Les frontières de la cybersanté

Lits connectés, robots chirurgicaux, dossier médical partagé… Des appellations venues tout droit du futur – mais déjà usitées pour certaines – et des technologies qui supposent le brassage des données relatives à la santé des patients. Comment les régulateurs vont-ils assurer la sécurisation de cette data et, par là même, le respect de la vie privée des malades sans freiner le progrès numérique ? Éléments de réponse.

Lits connectés, robots chirurgicaux, dossier médical partagé… Des appellations venues tout droit du futur – mais déjà usitées pour certaines – et des technologies qui supposent le brassage des données relatives à la santé des patients. Comment les régulateurs vont-ils assurer la sécurisation de cette data et, par là même, le respect de la vie privée des malades sans freiner le progrès numérique ? Éléments de réponse.

Être accueilli par des bornes interactives, scanner sa carte de sécurité sociale, accéder à son carnet de santé numérique, voilà à quoi ressemble le cheminement d’un patient qui entre dans l’hôpital universitaire d’Aarhus au Danemark. Hyperconnecté, cet établissement, qualifié par les observateurs envieux d’« hôpital du futur », est le résultat de restructurations sanitaires d’ampleur entreprises par le pays il y a une dizaine d’années. Le but ? Privilégier les courts séjours et moderniser le secteur grâce à un système d’information hospitalier innovant (SIH). Actuellement, le Danemark dépense plus de 5 milliards d’euros pour équiper 14 « super-hôpitaux » avec ce dispositif. Rien de surprenant quand on sait que le pays fait partie des plus avancés en matière de santé connectée. En France, le budget alloué à la santé numérique et sa sécurisation n’est clairement pas le même, mais des tentatives de modernisation ont déjà été amorcées.
 

Mesures de sécurité indispensables

« Compte tenu de la sensibilité des données de santé à caractère personnel, des mesures “appropriées” doivent être mises en place pour les sécuriser, lesquelles relèvent largement de référentiels sectoriels, pose d’emblée Marguerite Brac de la Perrière, avocate à la tête du département droit de la santé numérique chez Lexing Alain Bensoussan Avocats. Ces mesures portent notamment sur les conditions d’hébergement, les procédures d’habilitation, les moyens d’identification et d’authentification, et la traçabilité des conditions d’intervention à distance sur des systèmes d’information de santé. » À l’échelle nationale, la politique générale de sécurité des systèmes d’informations de la santé élaborée par l’État et le Code de santé publique définit des mesures destinées à garantir la confidentialité des données récoltées dans les systèmes d’informations de santé des établissements de soins. En pratique, ces mesures s’avèrent compliquées à mettre en place. En raison de leur coût, mais aussi parce qu’il est difficile de sensibiliser tous les professionnels de santé (médecins, infirmiers, aides-soignants, laborantins…) à la sécurité numérique. « Face au coût et à la complexité que peuvent représenter de telles mesures, il faut trouver un juste équilibre entre les besoins opérationnels et les contraintes », expose Thomas Dautieu, directeur adjoint de la conformité à la Commission nationale de l’informatique et libertés (Cnil). Des dispositions pourtant indispensables pour Marguerite Brac de La Perrière, qui rappelle que « l’accès au dossier médical d’un patient doit être réservé à la seule équipe de soins à des fins de prise en charge médicale et ne concerner que les données strictement nécessaires à cette prise en charge. En dehors de la sphère médico-sociale, l’accès aux données de santé d’une personne suppose le recueil de son consentement, lequel doit être libre, éclairé et univoque ».

« Le Danemark dépense plus de 5 Md€ pour équiper 14 super-hôpitaux »

Sur le plan européen, le Règlement général sur la protection des données (RGPD), récemment entré en vigueur, définit de manière large les données de santé et oblige les professionnels du secteur à organiser une politique de protection de ces informations. C’est la raison pour laquelle le nombre de data protection officers (DPO) augmente progressivement dans les établissements de soins. Par ailleurs, conscients du retard des textes législatifs et réglementaires sur l’innovation sanitaire, les régulateurs, comme la Cnil et l’Agence nationale de sécurité du médicament (ANSM), incitent les établissements détenteurs de données de santé à davantage de prudence.

