Données de santé, le défi de la sécurité et la nécessité de la réutilisation

La crise sanitaire a plus que jamais démontré la nécessité du numérique en santé. En libérant les usages et valorisant son potentiel, la pandémie a démultiplié les initiatives et conduit la plupart des acteurs technologiques à se positionner sur le marché de la e-santé. Ce faisant, le marché du big data en santé a explosé dans le monde entier, avec de fortes disparités selon la rigidité du cadre juridique.
Marguerite Brac de La Perrière, associée du Cabinet Lerins

La crise sanitaire a plus que jamais démontré la nécessité du numérique en santé. En libérant les usages et valorisant son potentiel, la pandémie a démultiplié les initiatives et conduit la plupart des acteurs technologiques à se positionner sur le marché de la e-santé. Ce faisant, le marché du big data en santé a explosé dans le monde entier, avec de fortes disparités selon la rigidité du cadre juridique.

Le formidable essor des solutions numériques en santé s’est amorcé lors du premier confinement de 2020 avec le boom des téléconsultations, de la télésurveillance grâce à des solutions telles que Covidom pour le suivi des patients atteints ou suspectés d’être atteints Covid19, et du télésoin, à grand renfort de conditions assouplies de prise en charge et de mise en œuvre.  

La pandémie a ainsi libéré les usages et les initiatives de digitalisation du secteur de la santé, et ce, dans le contexte politique favorable résultant tout à la fois de la structuration de la gouvernance politique autour de la DNS et l’ANS, et de son impulsion forte matérialisée par le déploiement de Ma Santé 2022 et des services socles tels que l’ENS, le DMP, le store, le RPPS généralisé, les téléservices INS etc…   

Les investissements historiques du Ségur accompagnent et portent ce développement du numérique en santé

Les initiatives publiques et privées, industrielles des secteurs technologique et pharmaceutique, et même peu ou prou individuelles comme l’emblématique Vitemadose, ont ainsi foisonné, avec pour ambitions communes celles de décloisonner, faciliter, fluidifier.  

Les investissements historiques du Ségur accompagnent et portent ce développement du numérique en santé, en accélérant la modernisation, l’interopérabilité, la réversibilité, la convergence et la sécurité des systèmes d’information de santé.    

En 2021, pas un jour sans une annonce de la création d’un consortium, d’un incubateur, d’une alliance, d’un partenariat dans le numérique en santé. 

Dans le même temps, les cyberattaques, en particulier par ransomware, dans les établissements français se sont tristement multipliés.  

Ainsi, dans cette effervescence, la double question de la sécurité et de la réutilisation des données de santé s’est naturellement rapidement placée au cœur du débat public français. 

La cybersécurité en santé 

Les données de santé sont définies, en substance, comme révélant des informations sur l’état de santé physique ou mental d’une personne. Elles constituent des attributs éminemment sensibles des individus, compte tenu des risques évidents pour les libertés individuelles et la vie privée des personnes, qu’une divulgation ou une utilisation malveillante pourraient emporter.  

De ce fait, les données de santé à caractère personnel sont soumises à des conditions de traitements strictes et limitatives relevant du Règlement Général sur la Protection des Données (RGPD) et, en France, de la Loi Informatique et libertés prenant des conditions supplémentaires. 

Un traitement de données de santé suppose ainsi non seulement de respecter les principes et obligations applicables aux traitements de données personnelles dont les principes essentiels sont la licéité, loyauté, transparence, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation, l’intégrité et confidentialité et la responsabilité, mais, en outre, compte tenu de sa sensibilité, est tenu de remplir l’une des conditions spécifiques pouvant justifier le traitement telles que le consentement, la prise en charge sanitaire ou l’intérêt public sur la base du droit européen ou de l’Etat membre. 

Dans le même sens, il convient de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté, le terme « approprié » renvoyant en matière de santé à de nombreux référentiels sectoriels. 

Le respect de ces différentes exigences s’impose d’autant que le décloisonnement entre l’hôpital et la ville favorise l’échange et le partage des données de santé

En effet, outre les textes en matière de protection des données, tout traitement de données de santé doit s’inscrire dans le respect des conditions légales et réglementaires définies par le code de la santé publique, et les référentiels sectoriels associés, en premier lieu, en matière de sécurité, le référentiel de certification hébergeur de données de santé et les référentiels de la Politique Générale de Sécurité des Systèmes d’Information de Santé. Enfin, il convient de prendre en compte les recommandations concernant la sécurité des autorités régulatrices et ordres professionnels intervenant dans le secteur de la santé (ANS, CNOM) et des agences du secteur numérique (Cnil. ANSSI).  

Le respect de ces différentes exigences s’impose d’autant que le décloisonnement entre l’hôpital et la ville favorise l’’échange et le partage des données de santé, de même qu’une gestion serrée des habilitations et des accès doit accompagner la convergence des systèmes d’information.  

La nécessaire réutilisation des données de santé  

Les données de santé ont longtemps été considérées comme à l’usage exclusif des producteurs de données pour les seuls besoins de la prise en charge de leurs patients, à quelques rares exceptions résiduelles, et plus ou moins clairement définies. En 2018, Cédric Villani a révolutionné cette vision désuète et sclérosante au bénéfice d’un nouveau paradigme fédérateur parfois qualifié de « datasolidarité » : les données de santé financées par la solidarité nationale constituent un patrimoine commun devant être mis au service du patient et du système de santé dans le respect de ses droits et libertés.  

