Navigation – Plan du site

AccueilNuméros116RepèresDonnées de santé à caractère pers...

Repères

Données de santé à caractère personnel: Esculape vs Mercure ?

Jean-Jacques Lavenue

Résumés

La mise en œuvre en France du SNIIRAM (Système National d’INFORMATION Interregime d’Assurance Maladie), relance le débat sur l’ouverture par l’Etat des données publiques au secteur privé et les risquesqu’elle implique. Dans le domaine des données de santé elle met en balance la recherche de rationalité qu’elle permettrait (dans les domaines de la recherche, prévention, marketing, sécurité médicale), et le risque d’exploitation mercantile des données sensibles et de la vie privée.

Haut de page

Texte intégral

  • 1 « La France doit se doter d’un « Habeas corpus » numérique », Libération, 12 mai 2014, p.20.

1Dans une tribune publiée le 12 mai 2004 dans « Libération », William Bourdon écrivait : « les nouveaux outils technologiques quand ils sont mis au service de l’efficacité policière, voire de l’obsession commerciale, sans contrôle, peuvent conduire à de très graves atteintes à un droit de plus en plus sacralisé, c'est-à-dire le respect de la vie privée». Expliquant quelques lignes plus bas que le dilemme consistera à « renforcer les libertés publiques en France tout en ne sacrifiant rien au formidable vecteur d’innovation qu’est le mode numérique et à la nécessaire efficacité policière et judiciaire »1.

2Transposée au sujet de notre étude, la réflexion de l’ancien secrétaire général de la Fédération Internationale des droits de l’homme, situe précisément les deux pôles d’attraction entre lesquels devrait être défini l’équilibre le plus profitable à l’intérêt général. Sa détermination implique un choix de société qui est l’enjeu d’un débat politique. La difficulté tiendra à ce que l’idée que l’on se fera de cet « intérêt général » ne correspond pas à des contenus identiques. De sorte que l’observateur devra préter attention sur le plan méthodologique à la détermination des classiques critères : « qui parle ? », «d’ où parle-t-il ? » et «pour dire quoi ? » .

3Compte tenu de l’ampleur du champ d’observation concerné , il va de soi que les observations que nous allons évoquer n’ont qu’un caractère d’illustration , et ne prétendent en rien avoir un caractère d’exhaustivité.

De la communication à la commercialisation des données personnelles de santé : analyse des discours et des non dits

  • 2 Publié au JORF du 15/08/2013.

4L’arrêté du 19 juillet 2013 relatif à la mise en œuvre du Système national d’information inter régime d’assurance maladie (SNIIRAM)2, a été l’occasion d’une relance d’un débat qui, en France, existe depuis plusieurs années et peut être rattaché au débat général sur l’ouverture par l’Etat des données publiques.

5La revendication de l’accès à des fins commerciales aux données de santé se dissimule-t-elle derrière les développements consacrés aux bienfaits du Big Data, de l’Open Data et à l’impérieuse nécessité d’avoir accès aux données publiques, et en particulier à celles qui concernent la santé ?

6Derrière des discours sur les progrès de la science grâce à l’ouverture des données aux secteurs privés (nationaux, internationaux) , au-delà des promesses de pratiques vertueuses induites qui amélioreraient tout à la fois la santé des populations , et les finances de l’Etat, n’y aurait-il que tartufferie , esprit de lucre, manipulations ? Y aurait-il confusion entre Esculape , divinité à plein temps de la médecine, et Mercure, dieu, en quelque sorte à tiers temps des médecins, mais aussi du commerce et des voleurs ?

7Qu’il s’agisse d’interrogations légitimes ou de paranoïa cette dimension a toujours été présente dans le débat et ne peut être ignorée. Elle trouvera un surcroit d’actualité pour peu que l’on envisage le stockage des données concernés dans ce que serait un ou des clouds apatrides.

8Le soupçon et la crainte d’un risque, réel pour les uns hypothétique pour les autres, sont apparus très tôt. On peut considérer qu’ils sont liés au lobbysme , voire à l’activisme dont fit preuve le secteur privé et de ses think tanks pour l’ouverture des données publiques . Si dès le début des années 2000, en France, le MEDEF ne parlait pas encore explicitement des données personnelles de santé, apparaissait déjà, derrière son discours favorable à la commercialisation des données publiques, une claire volonté de favoriser l’utilisation commerciale des données personnelles dont celles portant sur la santé. L’idées que les données personnelles puisse faire partie des données commercialisables commença alors à prendre un un essor qui ne cessera de s’affirmer. Lorsqu’en 2013 la Présidente de la CNIL déclarera : «les données (et notamment les données personnelles) sont dans le secteur économique et qu’elles sont donc un élément de compétitivité et de concurrence »3, on comprendra que l’idée que les données personnelles et en particulier de santé soient exclues du secteur économique était écartée.

9Reste néanmoins à s’interroger sur les modalités de cette communication, sur leurs finalités, les garanties qu’elle implique à l’égard de leurs titulaires ; ainsi que sur la fiabilité et la robustesse des moyens de protection envisagés . D’autant que l’on pourra considérer que les risques à l’égard des individus demeureront tant que le « mobile du crime » existera : celui des marchands du temple, celui de leur exploitation commerciale.

De l’Open Data aux tentations du Big Data : Tartuffe et les pratiques vertueuses

10Deux citations permettent de présenter ce que nous paraissent être les éléments caractéristiques de l’ambigüité du problème posé par la revendication de l’ouverture de l’accès aux données de santé. L’une émane de l’ancien directeur de l’APEC, Eric Verhaeghe lorsqu’il déclare, sur le site Atlantico : 

« L’accès aux données de santé par l’assurance maladie obligatoire devient un enjeu crucial et de plus en plus polémique. Voila pourquoi la France a un intérêt économique à agir vite sur ce dossier et a, enfin , se rallier au principe de l’open Data»4.