Régulation pragmatique

Dans le domaine de la santé, l’intervention des régulateurs demeure inégale. Le secteur pharmaceutique ne fait pas partie de leurs priorités. Et pour cause, la réglementation y afférente, comme celle relative à la mise sur le marché des médicaments, est déjà très fournie. Mais en matière de santé numérique, la donne change et les autorités de régulation possèdent une plus grande marge de manœuvre : « Les technologies innovantes et les nouveaux usages se développent à une vitesse folle dans le secteur de la santé numérique, ils ne sont donc que partiellement encadrés par des dispositions législatives ou réglementaires. Ce droit souple relève de référentiels sectoriels, de délibérations, de bonnes pratiques et de recommandations qu’il convient d’appliquer », poursuit l’avocate. Autrement dit, face aux lacunes de la loi, les autorités de régulation ont une carte à jouer.

Par exemple, pour prévenir le piratage informatique des dispositifs médicaux connectés, l’ANSM a mis en place un comité scientifique chargé d’émettre des recommandations relatives à la cybersécurité. Pour renforcer son action, le régulateur travaille main dans la main avec la Cnil. « La Cnil, en lien avec l’ANSM, va produire un référentiel sur la façon dont les professionnels doivent appliquer les recommandations en matière de pharmacovigilance, illustre pour l’autorité administrative Thomas Dautieu. Il s’agit d’une activité consistant à enregistrer et à évaluer les effets secondaires, en particulier indésirables, résultant de l’utilisation de médicaments. » Ce référentiel, qui a vocation à s’appliquer à l’ensemble des professionnels, aborde des questions essentielles de sécurité, notamment celles relatives à la durée de conservation des données des patients. La Cnil intervient par ailleurs directement auprès des acteurs censés assurer leur sécurisation : elle accompagne les DPO des établissements de soins et œuvre auprès des concepteurs de logiciels recueillant la data.

« Coconstruire le droit de la santé numérique »

Les autorités n’œuvrent pas seules. « La commission travaille étroitement avec le ministère de la Santé pour que, le plus en amont possible, les questions de protection des données soient intégrées dans la production des textes et mesures futurs », souligne le directeur adjoint de la Cnil. Les publications régulières de guides, de référentiels, de documents de travail et de recommandations ont pour objectif de renforcer ces actions de terrain. Les agences régionales de santé (ARS) veillent, elles aussi, au travers de leur stratégie nationale « e-santé 2020 », à accompagner les acteurs du système de soins dans le virage numérique et à ce que la France reste à la pointe en matière d’innovation. À la fois régulateurs et financeurs du système de santé en région, les ARS s’appliquent à conjuguer santé et numérique pour développer une médecine connectée, au travers d’un plan « big data ». « L’avis des professionnels de santé est important pour que l’action des régulateurs soit efficace, conclut Thomas Dautieu. Il faut coconstruire le droit en la matière. » La Cnil s’applique notamment à ajuster ses textes avec les organisations professionnelles du secteur.

Les données de 1,6 million de patients

À mesure que les innovations fleurissent, la santé numérique avance. Emmanuel Macron a récemment présenté le projet « Ma santé 2022 » destiné à transformer en profondeur le système de santé français. Autre avancée significative : la mise en application du carnet de santé numérique, le dossier du patient devenant digital. Autant de nouvelles mesures qu’il est impératif de sécuriser.

« L’avis des professionnels de santé est important pour que l’action des régulateurs soit efficace. »

Cela sonne comme une évidence : « Un hôpital ne peut pas se permettre de perdre ses données de santé », rappelle Thomas Dautieu. Certains établissements, pourtant, ont déjà fait les frais de cyberattaques d’envergure visant les informations de leurs patients. En 2016, le partenariat entre DeepMind, une entreprise d’intelligence artificielle appartenant à Google à Londres, et le service de santé britannique a été vivement critiqué. Et pour cause : la société s’était vu transmettre les données de 1,6 million de patients des hôpitaux londoniens du National Health Service (NHS), le système de santé publique du Royaume-Uni. Un an plus tard, le logiciel malveillant WannaCry semait la panique en piratant les données des personnes ayant séjourné dans une quinzaine d’hôpitaux londoniens. Un préjudice pour les malades lesquels auraient pu, par exemple, se voir refuser un prêt si leur établissement bancaire avait eu connaissance de leur état de santé au-delà de ce qu’ils avaient déclaré lors de leur demande de prêt.

