Les frontières de la cybersanté

Lits connectés, robots chirurgicaux, dossier médical partagé… Des appellations venues tout droit du futur – mais déjà usitées pour certaines – et des technologies qui supposent le brassage des données relatives à la santé des patients. Comment les régulateurs vont-ils assurer la sécurisation de cette data et, par là même, le respect de la vie privée des malades sans freiner le progrès numérique ? Éléments de réponse.

Lits connectés, robots chirurgicaux, dossier médical partagé… Des appellations venues tout droit du futur – mais déjà usitées pour certaines – et des technologies qui supposent le brassage des données relatives à la santé des patients. Comment les régulateurs vont-ils assurer la sécurisation de cette data et, par là même, le respect de la vie privée des malades sans freiner le progrès numérique ? Éléments de réponse.

Être accueilli par des bornes interactives, scanner sa carte de sécurité sociale, accéder à son carnet de santé numérique, voilà à quoi ressemble le cheminement d’un patient qui entre dans l’hôpital universitaire d’Aarhus au Danemark. Hyperconnecté, cet établissement, qualifié par les observateurs envieux d’« hôpital du futur », est le résultat de restructurations sanitaires d’ampleur entreprises par le pays il y a une dizaine d’années. Le but ? Privilégier les courts séjours et moderniser le secteur grâce à un système d’information hospitalier innovant (SIH). Actuellement, le Danemark dépense plus de 5 milliards d’euros pour équiper 14 « super-hôpitaux » avec ce dispositif. Rien de surprenant quand on sait que le pays fait partie des plus avancés en matière de santé connectée. En France, le budget alloué à la santé numérique et sa sécurisation n’est clairement pas le même, mais des tentatives de modernisation ont déjà été amorcées.
 

Mesures de sécurité indispensables

« Compte tenu de la sensibilité des données de santé à caractère personnel, des mesures “appropriées” doivent être mises en place pour les sécuriser, lesquelles relèvent largement de référentiels sectoriels, pose d’emblée Marguerite Brac de la Perrière, avocate à la tête du département droit de la santé numérique chez Lexing Alain Bensoussan Avocats. Ces mesures portent notamment sur les conditions d’hébergement, les procédures d’habilitation, les moyens d’identification et d’authentification, et la traçabilité des conditions d’intervention à distance sur des systèmes d’information de santé. » À l’échelle nationale, la politique générale de sécurité des systèmes d’informations de la santé élaborée par l’État et le Code de santé publique définit des mesures destinées à garantir la confidentialité des données récoltées dans les systèmes d’informations de santé des établissements de soins. En pratique, ces mesures s’avèrent compliquées à mettre en place. En raison de leur coût, mais aussi parce qu’il est difficile de sensibiliser tous les professionnels de santé (médecins, infirmiers, aides-soignants, laborantins…) à la sécurité numérique. « Face au coût et à la complexité que peuvent représenter de telles mesures, il faut trouver un juste équilibre entre les besoins opérationnels et les contraintes », expose Thomas Dautieu, directeur adjoint de la conformité à la Commission nationale de l’informatique et libertés (Cnil). Des dispositions pourtant indispensables pour Marguerite Brac de La Perrière, qui rappelle que « l’accès au dossier médical d’un patient doit être réservé à la seule équipe de soins à des fins de prise en charge médicale et ne concerner que les données strictement nécessaires à cette prise en charge. En dehors de la sphère médico-sociale, l’accès aux données de santé d’une personne suppose le recueil de son consentement, lequel doit être libre, éclairé et univoque ».

« Le Danemark dépense plus de 5 Md€ pour équiper 14 super-hôpitaux »

Sur le plan européen, le Règlement général sur la protection des données (RGPD), récemment entré en vigueur, définit de manière large les données de santé et oblige les professionnels du secteur à organiser une politique de protection de ces informations. C’est la raison pour laquelle le nombre de data protection officers (DPO) augmente progressivement dans les établissements de soins. Par ailleurs, conscients du retard des textes législatifs et réglementaires sur l’innovation sanitaire, les régulateurs, comme la Cnil et l’Agence nationale de sécurité du médicament (ANSM), incitent les établissements détenteurs de données de santé à davantage de prudence.