L’autre ressort du manifeste « Initiative transparence santé »5 quand il dispose : 

« Les pouvoirs publics, l’Assurance maladie notamment, détiennent une manne d’informations…ils ne sauraient(…) en être les détenteurs exclusifs ou les seuls à décider de quelle façon et sous quelle forme elles peuvent être diffusées aux citoyens…Au Royaume-Uni (…) les autorités (…) affichent vis-à-vis de l’Open Data appliquée à la santé une position d’ouverture qui permet aux différents acteurs d’initier de nombreux projets au bénéfice des usagers».

11Si tout le monde semble d’accord pour affirmer la nécessité de garantir l’anonymat des données, et prêt à jurer qu’il ne s’agit que de vouloir ce qu’il y a de mieux pour le patient ou le citoyen, la question qui se pose est précisément de savoir ce que l’on conçoit comme étant la « manne » en question. Sans faire de psychologie à bon marché, ni évoquer une sorte de lapsus calami, le choix du terme peut être révélateur. Car s’il évite de reprendre le cliché de la « mine d’or du Big Data », il indique fortement qu’ Il s’agit bien en l’espèce, aux yeux des intéressés, d’une nourriture tombée du ciel.

12Mais alors, si « manne » il y a, pour nourrir qui ? La question reste posée derrière les argumentaires. Et d’autant plus s’il ne s’agit que de dessaisir l’Etat protecteur de l’intérêt général. Les critiques de la démarche ont aussi désignés leurs cibles : les « marchands du temple », qui , selon les apriori retenus, pourront trouver leur incarnation dans l’industrie pharmaceutique , l’assurance , la gestion des ressources humaines , la mise en place d’administration de la santé à plusieurs vitesses , ou autres.

13Le fait que la décision relève en ces domaines de choix de société fera qu’en l’espèce un forme légère de paranoïa pourrait bien s’avérer salutaire, et que de toute façon celui-ci ne devra relever que de la compétence absolue du Parlement.

14Les débats et polémiques que suscite en France l’interrogation sur l’accès aux données de santé, se situent sur plusieurs plans qu’il importera de distinguer . ils doivent être également appréhendés en tenant compte de la distance entre les bonnes intentions proclamées et des réalités qui s’avèrent souvent moins soucieuses d’un intérêt général trop facilement mis en exergue. De sorte qu’il importera toujours d’avoir à l’esprit, lorsque l’on analysera les argumentaires mis en avant dans ce domaine, à la classique interrogation du: « qui parle ? »

15Ainsi, si à l'origine le MEDEF avait semblé s'inscrire dans une logique de communication des données publiques telles que le concevait la Commission européenne dans sa communication du 26 septembre 2003, pour une meilleure communication des informations fournies par le secteur public, dès 2004 son livre blanc faisait déjà état de ce que l'on pouvait considérer comme une dérive inquiétante pour la protection de la vie privée. Le MEDEF y souhaite en effet la commercialisation des données publiques et opère une sorte d’amalgame entre ces dernières et les données personnelles. Dans le livre blanc qu'il a publié le 14 janvier 2004, le MEDEF affichait un discours volontariste dont la priorité n'était pas l'individu, personne physique. Allant même au dela il affirmait que si tel était pour l'Etat sa priorité, celle-ci était à changer :

«  La priorité actuelle des pouvoirs publics paraît se concentrer sur des applications tournées vers les personnes privées, applications probablement perçues comme plus porteuses d'une image de modernisation. Mouvement des entreprises, le MEDEF entend renverser cette perspective et insister d'autant plus sur la priorité "entreprise" qu'il faut tenir compte de trois éléments (dont):...-le danger qu'il y aurait à mettre une trop forte pression sur les applications liées aux personnes physiques, dans la mesure où celles-ci peuvent soulever des problèmes lourds en matière "Informatique et Libertés" susceptibles de provoquer à terme un blocage où un coup de frein; les applications liées aux personnes morales ne soulèvent pas ces problèmes;

  • 6 Livre Blanc du Medef, 14 janvier 2004, p.5,7.

"-le progrès que constituerait la participation des entreprises à la conception des systèmes en tant que partenaires à l'échange, dans les réseaux d'information interactifs et évolués. L'Administration électronique n'est pas en effet un sujet qui va dans un seul sens. Il ne s'agit pas uniquement d'aspirer des informations, en automatisant des formulaires. L'enjeu, c'est de permettre également aux partenaires de l'Administration d'avoir accès aux informations qui les intéressent au moment où ils en ont besoin (...). Il ne fait pas de doute que les entreprises sont mieux placées pour jouer ce rôle d'interlocuteur actif,participant à la conception des systèmes, que des particuliers. Même si certaines Administrations entendent désormais les appeler leurs "clients"".6

16Simple observation innocente d'une offre de collaboration technique ou OPA sur la mise en place de l'Administration électronique en plaçant les entreprises au centre des réseaux et des systèmes d'échanges informatisés que développe l'Administration ?

