Lits connectés, robots chirurgicaux, dossier médical partagé… Des appellations venues tout droit du futur – mais déjà usitées pour certaines – et des technologies qui supposent le brassage des données relatives à la santé des patients. Comment les régulateurs vont-ils assurer la sécurisation de cette data et, par là même, le respect de la vie privée des malades sans freiner le progrès numérique ? Éléments de réponse.
Les frontières de la cybersanté
Être accueilli par des bornes interactives, scanner sa carte de sécurité sociale, accéder à son carnet de santé numérique, voilà à quoi ressemble le cheminement d’un patient qui entre dans l’hôpital universitaire d’Aarhus au Danemark. Hyperconnecté, cet établissement, qualifié par les observateurs envieux d’« hôpital du futur », est le résultat de restructurations sanitaires d’ampleur entreprises par le pays il y a une dizaine d’années. Le but ? Privilégier les courts séjours et moderniser le secteur grâce à un système d’information hospitalier innovant (SIH). Actuellement, le Danemark dépense plus de 5 milliards d’euros pour équiper 14 « super-hôpitaux » avec ce dispositif. Rien de surprenant quand on sait que le pays fait partie des plus avancés en matière de santé connectée. En France, le budget alloué à la santé numérique et sa sécurisation n’est clairement pas le même, mais des tentatives de modernisation ont déjà été amorcées.
Mesures de sécurité indispensables
« Compte tenu de la sensibilité des données de santé à caractère personnel, des mesures “appropriées” doivent être mises en place pour les sécuriser, lesquelles relèvent largement de référentiels sectoriels, pose d’emblée Marguerite Brac de la Perrière, avocate à la tête du département droit de la santé numérique chez Lexing Alain Bensoussan Avocats. Ces mesures portent notamment sur les conditions d’hébergement, les procédures d’habilitation, les moyens d’identification et d’authentification, et la traçabilité des conditions d’intervention à distance sur des systèmes d’information de santé. » À l’échelle nationale, la politique générale de sécurité des systèmes d’informations de la santé élaborée par l’État et le Code de santé publique définit des mesures destinées à garantir la confidentialité des données récoltées dans les systèmes d’informations de santé des établissements de soins. En pratique, ces mesures s’avèrent compliquées à mettre en place. En raison de leur coût, mais aussi parce qu’il est difficile de sensibiliser tous les professionnels de santé (médecins, infirmiers, aides-soignants, laborantins…) à la sécurité numérique. « Face au coût et à la complexité que peuvent représenter de telles mesures, il faut trouver un juste équilibre entre les besoins opérationnels et les contraintes », expose Thomas Dautieu, directeur adjoint de la conformité à la Commission nationale de l’informatique et libertés (Cnil). Des dispositions pourtant indispensables pour Marguerite Brac de La Perrière, qui rappelle que « l’accès au dossier médical d’un patient doit être réservé à la seule équipe de soins à des fins de prise en charge médicale et ne concerner que les données strictement nécessaires à cette prise en charge. En dehors de la sphère médico-sociale, l’accès aux données de santé d’une personne suppose le recueil de son consentement, lequel doit être libre, éclairé et univoque ».
« Le Danemark dépense plus de 5 Md€ pour équiper 14 super-hôpitaux »
Sur le plan européen, le Règlement général sur la protection des données (RGPD), récemment entré en vigueur, définit de manière large les données de santé et oblige les professionnels du secteur à organiser une politique de protection de ces informations. C’est la raison pour laquelle le nombre de data protection officers (DPO) augmente progressivement dans les établissements de soins. Par ailleurs, conscients du retard des textes législatifs et réglementaires sur l’innovation sanitaire, les régulateurs, comme la Cnil et l’Agence nationale de sécurité du médicament (ANSM), incitent les établissements détenteurs de données de santé à davantage de prudence.
Régulation pragmatique
Dans le domaine de la santé, l’intervention des régulateurs demeure inégale. Le secteur pharmaceutique ne fait pas partie de leurs priorités. Et pour cause, la réglementation y afférente, comme celle relative à la mise sur le marché des médicaments, est déjà très fournie. Mais en matière de santé numérique, la donne change et les autorités de régulation possèdent une plus grande marge de manœuvre : « Les technologies innovantes et les nouveaux usages se développent à une vitesse folle dans le secteur de la santé numérique, ils ne sont donc que partiellement encadrés par des dispositions législatives ou réglementaires. Ce droit souple relève de référentiels sectoriels, de délibérations, de bonnes pratiques et de recommandations qu’il convient d’appliquer », poursuit l’avocate. Autrement dit, face aux lacunes de la loi, les autorités de régulation ont une carte à jouer.