Régulation pragmatique

Dans le domaine de la santé, l’intervention des régulateurs demeure inégale. Le secteur pharmaceutique ne fait pas partie de leurs priorités. Et pour cause, la réglementation y afférente, comme celle relative à la mise sur le marché des médicaments, est déjà très fournie. Mais en matière de santé numérique, la donne change et les autorités de régulation possèdent une plus grande marge de manœuvre : « Les technologies innovantes et les nouveaux usages se développent à une vitesse folle dans le secteur de la santé numérique, ils ne sont donc que partiellement encadrés par des dispositions législatives ou réglementaires. Ce droit souple relève de référentiels sectoriels, de délibérations, de bonnes pratiques et de recommandations qu’il convient d’appliquer », poursuit l’avocate. Autrement dit, face aux lacunes de la loi, les autorités de régulation ont une carte à jouer.

Par exemple, pour prévenir le piratage informatique des dispositifs médicaux connectés, l’ANSM a mis en place un comité scientifique chargé d’émettre des recommandations relatives à la cybersécurité. Pour renforcer son action, le régulateur travaille main dans la main avec la Cnil. « La Cnil, en lien avec l’ANSM, va produire un référentiel sur la façon dont les professionnels doivent appliquer les recommandations en matière de pharmacovigilance, illustre pour l’autorité administrative Thomas Dautieu. Il s’agit d’une activité consistant à enregistrer et à évaluer les effets secondaires, en particulier indésirables, résultant de l’utilisation de médicaments. » Ce référentiel, qui a vocation à s’appliquer à l’ensemble des professionnels, aborde des questions essentielles de sécurité, notamment celles relatives à la durée de conservation des données des patients. La Cnil intervient par ailleurs directement auprès des acteurs censés assurer leur sécurisation : elle accompagne les DPO des établissements de soins et œuvre auprès des concepteurs de logiciels recueillant la data.

« Coconstruire le droit de la santé numérique »

Les autorités n’œuvrent pas seules. « La commission travaille étroitement avec le ministère de la Santé pour que, le plus en amont possible, les questions de protection des données soient intégrées dans la production des textes et mesures futurs », souligne le directeur adjoint de la Cnil. Les publications régulières de guides, de référentiels, de documents de travail et de recommandations ont pour objectif de renforcer ces actions de terrain. Les agences régionales de santé (ARS) veillent, elles aussi, au travers de leur stratégie nationale « e-santé 2020 », à accompagner les acteurs du système de soins dans le virage numérique et à ce que la France reste à la pointe en matière d’innovation. À la fois régulateurs et financeurs du système de santé en région, les ARS s’appliquent à conjuguer santé et numérique pour développer une médecine connectée, au travers d’un plan « big data ». « L’avis des professionnels de santé est important pour que l’action des régulateurs soit efficace, conclut Thomas Dautieu. Il faut coconstruire le droit en la matière. » La Cnil s’applique notamment à ajuster ses textes avec les organisations professionnelles du secteur.

Les données de 1,6 million de patients

À mesure que les innovations fleurissent, la santé numérique avance. Emmanuel Macron a récemment présenté le projet « Ma santé 2022 » destiné à transformer en profondeur le système de santé français. Autre avancée significative : la mise en application du carnet de santé numérique, le dossier du patient devenant digital. Autant de nouvelles mesures qu’il est impératif de sécuriser.

« L’avis des professionnels de santé est important pour que l’action des régulateurs soit efficace. »

Cela sonne comme une évidence : « Un hôpital ne peut pas se permettre de perdre ses données de santé », rappelle Thomas Dautieu. Certains établissements, pourtant, ont déjà fait les frais de cyberattaques d’envergure visant les informations de leurs patients. En 2016, le partenariat entre DeepMind, une entreprise d’intelligence artificielle appartenant à Google à Londres, et le service de santé britannique a été vivement critiqué. Et pour cause : la société s’était vu transmettre les données de 1,6 million de patients des hôpitaux londoniens du National Health Service (NHS), le système de santé publique du Royaume-Uni. Un an plus tard, le logiciel malveillant WannaCry semait la panique en piratant les données des personnes ayant séjourné dans une quinzaine d’hôpitaux londoniens. Un préjudice pour les malades lesquels auraient pu, par exemple, se voir refuser un prêt si leur établissement bancaire avait eu connaissance de leur état de santé au-delà de ce qu’ils avaient déclaré lors de leur demande de prêt.

L’ombre des Gafam

Il faut cependant garder à l’esprit que certaines informations ne sont pas forcément préjudiciables pour l’individu. « Dans cet écosystème cohabitent des données très sensibles et des données dites de bien-être, lesquelles ne relèvent pas nécessairement du même régime juridique », explique Marguerite Brac de la Perrière. La frontière entre les données de santé à caractère personnel et les données de bien-être est parfois ténue. La qualification des données doit être appréciée au cas par cas pour identifier le régime applicable », complète-t-elle.