17Le caractère extrêmement directif des principales conclusions du livre blanc ne plaide pas en faveur d'approches philanthropiques et citoyennes. Il suffit encore de les évoquer sans avoir à lire entre les lignes :

"L'Administration Electronique doit être conçue comme un chantier exemplaire de partenariat public/privé. Les obstacles gènants des formes efficaces et réactives du travail, qu'il s'agisse d'apports de compétence dans la mise en oeuvre des projets, de réalisations conjointes dans la promotion de certains systèmes de circulation des données utiles au développement d'un secteur d'information à valeur ajouté...Il faut en effet permettre une circulation aisée et sans rupture de charge entre les systèmes de gestion des entreprises, les systèmes de communication avec l'Administration et les systèmes administratifs.... Ceci amène à identifier les différentes sources de freins, notamment les éventuels freins juridiques, et à adopter dans les évaluations une optique transversale, multi-canal, conforme à la perception externe des performances administratives".

18L'évaluation, par hypothèse de départ impliquant les Entreprises et non les individus. Reste à savoir si ce qui est bon pour l'entreprise l'est nécessairement pour le citoyen...fut-il client?

19Le MEDEF de 2004, partisan du plus large réemploi possible des données utilisées par l'administration allait nettement plus loin lorsqu'il préconisait déjà « une réutilisation des données telles que l'identité des entreprises, des personnes, des immeubles et l'identité bancaire". C'est de protection des données personnelles et de la vie privée face aux entreprises qu'il s'agissait alors et le questionnement n'est pas anodin. Il rejoint les interrogations de 2014 en révélant une véritable constante dans une démarche dont une partie du débat actuel n’est qu’un avatar.

20Ainsi le fait de pouvoir aller vérifier les données d'un candidat à une assurance dans une banque de données de santé, fait partie de ce que le MEDEF appelait déjà "avoir accès aux informations qui les intéressent, au moment où ils en ont besoin". Comment dix ans plus tard prétendre que ce type de préoccupation ne serait qu’élucubration et qu’il ne viendrait à l’esprit d’aucun des signataires de « l’initiative transparence » d’avoir de telles arrières pensées ?

21Le parallélisme pourrait être également étendu en rappelant que le MEDEF incitait déjà à aller prendre exemple sur les meilleures pratiques des pays étrangers et, en particulier sur le modèle britannique. Toute la question est de savoir ce qui sous-tend une telle constance et qui pourrait aussi faire croire que les conceptions de Friedrich von Hayek seraient le remède à tous nos maux ?

22L’arrêté du 19 juillet 2013 a relancé un débat qui s’inscrit dans ce que l’on peut traduire par une sorte d’accélération du processus qui trouve sa concrétisation dans l’élaboration d’un « rapport sur la gouvernance et l’utilisation des données de santé »7,  et la création d’une « commission Open Data santé », le 21 novembre 20138.

23Ramené à ses principales controverses, le débat autour de l’arrêté de juillet 2013 s’est organisé, avant et après son adoption, autour de quelques pôles qui à l’avenir focaliseront l’observation permettant de mesurer la réussite ou l’échec du législateur.

24Pour les particuliers la préoccupation principale demeure celle de ne pas voir atteintes leurs données personnelles et leur vie privée. Il ne faut pas, par exemple, que sous couvert d’investigations à vocation alléguée de recherche scientifique sur une prescription médicale (recherche d’efficacité) ou un accident sanitaire (Mediator), on puisse identifier des personnes physiques et ainsi s’ingérer dans leur vie privée. Si la solution présentée par les tenants de l’ouverture est l’anonymisation, on sait toutefois que la robustesse de ses procédés et son effectivité restent relatives.

25Pour le milieu médical les réticences trouvent leur ancrage dans la volonté affichée de préservation du secret médical et la crainte d’une forme de contrôle de leur pratique professionnelle. Ainsi que l’écrit dans un commentaire du Club Digital Santé, le docteur Jérôme Marty, président de l’UFML:

26« Quelle serait notre réaction si nous apprenions :

  • que le secret médical était aboli ?

  • que les médecins devenaient complices de divulgation d’informations sur leus patients hors du colloque singulier de l’acte contractuel et de la sphère professionnelle ?

  • que chacun de nos actes, de nos gestes, de nos prescriptions, était scruté, analysé, comparé, mis en réserve pour des années d’utilisations ?

  • que les pathologies des patients, leurs traitements, leurs facteurs de risques étaient livrés à des organismes financiers ? »9.

27Si les arguments , tirés notamment de situations récentes, mis en avant par les partisans de l’ouverture, sont sous certains aspects très convainquants , l’ampleur de la diffusion mise en place par l’arrêté, continue à nourrir des inquiétudes. Et ce d’autant plus quand peuvent être opposés aux plaidoyers « pro domo », et aux protestations de bonnes intentions de certains bénéficiaires, d’autres déclarations faites par leurs confrères ou concurrents. On retombe dès lors, encore une fois, sur la confrontation entre accusations de paranoïa et celles de manœuvres dolosives.

28Deux points ont ainsi été particulièrement mis en avant par les tenants de l’ouverture des données de santé, tels par exemple que les participants à l’ «Initiative Transparence Santé » (ITS), et de ce que de façon un peu simplificatrice nous appellerons l’open data santé : la connaissance des taux d’efficacité des médicaments ; et l’affaire du Médiator révélatrice, d’une part, de ce que l’on peut qualifier de détournement de prescription, et, d’autre part, du fait que , les pouvoirs publics étant au courant, leurs conséquences auraient pu être prévenues.

  • 10 « Ouverture des données de santé : quels sont les enjeux », Le Point, 15 mars 2014 http://www.lepoi (...)

29Ainsi que l’écrivait Laurence Neuer, dans un article paru dans Le Point, en mars 201410 : 

« concernant l’affaire du Médiator, les données obtenues grâce à la bataille menée par le collectif Initiative Transparence Santé (ITS) lui ont permis d’observer que les « pouvoirs publics étaient au courant des dérives de prescription dont le médicament de Servier était l’objet, à savoi qu’il était prescrit dans environ 80% des cas hors de ses indications officielles […] Un suivi plus strict des prescriptions accompagné d’une action auprès des médecins prescripteurs aurait, selon nous, permis d’éviter un grand nombre de morts ».