La réutilisation est une nécessité éthique afin que la France et l’Europe restent compétitives en termes de qualité et de sécurité de soins et ainsi que chacun bénéficie d’une médecine prédictive, préventive et participative. La réutilisation est aussi une nécessité économique afin d’offrir à la France une souveraineté industrielle et des relais de croissance.  

Selon que la finalité soit la recherche, ou le développement et l’entraînement d’outils d’intelligence artificielle, il est possible de travailler à partir de données pseudonymisées, c’est-à-dire indirectement identifiantes, ou alors, anonymisées c’est-à-dire ne permettant aucune réidentification de la personne qu’elles concernaient. 

Avant toute réutilisation des données, intervient donc un traitement de pseudonymisation ou un traitement d’anonymisation, chacun d’eux suivant un régime juridique distinct.  

La réutilisation est une nécessité éthique afin que la France et l’Europe restent compétitives en termes de qualité et de sécurité de soins et ainsi que chacun bénéficie d’une médecine prédictive, préventive et participative.

En effet, la pseudonymisation de données ne peut intervenir qu’avec le consentement du patient ou une autorisation de la Cnil, c’est-à-dire le régime applicable à la constitution d’un entrepôt de données de santé.  Tandis qu’un traitement d’anonymisation - à supposer bien sûr que l’anonymisation ne permette ni individualisation ni inférence, ni corrélation - devrait pouvoir être mis en œuvre avec une simple information du patient et son corolaire le droit d’opposition, en l’absence de risques pour les droits et libertés individuelles,  

Dans le second temps, le traitement des données pseudonymisées concernant une personne identifiable, suppose le respect d’une méthodologie de référence de la Cnil ou d’une autorisation, et à tout le moins, une information de la personne concernée, mais aussi de strictes mesures techniques et organisationnelles de sécurité, en particulier limitation d’accès, authentification forte, chiffrement, traçabilité. Il en est ainsi des traitements des données du Health Data Hub.  

Tandis que le traitement de données anonymisées n’emportant aucun risque de réidentification et donc aucun risque pour les personnes, n’est plus soumis au RGPD et peut donc être mis en œuvre sans restriction.  

Il convient donc de libérer l’anonymisation et la réutilisation des données anonymes, au côté de projets plus complexes portant sur des données pseudonymisées.  

Pour conclure, le maître mot du déploiement du numérique en santé doit être et rester l’éthique. Le numérique devant servir l’égalité d’accès géographique et socio-économique, et favoriser la coordination, l’efficience, la sécurité et la qualité des prises en charge. 

Sur l’auteur 

Marguerite Brac de La Perrière, associée du Cabinet Lerins, dispose d’une expertise de pointe en santé numérique, laquelle la place aux confins de deux activités majeures du Cabinet qu’elle complète ainsi, aux côtés de Luc Castagnet, Bertrand Vorms et Bruno Lorit pour la Santé, et aux côtés de Mathilde Croze pour l’IT et la Data.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Racine développe sa pratique private equity

Racine développe sa pratique private equity

Anciennement avocats chez Ayache, Marie Pouget et Mathieu Maroun rejoignent la pratique corporate M&A de Racine. La nouvelle associée et le nouvea...

LMT Avocats compte un nouvel of counsel

LMT Avocats compte un nouvel of counsel

Cyril Croix rejoint le pôle construction de LMT Avocats en qualité d’of counsel.

Le Cabinet Coudray nomme deux associés

Le Cabinet Coudray nomme deux associés

Exerçant respectivement pour le Cabinet Coudray depuis dix et huit ans, Marie Berrezai et Ugo Fekri accèdent à l’association au sein du pôle contrats...

Nouveau président chez Fapes Diffusion

Nouveau président chez Fapes Diffusion

Hervé Tisserand a été nommé à la tête de Fapes Diffusion, cabinet de courtage indépendant spécialisé dans les produits d’assurance, lors de l’assemblé...

La loi Sapin 3 pour bientôt

La loi Sapin 3 pour bientôt

Depuis cinq ans, la loi Sapin 2 représente un pilier de la lutte anticorruption en France, celle-ci ayant conduit à deux avancées majeures pour la pro...

N. Hubert (Milleis Banque): "Milleis est en très bonne place pour les années à venir"

N. Hubert (Milleis Banque): "Milleis est en très bonne place pour les années à venir"

Rencontre avec Nicolas Hubert, le directeur général de la plus jeune banque privée de la Place. Retour sur 2020, perspectives 2021, satisfaction clien...

Lacourte Raquin Tatar complète son offre en contentieux des affaires

Lacourte Raquin Tatar complète son offre en contentieux des affaires

Après douze ans d’exercice, François de Bérard quitte Darrois Villey Maillot Brochier où il avait commencé sa carrière pour rejoindre Lacourte Raquin...

Étroite collaboration entre Legal Suite et Osidoc

Étroite collaboration entre Legal Suite et Osidoc

L’éditeur de logiciels juridiques Legal Suite propose dorénavant à ses clients entreprises un outil pour générer automatiquement leurs contrats, docum...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte