Depuis novembre, le débat sur l’ouverture des données de santé bat son plein et la ministre Marisol Touraine l’a répété lors de sa présentation (le 19 juin) de la loi qui sera discutée à l’automne : « Il nous faut prolonger le mouvement d’ouverture des données de santé » tout en insistant sur l’importance des conditions de leur mise à disposition et en particulier celle du respect de la vie privée. La journée organisée par le CSFRS* sur le thème « Ouverture et sécurité des données du domaine santé social » était on ne peut plus d’actualité !

Des données peu exploitées …et pas toujours exploitables !

Ouvrir les données parce qu’il y va de l’intérêt général, du développement économique et que c’est un enjeu de démocratie sanitaire.
Et des données de santé en France, il y en a beaucoup. La mission Etalab qui œuvre pour l’ouverture des données publiques (portail data.gouv.fr) a recensé quelque 260 bases ou jeux de données dans le secteur santé-social. La cartographie est en ligne sur son site depuis le 3 avril dernier. La plupart sont gratuites mais seulement accessibles en ligne ou en PDF. Donc non exploitables. La proportion de bases utilisables est bien moindre.
En France, on a des données mais on les a peu exploitées. Pour différentes raisons. Le système français est cloisonné entre les différents acteurs qui ont monté leur propre base en fonction de leurs propres besoins, sans se soucier par exemple de l’épidémiologie. La France reste un pays à faible usage de données. Mais comme il faut bien savoir pourquoi on décide, fait remarquer le Dr Jean-Luc Gallais, directeur du conseil scientifique de la SFMG (Société française de médecins générale), « l’absence de données a conduit à développer la mode des sondages ».
Ce sont des entreprises privées qui fournissent bien souvent les études nécessaires au secteur public français. Installée à Vannes, Celtipharm, qui analyse en temps réel les ventes de médicaments, est ainsi fournisseur de l’Agence national pour la sécurité du médicament (ANSM) et pratique la veille sur son site « openhealth.fr » ouvert à plusieurs thèmes : grippe, allergie, gastro-entérites et Baclofène, carte des poux. « L’analyse temps réel s’applique au pilotage des situations de rupture et de crise, » explique son président Patrick Guérin. La filiale française de l’américain IMS, premier producteur mondial de données santé, a pour directeur Jean-Marc Aubert, un ancien de la CNAM. Les bases d’IMS sont structurées alors, fait-il remarquer, que les données publiques sont administratives avec peu de données cliniques. Les réticences vis à vis de l’utilisation du NIR ont compliqué la tâche de la recherche épidémiologique.
Cela fait bien longtemps que les mutuelles et les assurances se plaignent d’être des « payeurs aveugles ». Le délégué général de la Mutualité française, Jean-Martin Cohen-Solal le confirme : « Les données existent. Nous réclamons leur anonymisation. Nous avons besoin de mieux connaître le patient pour rembourser le bon soin au bon tarif. Pas pour sélectionner les risques. Les expérimentations Babusiaux (NDLR : les flux complémentaires étaient envoyées aux complémentaires dans certaines pharmacies) ont plutôt bien marché mais elles ont été arrêtées. L’Institut des données de santé a dix ans mais avec les limites qu’on lui connaît. On ne lui donne pas les pouvoirs qu’il devrait avoir ». Présent lors d’une des tables-rondes, son président Christian Babusiaux a juste précisé que les autorisations d’accès aux données tels que le PMSI et le SNIIRAM étaient données dans l’intérêt des malades et de la santé publique.
Xavier Aimé, chercheur au laboratoire d’ingénierie des connaissances de l’INSERM déplore que les comptes-rendus hospitaliers se révèlent non –utilisables, n’utilisant aucun référentiel, que le PMSI, à vocation économique, n’est pas plus adapté. Il n’a pas été préalablement demandé aux patients l'autorisation d'utiliser leurs données. Et a posteriori, c’est très compliqué voir impossible
Le SNIIRAM n’est pas fait pour ça confirme un ancien de la CNAM TS. On parle d’épidémiologie alors que la donnée n’est pas organisée en fonction de ce type d’étude…

Quelles mesures prendre pour les données indirectement nominatives ?