30De leur côté, les sociétés d’assurances attestent de leurs bonnes intentions en soulignant, par exemple, pour la Fédération Française des Sociétés d’Assurance : « Les besoins qu’elle exprime en matière d’accès aux données concernant l’assurance santé complémentaire sont souvent confondues avec la nécessaire mise à disposition d’informations médicales dans les domaines de l’assurance vie ou de l’assurance emprunteur. En matière d’assurance santé, les assurances ont besoin, pour liquider la prestation contractuellement due à l’assuré, de descriptions fines des actes effectués et non pas d’informations sur les pathologies » .Demandes justifiées par la volonté « d’améliorer le service rendu aux assurés en diminuant les coûts de gestion des contrats santés et en réduisant les délais de paiement ».

31Alors simple confusions, quiproquos et préventions non fondées, opposés à la vision irénique d’une démarche de progrès sur une route pavée de bonnes intentions ? Le doute ne saurait être dissipé par un « embrassons nous Folleville » général et la suspicion demeure à la lecture de certaines prises de positions. Nous en évoquerons une, à titre d’exemple, qui semble bien souligner que si « manne » il y a, il serait regrettable que l’éthique viennent en rendre l’exploitation difficile. Elle émane de Laurent Alexandre, P-DG de DNAvision  , à l’occasion d’un colloque organise par François Ewald directeur de l’Ecole Nationale d’Assurance, qui s’est tenu en mars 2013 sur les « Big Data ». Pour celui-ci 11: « en 2020, 80% des données de santé seront génétiques et les technologies se développent de façon effrénée. En 2013, le génome d’un million de personnes est séquencé, mais les professionnels de santé ne semblent pas préparés à cette évolution. Le médecin du futur s’occupera surtout d’éthique, dès lors que la médecine sera largement prédictive…l’orateur considère donc que l’assurance complémentaire santé est morte. Il laisse entendre surtout que l’Europe, sous contrainte d’éthique laisse dans ce domaine le champ libre aux États-Unis qui maitrisent complètement le cloud computing. Les préoccupations éthiques pourraient ainsi contrarier le développement de l’utilisation du Big Data en Europe, au détriment éventuel de notre performance tant médicale qu’assurancielle ».

32Faut-il dès lors lire entre les lignes que l’éthique doit être vouée aux poubelles de l’histoire et sacrifiée sur l’autel de l’innovation technologique ? On renverra au dernier ouvrage de Luc Ferry consacré à « l’Innovation destructrice » en se demandant si dans un système où l’innovation est dans le cahier des charges de la société, l’Europe doit sacrifier la protection des données personnelles, l’éthique, puisque les États-Unis le font…et que , en détournant l’adage, ce qui est bon pour les États-Unis est bon pour le reste du monde  ?

33La question est de savoir si l’on peut tout transgresser au nom d’un intérêt collectif présumé lié à l’innovation , à la performance, à la rentabilité et au développement économique de gros groupes . Elle induira également celle de déterminer si l’on doit considérer que la liberté, l’intimité, le secret médical, l’individualité sont, comme les données personnelles, des notions dépassées. Dans le domaine de notre observation elle l’est d’autant plus que ceux qui y apportent massivement une explication positive sont ni en majorité des médecins, ni des patients, mais des assureurs, des industriels, et des financiers.

34Reste que l’’arrêté du 19 juillet 2013 a néanmoins largement ouvert l’accès aux données de santé à des dizaines d’organismes administratifs, de recherche, ou financiers, et qu’il sera appliqué. Tout en précisant, dans son article 5 :

 « Afin de garantir l’anonymat des personnes ayant bénéficié des prestations de soins, les données transmises ne comportent pas l’identité de es personnes. Un numéro d’anonymat est établi par codage informatique irréversible à partir du numéro d’inscription au répertoire national d’identification des personnes physiques. Ce procédé d’anonymisation s’opère à un double niveau, une première fois avant transmission des informations par les régimes à la base nationale et, une deuxième fois, préalablement à leur enregistrement dans la base de données nationale. Ce même procédé est appliqué aux numéros d’identification des titulaires de pensions d’invalidité et de rentes d’accident du travail ou de maladies professionnelles ainsi qu’aux numéros d’entrée des patients. Toutes les données sensibles sont chiffrées lors de leur sauvegarde…».

35Cela suffira-t-il a dissuader les pratiques déviantes, les tentations de « mésusages », dans un environnement où toute référence à l’open data ou au big data - que pourraient alimenter les données de santé - se décline en possibilité de marketing, d’étude de marché, de création de produits et d’exploitation de cette « manne » , tant de fois évoquée ? Là encore la ligne de partage entre « la ligne de crête » des uns, et la manipulation des autres n’est pas très éloignée.

Les expériences de commercialisation des données personnelles

36L’idée que l’on puisse exploiter les données contenues dans les dossiers médicaux informatisés a été présente dès la phase initiale de conception des projets d’informatisation des données médicales et des dossiers susceptibles de les accueillir. Que ce soit dans l’expression de la crainte de cette possibilité ou que ce soit sous forme d’arrière-pensées des candidats aux profits susceptibles de naitre de leur commercialisation.