L’ombre des Gafam

Il faut cependant garder à l’esprit que certaines informations ne sont pas forcément préjudiciables pour l’individu. « Dans cet écosystème cohabitent des données très sensibles et des données dites de bien-être, lesquelles ne relèvent pas nécessairement du même régime juridique », explique Marguerite Brac de la Perrière. La frontière entre les données de santé à caractère personnel et les données de bien-être est parfois ténue. La qualification des données doit être appréciée au cas par cas pour identifier le régime applicable », complète-t-elle.

Les plus pessismistes craignent que les géants du numérique s'approprient les données de santé

Pour faciliter notre quotidien, la santé numérique fera nécessairement partie de notre futur. Les plus pessimistes sont tourmentés et craignent que les géants du numérique (Google, Appel, Facebook, Amazon, Microsoft), les fameux Gafam, s’approprient nos données de santé. Amazon vient d’ailleurs de lancer un nouveau service d’analyse des dossiers médicaux… Une avancée technologique aussi bienvenue qu’inquiétante.

Marine Calvo

Retrouvez ici les interviews d'Isabelle Falque-Pierrotin, présidente de la Cnil et de Thomas Dautieu, directeur adjoint à la Cnil.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Données de santé : les régulateurs face aux défis de l'innovation

Le 28 novembre dernier, Le Monde attaquait en justice la Commission d’accès aux documents administratifs (Cada) afin d’obtenir judiciairement des dossiers que le quotidien considère « d’intérêt public » appartenant à LNE/G-MED, une entreprise qui contrôle les dispositifs médicaux. Pour justifier son refus de communiquer ces pièces, l’autorité administrative avait invoqué la nouvelle loi sur le secret des affaires. Ce manque de transparence est l’occasion de s’interroger sur le pouvoir des régulateurs et la portée de leur intervention. Après le secteur de la finance, (lire Décideurs ­Juridiques, octobre 2018, n°13, page 18), nous nous focalisons sur celui de la santé numérique, second volet de notre série consacrée au rôle des régulateurs dans l’innovation. Plongée dans les arcanes de l’hôpital du futur.
Sommaire Isabelle Falque-Pierrotin : « La Cnil se positionne comme un régulateur accompagnant l'innovation » Thomas Dautieu : « Le secteur de la santé est celui qui a désigné le plus grand nombre de DPO »
Une partie d’Axten chez Lamartine Conseil

Une partie d’Axten chez Lamartine Conseil

Ce sont huit associés d’Axten - Julie Degenève, Sophie Gsell, Lionel Hanachowicz, Rémi Hanachowicz, Clyve Monfredo, Benoît Philippe, Maryline Pic-Deho...

Legalstart lance un nouveau service téléphonique

Legalstart lance un nouveau service téléphonique

La legaltech fondée par Timothée Rambaud et Pierre Aïdan il y a six ans propose désormais un service d’information juridique par téléphone pour les en...

Le 16 Law confirme ses ambitions en arbitrage

Le 16 Law confirme ses ambitions en arbitrage

Un an après la nomination de Julie Spinelli en tant qu’associée pour développer la pratique, le cabinet annonce l’arrivée de l’universitaire Denis Mou...

Deux nominations chez Bird & Bird

Deux nominations chez Bird & Bird

Bird & Bird promeut Frédérique Bocqueraz, avocate en droit de la propriété intellectuelle, et Karlyn Desclides, juriste en droit des sociétés, au...

Une ancienne counsel de Gide chez Jeantet

Une ancienne counsel de Gide chez Jeantet

Le cabinet fondé en 1924 à Paris accueille Audrey Kukulski, experte en contentieux financier et en procédures collectives.

S. de Vaulx (SGPB) : "Sécuriser la mise en œuvre d’opérations à forte valeur ajoutée qu’ils entreprennent avec leurs clients"

S. de Vaulx (SGPB) : "Sécuriser la mise en œuvre d’opérations à forte valeur ajoutée qu’ils entrepre...

La banque privée se réinvente, elle tend à s’ouvrir. Non plus seulement aux clients finaux, mais aussi aux conseils indépendants auxquels ces derniers...

Nomination de huit associés chez 14 Pyramides Notaires

Nomination de huit associés chez 14 Pyramides Notaires

L’étude parisienne regroupant plus de 130 professionnels coopte huit associés.

La place du handicap dans les professions du droit

La place du handicap dans les professions du droit

L’association Droit comme un H a présenté ce mardi les résultats de la première enquête sur le sujet. Il en ressort que 72 % des cabinets d’avocats n’...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message