennes le 15 mars, mais avec des exceptions liées à l’intérêt public qui rappellent le cadre juridique français actuel : au niveau national, les citoyens ne peuvent s’opposer à ce que leurs données intègrent la base principale du SNDS, ni à ce que les services publics qui disposent d’un accès permanent les utilisent. En revanche pour les bases qui relèvent du catalogue, les personnes ont toujours un droit d’effacement.
L’EHDS distingue les données de santé électroniques à caractère personnel et non personnel. En pratique il va être parfois difficile de les distinguer. L’article 44 prévoit que les organismes responsables de l’accès aux données devraient les fournir dans un format anonymisé. Si l’utilisateur en fait la demande justifiée, il est possible de lui donner accès à des données pseudonymisées, donc personnelles. Le risque existe que certaines données, même anonymisées, permettent par recoupement la ré-identification (par exemple en cas de maladies rares). S’appuyer sur le RGPD est indispensable pour garantir la confiance des personnes concernées, sans laquelle tout l’édifice de la stratégie européenne sur les données risque de perdre leur adhésion, avec en particulier le fort infléchissement donné au consentement par le projet d’espace européen des données de santé. Eduquer à la santé est nécessaire, mais aussi éduquer au numérique ! Les délais d’entrée en application du futur règlement sur l’Espace européen des données de santé, qui ne font pas encore l’objet d’un accord, devraient dans tous les cas laisser le temps aux Etats de s’organiser autour de l’approche phare du RGPD, applicable plus que jamais aux données de santé : le droit des personnes de décider et contrôler les usages de leurs données personnelles, en préservant l’intérêt général.
[1] Le secret médical couvre toutes les informations portées à la connaissance du professionnel de santé dans un cadre médical et donc les codes de regroupement, les codes affinés ainsi que les ordonnances de prescription sont les documents et informations couverts par le secret médical