Les plus pessismistes craignent que les géants du numérique s'approprient les données de santé

Pour faciliter notre quotidien, la santé numérique fera nécessairement partie de notre futur. Les plus pessimistes sont tourmentés et craignent que les géants du numérique (Google, Appel, Facebook, Amazon, Microsoft), les fameux Gafam, s’approprient nos données de santé. Amazon vient d’ailleurs de lancer un nouveau service d’analyse des dossiers médicaux… Une avancée technologique aussi bienvenue qu’inquiétante.

Marine Calvo

Retrouvez ici les interviews d'Isabelle Falque-Pierrotin, présidente de la Cnil et de Thomas Dautieu, directeur adjoint à la Cnil.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Données de santé : les régulateurs face aux défis de l'innovation

Le 28 novembre dernier, Le Monde attaquait en justice la Commission d’accès aux documents administratifs (Cada) afin d’obtenir judiciairement des dossiers que le quotidien considère « d’intérêt public » appartenant à LNE/G-MED, une entreprise qui contrôle les dispositifs médicaux. Pour justifier son refus de communiquer ces pièces, l’autorité administrative avait invoqué la nouvelle loi sur le secret des affaires. Ce manque de transparence est l’occasion de s’interroger sur le pouvoir des régulateurs et la portée de leur intervention. Après le secteur de la finance, (lire Décideurs ­Juridiques, octobre 2018, n°13, page 18), nous nous focalisons sur celui de la santé numérique, second volet de notre série consacrée au rôle des régulateurs dans l’innovation. Plongée dans les arcanes de l’hôpital du futur.
Sommaire Isabelle Falque-Pierrotin : « La Cnil se positionne comme un régulateur accompagnant l'innovation » Thomas Dautieu : « Le secteur de la santé est celui qui a désigné le plus grand nombre de DPO »
Échapper aux lieux communs

Échapper aux lieux communs

Dans la nuit du samedi 18 au dimanche 19 mai, une partie des locaux de Dassault situés à Saint-Cloud, dans les Hauts-de-Seine, faisaient l’objet d’un...

T. Touffut (Descartes Underwriting) : "les solutions du secteur de l’assurance doivent être améliorées"

T. Touffut (Descartes Underwriting) : "les solutions du secteur de l’assurance doivent être amélioré...

Spécialisé dans le développement de nouveaux produits d’assurance dédiés aux catastrophes naturelles, Descartes Underwriting, lauréat du Challenge Fin...

G.Dard (Montpensier Finance) : "Donald Trump s’impatiente devant les tergiversations chinoises"

G.Dard (Montpensier Finance) : "Donald Trump s’impatiente devant les tergiversations chinoises"

La pause des banques centrales dans leur politique de resserrement monétaire et la poursuite des discussions sino-américaines peuvent-ils faire oublie...

De Pardieu Brocas Maffei nomme une nouvelle associée

De Pardieu Brocas Maffei nomme une nouvelle associée

Le cabinet coopte une nouvelle associée fiscaliste : Priscilla van den Perre.

Enthémis : une fusion pour une offre complète

Enthémis : une fusion pour une offre complète

Cinq avocats bien installés se sont associés pour offrir à leurs clients un panel de services.

E. Cosserat (Perial) : "Les incertitudes liées au Brexit redistribuent les cartes"

E. Cosserat (Perial) : "Les incertitudes liées au Brexit redistribuent les cartes"

Avec une collecte de 2,085 Md€ au premier trimestre 2019, les SCPI ont le vent en poupe. Faut-il s'en inquiéter ? Comment les sociétés de gestion s'ad...

Interprofessionnalité : une première conférence pour les métiers du droit

Interprofessionnalité : une première conférence pour les métiers du droit

Quatre syndicats professionnels (avocats, notaires, conseils en propriété industrielle et experts-comptables) organisent le 8 juillet un événement pou...

Bernard Arnault, l'homme qui vaut 100 milliards de dollars

Bernard Arnault, l'homme qui vaut 100 milliards de dollars

Le PDG de LVMH a commencé sa carrière à 25 ans dans l’entreprise familiale. 45 ans plus tard, le voilà à la tête de la plus grosse fortune d’Europe. C...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message