Données de santé, le cœur du numérique en santé : en étau entre impératifs de protection et nécessité d'ouverture | Fieldfisher
Skip to main content
Insight

Données de santé, le cœur du numérique en santé : en étau entre impératifs de protection et nécessité d'ouverture

Locations

France

Le numérique en santé est une évidente nécessité pour une prise en charge plus coordonnée, plus agile, plus efficiente, et personnalisée. Porté par de nouveaux usages et de nouvelles réglementations, il a bénéficié d’une formidable accélération suite à la crise sanitaire, au niveau européen, et au niveau national. Son développement suppose toutefois des arbitrages permanents et délicats entre protection et ouverture des données de santé.

Depuis la crise sanitaire tout particulièrement, la santé numérique est en pleine effervescence, portée par les ambitions européennes et nationales des Etats membres, et des investissements massifs. Les usages ont évolué, de même que la réutilisation des données de santé s’est peu à peu imposée comme une évidente nécessité.

Des conditions fragmentées d’accès aux données de santé

Aussi, les données de santé constituent plus que jamais le cœur du réacteur, à la fois en tant que produit mais aussi en tant que carburant du développement de la santé numérique. En particulier, l’accès aux données de santé est central, tant pour les besoins de la prise en charge des patients que pour ceux de la recherche et de l’innovation. Mais, selon la finalité poursuivie, le contexte de collecte des données, les acteurs souhaitant accéder aux données de santé, les conditions d’accès restent très fragmentées et peu lisibles. De sorte que les industriels de l’innovation, et même les chercheurs peinent souvent à identifier leurs opportunités d’accès et d’utilisation des données. Ce qui freine l’innovation, ou affecte la qualité de l’innovation - lorsqu’intervient un repli vers des bases hors de l’Union Européenne, dont les données peuvent être moins qualitatives ou représentatives.

Toutefois, la structuration et rationalisation des conditions d’accès aux données de santé est en cours, sous l’impulsion de textes européens, et de l’évolution des mentalités et de la doctrine des autorités.

Structuration et rationalisation européennes des conditions d’accès aux données de santé

En effet, la stratégie européenne pour les données [1] vise à un marché unique des données, avec un bénéfice majeur pour les soins de santé : « La médecine personnalisée répondra mieux aux besoins des patients en donnant aux médecins les moyens de prendre des décisions fondées sur des données. »

EU4Health [2] pour la période 2021-2027 a alloué un investissement de 5,3 milliards d’euros au développement du numérique en santé, au renforcement de l’utilisation et de la réutilisation des données de santé pour la fourniture de soins de santé ainsi que la recherche et l’innovation se précisent, et la création d’un espace européen des données de santé. C’est ainsi que la proposition de règlement [3] concernant l’Espace Européen des Données de Santé établit un cadre de partage sécurisé, spécifique à la santé, d’une part pour une utilisation principale des données dans le cadre des soins de santé, et d’autre part pour une utilisation secondaire des données de santé non directement identifiantes dans le cadre de la recherche, l’innovation et la définition des politiques de santé publique.

Dans le sens de l’ouverture des données, le règlement sur la gouvernance des données [4] ou Data Governance Act (DGA), adopté en mai 2022, sera applicable en septembre 2023. Ce texte vise parmi ses objectifs, la réutilisation des données des organismes publics - moyennant des conditions de traitement appropriées et harmonisées en Europe s’agissant des données « hautement sensibles » que sont celles détenues par des acteurs du système de santé publique tels que les hôpitaux publics, et l’altruisme en matière de données permettant la mise à disposition volontaire par les particuliers de données pour le bien commun, dans le cas de projets de recherche médicale par exemple « Nombreuses sont les possibilités offertes par l’utilisation à des fins d’intérêt général de données mises à disposition volontairement par des personnes concernées avec leur consentement (.) », et ce notamment dans les soins de santé.

Sur chacun de ces deux textes, le Comité européen de la protection des données et le Contrôleur européen de la protection des données [5] [6] ont respectivement invité les co-législateurs (Parlement européen et Conseil de l'UE) à clarifier les interactions entre la proposition de règlement et le RGPD afin d’assurer une application cohérente des textes, notamment en ce qui concerne les droits des personnes concernées.
 
S’agissant du DGA, les colégislateurs ont d’ores et déjà précisé que le RGPD prévaudrait en cas de conflit.

S’agissant de l’EHDS [7], les co-légistateurs doivent également, en particulier, mieux délimiter les objectifs poursuivis dans le cadre des usages secondaires des données de santé, en démontrant notamment un lien suffisant avec des enjeux de protection sociale et de santé publique.

Ces considérations invitent ainsi à identifier des critères d’arbitrage entre droits et garanties individuels des personnes concernées d’une part, et réutilisation des données à des fins d’intérêt public d’autre part. Une lourde tâche qui sera pilotée par le consortium mené par le Health Data Hub, choisi par La Commission européenne pour mettre en place un projet pilote de l’Espace européen des données de santé, ayant notamment pour objectif de répondre aux enjeux de l’accès aux données de santé à travers l’Union européenne pour ouvrir de nouvelles perspectives à la recherche et l’innovation.

Le RGPD avait anticipé sur les besoins de réutilisation des données de santé et cet arbitrage l’autorisant à des fins compatibles avec la finalité initiale, sous réserve de garanties appropriées, introduisant la réutilisation des données directement dans les bases de licéité. Pour autant, l’arbitrage tenant à la compatibilité des finalités, et aux garanties appropriées à mettre en œuvre reste subjectif et mal documenté. Lorsque des données identifiantes ne sont pas nécessaires, l’anonymisation apparaît clairement comme une solution à privilégier, son résultat est toutefois susceptible d’interprétation, dès lors que « Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. ». Les contextes et conditions de mise en œuvre de la pseudonymisation à des fins de réutilisation sont encore plus délicats.

Définition de régimes d’accès aux données de santé en France

Dans ce contexte, à partir des textes en vigueur, les autorités relatives à la protection des données s’évertuent de définir des cadres lisibles.

A titre d’exemples, la Cnil a ainsi défini un régime spécifique pour les entrepôts de données de santé, articulé autour de leur constitution d’une part, et de la réutilisation des données d’autre part. Un référentiel adopté le 7 octobre dernier permet à chaque établissement de santé de constituer son entrepôt avec un simple engagement de conformité à celui-ci. Faute d’applicabilité du référentiel aux industriel, ceux-ci peuvent constituer un entrepôt sur la base du consentement, ou d’une autorisation de la Cnil. La petite dizaine d’autorisations obtenues par des acteurs privés, post RGPD, permet de cadrer les conditions à satisfaire : justification de l’intérêt public, information des personnes à plusieurs niveaux, gouvernance stratégique et scientifique….  Dans ce cadre, restent toutefois les contreparties des producteurs de données à préciser, étant rappelé que la cession à titre onéreux des données de santé est proscrite. Un sujet de valorisation épineux, adressé également par le Health Data Hub. Pour chacun des acteurs ayant constitué un entrepôt, les conditions de réutilisation des données sont indépendantes et nécessitent donc non seulement le respect de la ligne stratégique définie, mais aussi la détermination du régime pertinent à mettre en œuvre, telle que MR004 ou autorisation Cnil.

Par ailleurs, la Cnil a précisé les conditions de réutilisation des données par les sous-traitants, fondée sur la compatibilité de la finalité du responsable de traitement et de celle du sous-traitant, et sur une autorisation spécifique du premier au second, sans préjudice de l’information et des droits des personnes.

Entre les régimes institués par les textes, et ceux plus doctrinaux définis, des arbitrages, des zones floues et grises à préciser avec le pragmatisme de mise, compte tenu des enjeux en termes de sécurité, de qualité et d’efficience de la prise en charge sanitaire.

Les points clefs
La conciliation entre d’une part le secret médical et la protection des données, et d’autre part l’ouverture des données pour le bien collectif, est au cœur de tous les projets de santé numérique. La réutilisation des données est une nécessité, supposant toutefois une parfaite maîtrise des textes applicables et la rigoureuse mise en œuvre de garanties appropriées.


[1] Stratégie européenne pour les données 19-02-2020

[2] Règlement 2021-552 établissant un programme d'action de l'Union dans le domaine de la santé pour 2021-2027

[3] Proposition de règlement publié le 3-05-2022

[4] Règlement sur la gouvernance européenne des données adopté en mai 2022

[5] Avis 12-07-2022 EDPB & EDPS sur la proposition d'EHDS

[6] Avis 03-2021 EDPB & EDPS sur la proposition de DGA

[7] Avis 12-07-2022 EDPB & EDPS sur la proposition d'EHDS


Article publié également sur Décideurs Magazine.

Domaines de travail connexes

Life Sciences