37Ainsi pourrait-on évoquer ce qui serait un exemple d’exploitation commerciale des données médicales des patients pratiquée par le consortium Thalès-Cégedim, comme l’expliquait dès 2000, sur un ton ironique, M. Tavé :

  • 12 Tavé (D.), « Bienvenue chez Cégedim ! » Pratiques n°12, pp. 18-19, décembre 2000

« Il était une fois une société "la Cegedim", dirigée par Jean-Claude Labrune qui avait mis au point le système Thalès. À environ six cent vingt médecins volontaires, elle avait fourni " gratuitement " un ordinateur, le logiciel Doc Ware, avec une base de données pharmaceutiques, un modem, les mises à jour et la maintenance du matériel. Ces praticiens, en contrepartie, s'engageaient à télétransmettre chaque nuit les actes de leur journée d'une manière anonyme.. Les diagnostics, pathologies et prescription étaient analysés et les informations médicales, ainsi recueillies, vendues sous forme de statistiques aux clients de la Cegedim, autrement dit aux laboratoires pharmaceutiques car 90 % des firmes pharmaceutiques étaient sous contrat avec la Cegedim. Thalès lui rapportait vingt millions de francs chaque année. Et tout le monde était content » 12.

38A la même époque, le Professeur Liliane Dusserre , de l’Ordre national des médecins, observait aussi : 

  • 13 « La commercialisation des informations médicales est-elle « déontologiquement correcte » », Rappor (...)

«  Aux États-Unis, il est possible de gérer ses propres informations médicale sur des sites qui assurent non seulement l’archivage des dossiers, mais qui sont prêts à acheter, par la suite, certaines des informations extraites de ces dossiers.»13

39Quatorze ans plus tard, le lancement par IBM aux États-Unis de l’application des capacités du super- ordinateur Watson au domaine de la santé , et en particulier de la médecine génomique, sera significatif, à la fois, du développement de l’exploitation du big data médical, de son intérêt en terme de santé publique, du marché qu’il représente, et de l’omniprésence persistante des risques que nous avons plusieurs fois évoqués.

40Ainsi qu’en effet l’explique la communication d’IBM: « Les capacités analytiques de Watson peuvent permettre d’ analyser toutes les données rassemblées autour d’un patient : symptômes, découvertes, remarques du praticien, précédents familiaux.. L’ordinateur analytique peut ainsi engager avec le professionnel une discussion collaborative dans le but de déterminer le diagnostic le plus vraisemblable et les options de traitement14. »

41Si la qualité première de ce super- ordinateur est d’être capable de lire et d’apprendre, (tout ce qui nous sépare de la médecine 3.0, évoquée par le docteur Loïc Etienne, sur son blog15), la question revient encore une fois à déterminer ce que l’on sera prêt à proposer à « la lecture de la machine » et à définir les précaution prises à l’égard de ceux qui resteront « les maîtres de la machine ».

42Ainsi que le déclarait, par exemple, Rob High, directeur de la technologie de Watson Solution, interrogé par Nora Poggi, : « nous regardons l’historique d’un patient, comparons les similarités entre des millions de patients, observons les micro-segmentations, toutes les 50 000 autres variables qui font que vous êtes qui vous êtes. Nous identifions ensuite les thérapies qui sont spécifiques à chacun. Les cliniques pourront utiliser ce service pour proposer des traitements personnalisés. Nous ciblons actuellement les grands instituts du cancer.16»

43Si, en l’occurrence, la finalité de l’usage des données compilées ne peut que donner une image positive du procédé, on ne peut qu’être réservé lorsque l’on rapporte qu’ IBM et le New York Genome Center (NYGC) déclarent, par l’intermédiaire de Robert Darnell président du NYGC : «le vrai défi que nous rencontrons est de donner du sens à cette énorme masse de données génétiques et de transformer ces informations en meilleur traitements pour les patients », la journalistes rappelant qu’ « IBM s’était déjà allié en septembre 2011 au groupe privé d’assurance maladie WellPoint pour mettre en œuvre la première application commerciale des capacités de calcul exceptionnelles de l’ordinateur Watson, déjà destinée à aider des médecins à faire des diagnostics età soigner leur patients »17. On pourrait aussi être tenté , ou craindre, d’y voir une possibilité nouvelle pour les assurances concernées de choisir leurs clients. L’enjeu est donc bien celui de la recherche d’un équilibre et d’un choix de société dont le droit se doit d’être l’expression.

Les risques et les mesures possibles pour les éviter

44Les risques que nous avons évoqués s’appuient sur des précédents qui, pour ce qui concerne la France, touchent directement ou indirectement le DMP. Ils peuvent être liés également au comportement des patients. Ainsi que le déclarait Isabelle Falque Pierrotin à l’occasion du colloque de 2013 : 

« Les données de l’internet relationnel (Web 2.0) ne sont normalement pas destinées à être utilisées, mais elles le seront ».

45Des mesures sont donc souhaitables pour pallier ces risques. Aux États-Unis, l’affaire « 23andMe »18, sur la commercialisation des données génomiques personnelles, confirme la prévision de la présidente de la CNIL et souligne que le processus est en cours.

Analyse des risques liés à la commercialisation des données

46Ils seront inversement proportionnels à la robustesse des systèmes d’anonymisation, à l’externalisation par les entreprises destinataires des données du traitement de ces données, et à l’imprudence des patients dans l’usage de l’internet Web 2.0..Il est possible d’en brosser la toile de fond.

47Il a déjà été donné des exemples de de-anonymisations des données de santé et de contournement des procédés de confidentialité ; nous y reviendrons plus bas.