Pendant ce temps là au ministère de la Santé, un rapport se prépare selon le souhait de la ministre. Philippe Burnel, le délégué à la stratégie des SIS (Système d’information de santé) a rappelé que « la volonté politique c’est l’ouverture sous réserve du respect du droit des patients ». L’open data ne peut donc concerner que des données anonymes. Les données nominatives sont réservées aux professionnels de santé dans un but de soins et les données indirectement nominatives (Type PMSI) présentent un risque fort de mésusage. Parmi les mesures à prendre : anonymiser en appauvrissant les données (on a aussi évoqué l’agrégation de données qui rend la dés-anonymisation quasi impossible) et préserver la traçabilité de l’accès aux données. « Le pire serait toutefois de prendre de mauvaises précautions qui bloquent la recherche sans empêcher les appariements. »
« Le PMSI est ouvert depuis longtemps à la recherche et nous n’avons pas enregistré d’incident », a souligné M. Babusiaux.
Il faudrait sans doute remplacer la défiance par la confiance et avoir un cadre tel que celui qui déroge soit sanctionné. Cette nécessité a été pointée par plusieurs intervenants dont Serge Daël, président de la CADA (commission d’accès aux documents administratifs) : il faut un système de sanction pénale car la garantie est impossible. Enfin, il faut bien voir que tout cela (anonymisation, agrégation, traçabilité…) coûte de l’argent. La volonté du gouvernement est d’ouvrir les données, il n’est pas inscrit que ce doit être gratuitement

L’Europe face à la nouvelle donne du Big Data

Ce qui inquiète davantage la CNIL aujourd’hui, c’est le Big Data santé. En se référant à la définition de la santé de l’OMS qui inclut le bien-être, les données actuellement recueillies par les appareils connectés de la mesure de soi (Quantified self) touchent à la santé. Le projet de règlement européen sur les données à caractère personnel permettra de prendre acte. « Une donnée anonyme c’est bien quand personne ne peut remonter à la personne. On est en Europe et le droit à la protection des données personnelles est un droit fondamental, martèle Sophie Vuillet-Tavernier , directrice des relations avec les publics et la recherche.
y-aura-il les bons élèves et les mauvais ? Les bons comme Orange qui héberge ses données et celles de ses clients sur des serveurs agréés HDS (hébergeur de données de santé) et les sociétés (même d’origine française) qui refusent les plates formes HDS sous prétexte que les données recueillies sont anonymes et que l’essentiel des ventes sont faites à l’international…Orange qui considère que la présence d’un marché régulé pour les données de santé est une chance pour les industriels. Benjamin Sarda a réclamé d’urgence des guidelines sur le Big Data face aux acteurs qui édictent leur propres normes.
Les spécialistes de la sécurité présents ont dit toute la difficulté de leur tâche. Avec une analyse des risques est à reprendre en permanence en fonction des évolutions technologiques. Des lors que des machines communiquent entre elles les possibilités d’intrusion sont multipliées.
Le risque liés aux dispositifs implantables connectés est connu. Il est possible de les pirater et cela a été plusieurs fois démontré, dénonce Philippe Loudenot FSSI (fonctionnaire de sécurité des systèmes d’information) au ministère de la santé qui s’inquiète aussi des sites de vente de médicaments en ligne qui vendent n’importe quoi et des mots de passe collés sur les murs dans les hôpitaux. L'ANMS surveille les DM implantables actifs comme tous les DM dont les objets connectés vendus en pharmacie.
Ce serait un avantage compétitif pour la France d’offrir des systèmes d’information sécurisés, estime André Loth, chef de projet à la DREES ( Direction de la recherche, des études, de l’évaluation et des statistiques) du ministère de la Santé (NDLR : développer des SI hospitaliers de qualité fait partie des objectifs du Plan santé numérique)
Et pendant qu’en France les spécialistes discutent en focalisant peut-être trop sur le problème des données individuelles, les géants mondiaux de l’Internet qui n’ont pas les mêmes scrupules font déjà tourner leurs serveurs et leurs algorithmes…D’où la conclusion de Philippe Baumard, président du conseil scientifique du CSFRS « Nous sommes dans un nouvel écosystème . Et nous n’avons aucune chance de nous battre contre les forces du marché de la donnée de santé. Les modèles épidémiologiques du Big Data seront ailleurs. La bonne stratégie pour la France n’a pas encore émergée. »

*Le Conseil Supérieur de la formation et de la recherche stratégique est un groupement d’intérêt public qui a vocation à dynamiser la recherche stratégique française en faisant se croiser les connaissances et les disciplines. Force de propositions auprès des décideurs, il cherche à identifier les menaces et à trouver les secteurs où la France doit être en pointe. Une trentaine de ministères, de grandes écoles et d’Instituts de recherches et de grandes entreprises en sont membres. Le CSFRS organise des réunions et soutient des projets de recherche interdisciplinaire. www.csfrs.fr