Par exemple, pour prévenir le piratage informatique des dispositifs médicaux connectés, l’ANSM a mis en place un comité scientifique chargé d’émettre des recommandations relatives à la cybersécurité. Pour renforcer son action, le régulateur travaille main dans la main avec la Cnil. « La Cnil, en lien avec l’ANSM, va produire un référentiel sur la façon dont les professionnels doivent appliquer les recommandations en matière de pharmacovigilance, illustre pour l’autorité administrative Thomas Dautieu. Il s’agit d’une activité consistant à enregistrer et à évaluer les effets secondaires, en particulier indésirables, résultant de l’utilisation de médicaments. » Ce référentiel, qui a vocation à s’appliquer à l’ensemble des professionnels, aborde des questions essentielles de sécurité, notamment celles relatives à la durée de conservation des données des patients. La Cnil intervient par ailleurs directement auprès des acteurs censés assurer leur sécurisation : elle accompagne les DPO des établissements de soins et œuvre auprès des concepteurs de logiciels recueillant la data.
« Coconstruire le droit de la santé numérique »
Les autorités n’œuvrent pas seules. « La commission travaille étroitement avec le ministère de la Santé pour que, le plus en amont possible, les questions de protection des données soient intégrées dans la production des textes et mesures futurs », souligne le directeur adjoint de la Cnil. Les publications régulières de guides, de référentiels, de documents de travail et de recommandations ont pour objectif de renforcer ces actions de terrain. Les agences régionales de santé (ARS) veillent, elles aussi, au travers de leur stratégie nationale « e-santé 2020 », à accompagner les acteurs du système de soins dans le virage numérique et à ce que la France reste à la pointe en matière d’innovation. À la fois régulateurs et financeurs du système de santé en région, les ARS s’appliquent à conjuguer santé et numérique pour développer une médecine connectée, au travers d’un plan « big data ». « L’avis des professionnels de santé est important pour que l’action des régulateurs soit efficace, conclut Thomas Dautieu. Il faut coconstruire le droit en la matière. » La Cnil s’applique notamment à ajuster ses textes avec les organisations professionnelles du secteur.
Les données de 1,6 million de patients
À mesure que les innovations fleurissent, la santé numérique avance. Emmanuel Macron a récemment présenté le projet « Ma santé 2022 » destiné à transformer en profondeur le système de santé français. Autre avancée significative : la mise en application du carnet de santé numérique, le dossier du patient devenant digital. Autant de nouvelles mesures qu’il est impératif de sécuriser.
« L’avis des professionnels de santé est important pour que l’action des régulateurs soit efficace. »
Cela sonne comme une évidence : « Un hôpital ne peut pas se permettre de perdre ses données de santé », rappelle Thomas Dautieu. Certains établissements, pourtant, ont déjà fait les frais de cyberattaques d’envergure visant les informations de leurs patients. En 2016, le partenariat entre DeepMind, une entreprise d’intelligence artificielle appartenant à Google à Londres, et le service de santé britannique a été vivement critiqué. Et pour cause : la société s’était vu transmettre les données de 1,6 million de patients des hôpitaux londoniens du National Health Service (NHS), le système de santé publique du Royaume-Uni. Un an plus tard, le logiciel malveillant WannaCry semait la panique en piratant les données des personnes ayant séjourné dans une quinzaine d’hôpitaux londoniens. Un préjudice pour les malades lesquels auraient pu, par exemple, se voir refuser un prêt si leur établissement bancaire avait eu connaissance de leur état de santé au-delà de ce qu’ils avaient déclaré lors de leur demande de prêt.
L’ombre des Gafam
Il faut cependant garder à l’esprit que certaines informations ne sont pas forcément préjudiciables pour l’individu. « Dans cet écosystème cohabitent des données très sensibles et des données dites de bien-être, lesquelles ne relèvent pas nécessairement du même régime juridique », explique Marguerite Brac de la Perrière. La frontière entre les données de santé à caractère personnel et les données de bien-être est parfois ténue. La qualification des données doit être appréciée au cas par cas pour identifier le régime applicable », complète-t-elle.
Les plus pessismistes craignent que les géants du numérique s'approprient les données de santé
Pour faciliter notre quotidien, la santé numérique fera nécessairement partie de notre futur. Les plus pessimistes sont tourmentés et craignent que les géants du numérique (Google, Appel, Facebook, Amazon, Microsoft), les fameux Gafam, s’approprient nos données de santé. Amazon vient d’ailleurs de lancer un nouveau service d’analyse des dossiers médicaux… Une avancée technologique aussi bienvenue qu’inquiétante.
Marine Calvo
Retrouvez ici les interviews d'Isabelle Falque-Pierrotin, présidente de la Cnil et de Thomas Dautieu, directeur adjoint à la Cnil.