48Pour les risques liés à l’externalisation on peut s’interroger sur ce qu’il pourrait advenir si, exemple hypothétique, un groupe international comme Axa décidait de faire héberger dans un Cloud américain ou traiter aux États-Unis, où la notion européenne de donnée personnelle n’existe pas comme telle (= élément de la personnalité), les données qui lui seraient communiquées et qui relèveraient de fait du droit national de l’hébergeur ? Qu’adviendrait-il si ces données étaient mise à disposition d’un broker d’informations ? Qu’elle serait l’effectivité d’une poursuite exercée par la France à laquelle serait opposé l’amendement sur la liberté du commerce ? On se réfèrera avec profit ,à titre d’exemple, à la liste des 262 brokers d’informations publiée par la Privacy Rights Clearinghouse.

49On soulignera aussi, de manière générale, le risque inhérent aux expositions imprudentes sur les réseaux sociaux, qui sont une source considérable d’informations à usage de data mining.

50Il existera enfin un danger spécifique relatif à un profilage des données de connexions des internautes sur les sites médicaux. Il ne s’agit donc pas de données personnelles de santé stricto sensu. Ces données permettent cependant d’établir un profil de l’internaute en fonction des rubriques qu’il consulte. Un encadrement de ces sites est donc vivement recommandé par la CNIL.

51La règlementation existante n’a pas toujours suffit à écarter les risques relatifs à la collecte, la conservation, et la protection des donnée de santé ; l’ouverture nouvelle des fichiers du SNIIRNAM amènera-t-elle en ce domaine des avancées fiables en matière de protection ?

  • 19 Renard (L.), Médecine du travail : la directrice et son adjoint gardés à vue, Var-Matin, 20 janvier (...)

52Des médecins du travail avaient dénoncé les fuites informatiques des services de santé au travail dans la région de Pau, dès 2004. Des agents administratifs avaient ainsi accédé à des données médicales détenues par des associations interprofessionnelles de médecine du travail19.

  • 20 http://www.sante.gouv.fr/htm/actu/babusiaux/sommaire.htm

53Le rapport de la mission Babusiaux sur l'accès des assureurs complémentaires aux données des feuilles de soins électroniques (FSE)20 préconise que « les assureurs santé complémentaires puissent, dans certaines conditions accéder aux données de santé contenues dans les FSE ». Cette transmission devra selon les recommandations du rapport « s'effectuer dans le respect du droit à la vie privée ». Deux solutions sont prônées pour sa mise en oeuvre : le consentement « exprès » de l'assuré ou l'anonymisation des données. En 2008, les assureurs et mutuelles devaient pouvoir formuler des demandes d'accès à certaines données de santé pour que les mutuelles puissent bâtir des statistiques nouvelles, et proposer des tarifs en fonction des pathologies des individus.

54L’expérimentation du DMP a très tôt donné lieu à de grosses difficultés pour la sécurisation des données personnelles de santé. Des failles ont ainsi été décelées :

  • 21 Landais (R.), « Le dossier médical personnel trop facilement piratable », Le Parisien, 24 novembre (...)

55L’expérimentation Santénergie (Consortium Siemens-Bull-EDS), qui s’est fait sur 4 sites (Pays de Loire, Basse Normandie, Limousin et Midi-Pyrénées) et qui concernait environ 5000 dossiers, a ainsi posé de graves difficultés en novembre 2006. Le patient pouvait en effet accéder à son DMP simplement en utilisant un identifiant de connexion et un mot de passe qui lui étaient attribués au moment de son adhésion. Le mot de passe et le login étaient identiques et facilement décelables. Deux médecins, l’un en Mayenne, l’autre en Loire-Atlantique, ont ainsi réussi à « décrypter » les logins et les mots de passe. Le code d’accès donné à chaque patient était en effet toujours composé selon le même principe : il commençait par les 5 premières lettres du nom du patient et se terminait par les deux premières lettres de son prénom21.

56Le GIP-DMP a réagi en exigeant que le consortium élabore une meilleurs sécurisation de son système. On peut se demander si, pour autant, ces difficultés sont réellement derrières nous ? Ainsi que le fait remarquer par exemple le rapport de Pierre-Louis Bras et André Loth à propos des conséquences possibles de l’ouverture des données de santé sur les relations entre recherche publique et recherche privée : 

« on ne peut négliger la crainte que les nouvelles possibilités d’étude ouvertes aux laboratoires soient exploitées dans une visée stratégique pour flatter les résultats de leurs produits. L’asymétrie entre les moyens que les laboratoires peuvent consacrer à de telles études et ceux que peuvent dégager les autorités publiques renforce cette inquiétude qui a été exprimée avec force par certains interlocuteurs de la mission ».


Mesures possibles pour la protection des données

57L’argument le plus souvent présenté pour apaiser les craintes des partisans de l’interdiction absolue de l’utilisation à des fins secondaires des données de santé (surveillance de la santé publique, analyse et gestion du système de santé, recherche), voire tertiaires (marketing, profilage médical, création de nouveaux besoins et produits de prévention, est celui de l’anonymisation, de la dépersonnalisation.

58Mais l’anonymisation ou la dépersonnalisation n’écarte pas tous les risques comme l’a démontré , dès 2002, l’expérience de Latanya Swenney qui a réussi à ré-identifier des personnes à partir d’informations anonymisées ( code postal, date de naissance, sexe) détenues par le Group Insurance Commission, responsable de l’assurance médicale des employés d’Etat au Canada22. L’expérience canadienne de 2002 pourra être rapprochée du théorème présenté en 2006 par Cynthia Dwork23, chercheuse chez Micosoft, selon lequel il est impossible d’assurer une protection complète des données dites « sensibles » dès lors que l’ »attaquant » dispose d’informations annexes dites « quasi identifiantes » qui peuvent être aussi anonymes que l’âge , le lieu de résidence, le sexe ; voire se trouver compilées dans d’autres institutions. Croisement de données santé avec un fichier d’électeurs par exemple24. Des situations du même ordre ont été relevées par Pierre-Louis Bras et André Loth dans leur rapport de septembre 2013. L’anonymisation n’est donc pas la panacée permettant de porter remède aux paranoïa dénoncées.

  • 25 Exemples emruntés à l’article précité de David Larousserie.

59Prenant acte de cette réalité les solutions proposées reviennent au fond, soit à une sorte de ravalement de l’existant, soit à proposer d’autres méthodes d’anonymisations ou de « floutage » des données qui ne vaudront , comme tout artéfact scientifique, que tant qu’elles ne seront pas dépassées. Il s’agira ainsi, par exemple25 :

  • De restreindre l’accès aux données les plus détaillées, aux administrations ou aux chercheurs.(…) « Les Etats-Unis ou l’Allemagne invitent les chercheurs à consulter les donnéees dans des locaux spécifiques, sortes de bunkers….en Norvège, des CD-ROM sont envoyés par courrier ou par le réseau internet. La France, qui a aussi des pratiques semblables à la Norvège pour les sciences sociales grâce au portail du réseau Quetlet26, vient de lancer une solution originale : l’accès à distance par boitier avec le centre d’accès sécurisé distant (CASD)27. Dans tous les cas, l’autorisation par différents comités d’éthique est obligatoire pour les données les plus détaillées ».

  • De modifier les fichiers en otant,par exemple les noms pour les remplacer par des pseudonymes. « Depuis les années 1990, la France a pour le PMSI notamment, mis au point la méthode FOIN28, pour «  fonction d’occultation des informations nominatives ».. Elle consiste à transformer mathématiquement le sexe, la date de naissance et le numéro d’assuré du patient en une suite de caractères incompréhensibles. Faire l’opération inverse est quasi impossible, sauf à disposer d’une clé de chiffrement mathématique».

  • D’utiliser parmi la quinzaine de méthodes d’anonymisation, celle de la « K-anonymisation », proposée par Latanya Sweeney, qui « consiste à regrouper des individus de telle sorte qu’au moins un nombre k d’entre eux soient impossibles à distinguer par leur quasi-identifiant. Par exemple, le fichier diffusé ne contient pas l’âge exact des personnes mais un agrégat : « tentenaire », « quadra …on peut aussi regrouper par eépartement que par ville etc…mais la k-anonymité peut ne pas suffire ».

60Anonymisation, floutage, brouillage, encore une fois, aucune méthode ne peut véritable garantir une protection absolue aux données concernées et, au dela des bonnes intentions reaffirmées, rien ne permet d’attester que ceux qui pourraient souhaiter s’approprier ces données à des fins discutables sur le plan ethique, en seraient de quelque façon véritable empêchés  .

61On ajoutera enfin, à ce propos, que pour faire face aux risques possibles de contournement de l’interdiction de commercialisation des données, il pourra être important d’éviter un hébergement externalisé de ces données. Si un tel hébergement (qui pourra être proposé « clés en main » par des géants du net) peut sembler présenter des avantages pour mener à bien des activités de gestion administrative, l’externalisation n’est cependant pas souhaitable dans le domaine des données de santé.

62Les exemples vus précédemment tendent à le démontrer. L’hebergement devrait être de préférence confié à un service administratif de l’Etat assuré en régie directe, comme La Documentation française ou l’INSEE, sous le contrôle de la CNIL ou d’une Autorité adminsitrative ad hoc. On ne peut pas considérer à l’heure actuelle qu’un cadre juridique harmonisé, commun - prenant en charge l’ensemble de la problématique de la protection , les conditions de leur éventuelle diffusion et de leur utilisation pertinente - soit fixé au niveau national. Et encore moins au niveau européen.

  • 29 « Données sensibles : l’équation impossible »,Le Monde »,pp.4-5.

63Le 9 avril 2014, David Larousserie entamait la présentation du dossier qu’il consacrait dans le « Le Monde »29 à la problématique des données sensibles par l’évocation d’un sénario de Dominique Blum : « Devant son écran d’ordinateur, un patron peu scrupuleux cherche à en savoir plus sur le dossier médical d’un employé fréquemment malade. Connecté au site web de l’entreprise Health aware, il renseigne non pas le nom de son salarié mais le nombre des hospitalisations, le mois et les durées de séjour. Il entre aussi le code postal de la ville de résidence, l »âge et le sexe de sa « cible » ; 0,023 seconde plus tard le service commercial a trouvé l’identité cherchée et, moyennant finance, livre la totalité des connaissances médicales sur l’employé ».

64Est-ce que cela est souhaitable ? Est-ce ce que l’on veut ?

65Le rapport de Pierre-Louis Bras et André Loth, les présentations de Dominique Blum, démontrent que techniquement les procédés de recoupement et de croisement à partir d’informations « quasi identifiantes » permettent de ré-identifier ce qui était anonymisé et qu’, au-delà même de la revendication de communication des données de santé, !es moyens techniques de récupération de ces données existent . La norme technique n’est donc pas suffisante et la réalité montre une fois de plus que le fait précède le droit.

66De sorte qu’au fond la problématique reste simple : elle est celle du choix et de l’équilibre entre intérêts scientifiques, marchands, et protection de la vie privée . Elle est de savoir si Jupiter protecteur doit en imposer à Mercure ; et l’Etat, soucieux des libertés aux maitres du Monstre Doux qui nous subjugue. Au-delà des arguties , des plaidoyers à sincérité variable , et des « feuilles de vignes », ce choix éminemment politique est celui de la détermination de la règle applicable et de la norme juridique. Il pose en même temps la question du contrôle démocratique de l’arbitrage qu’il implique entre acteurs de la vie sociale. Ainsi que l’aurait dit Georges Clémenceau : « Il faut savoir ce que l’on veut. Quand on le sait, il faut avoir le couragde le dire et quand on le dit, il faut avoir le courage de le faire ».

Haut de page

Notes

1 « La France doit se doter d’un « Habeas corpus » numérique », Libération, 12 mai 2014, p.20.

2 Publié au JORF du 15/08/2013.

3 Cité par le Dr.Jérome Marty, UFLM, 16/08/2013, Club Didital Santé, http://club-digital-sante.info/2014/01/vos-donnees-de-sante-mappartiennent/

4 http://www.atlantico.fr/decryptage/mais-qui-bloque-open-data-sante-en-france-eric-verhaeghe-904397.html

5 http://www.club-jade.fr/index.php/item/274-communiqué-de-presse-de-linitiative-transparence-santé-surveillance-de-la-consommation-de-médicaments-un-rapport-accablant-qui-n’apporte-aucune-solutions

6 Livre Blanc du Medef, 14 janvier 2004, p.5,7.

7 http://www.drees.sante.gouv.fr/rapport-sur-la-gouvernance-et-l-utilisation-des-donnees-de,11202.html

8 http://www.drees.sante.gouv.fr/commission-open-data-sante,11250.html

9 http://club-digital-sante.info/2014/01/vos-donnees-de-sante-mappartiennent/

10 « Ouverture des données de santé : quels sont les enjeux », Le Point, 15 mars 2014 http://www.lepoint.fr/chroniqueurs-du-point/laurence-neuer/ouverture-des-donnees-de-sante-quels-sont-les-enjeux-15-03-2014-1801434_56.php

11 Rapporté par Patrick Thourot dans la revue Banque; http://www.revue-banque.fr/banque-detail-assurance/article/big-data-defis-opportunites-pour-les-assureurs

12 Tavé (D.), « Bienvenue chez Cégedim ! » Pratiques n°12, pp. 18-19, décembre 2000

13 « La commercialisation des informations médicales est-elle « déontologiquement correcte » », Rapport du 25 juin 2000.

14  http://www-05.ibm.com/fr/watson

15 http://www.zeblogsante.com/le-dmp-dossier-mal-pense/#more-650 : « dans cette optique, ce sont les machines intelligentes interconnectées au DMP qui apporteraient leur contribution à la relation médecin patient. En effet, les données anonymisées, géolocalisées et sécurisées de chaque patient d’une part, et de chaque médecin sur le parcours de soins du patient d’autre part, pourraient être remontées vers des outils de fouille de données -avec toutes les garanties de confidentialité et de sécurité. L’étude par des programmes intelligents des données personnelles du patient ([télé-évaluation]), et des données générales de la population ([épidémiologie en temps réel]), permettrait de faire une véritable prévention 3.0. » - See more at: http://www.zeblogsante.com/le-dmp-dossier-mal-pense/#more-65

16 http://www.usine-digitale.fr/article/comment-ibm-veut-utiliser-les-big-data-pour-revolutionner-la-sante-et-les-services.N264909

17 http://www.leparisien.fr/laparisienne/sante/ibm-lance-son-super-ordinateur-watson-dans-la-medecine-genomique-19-03-2014-3687675.php

18 http://www.slate.fr/monde/81235/23andme-genetique

19 Renard (L.), Médecine du travail : la directrice et son adjoint gardés à vue, Var-Matin, 20 janvier 2005, p. 2.

20 http://www.sante.gouv.fr/htm/actu/babusiaux/sommaire.htm

21 Landais (R.), « Le dossier médical personnel trop facilement piratable », Le Parisien, 24 novembre 2006, p. 5.

22 Cf. Latanya Sweeney, « K-anonymity : A model for protection privacy », International Lournal on Uncertainity, Fuzziness and knowledge-based Systems, 10 (5), 2002.

23 http://iml.univ-mrs.fr/ati/crypto_puces/2013/slide/lassaigne.pdf

24 Latanya Sweeney en 1997. Cf. «L‘anonymat, un bien fragile », David Larousserie, Le Monde, 7 avril 2014.

25 Exemples emruntés à l’article précité de David Larousserie.

26 http://www.reseau-quetelet.cnrs.fr/spip

27 http://www.casd.eu

28 Chaînage des données sensibles : http://smf4.emath.fr/Publications/JSFdS/146_3/pdf/sfds_jsfds_146_3_19-38.pdf

29 « Données sensibles : l’équation impossible »,Le Monde »,pp.4-5.

Haut de page

Pour citer cet article

Référence électronique

Jean-Jacques Lavenue, « Données de santé à caractère personnel: Esculape vs Mercure ? »Terminal [En ligne], 116 | 2015, mis en ligne le 25 décembre 2014, consulté le 13 décembre 2024. URL : http://0-journals-openedition-org.catalogue.libraries.london.ac.uk/terminal/743 ; DOI : https://0-doi-org.catalogue.libraries.london.ac.uk/10.4000/terminal.743

Haut de page

Auteur

Jean-Jacques Lavenue

Professeur des Universités, Université de Lille, CERAPS.

Articles du même auteur

Haut de page

Droits d’auteur

Le texte et les autres éléments (illustrations, fichiers annexes importés), sont « Tous droits réservés », sauf mention contraire.

Haut de page
Rechercher dans OpenEdition Search

Vous allez être redirigé vers OpenEdition Search