UNE GOUVERNANCE À CLARIFIER
I. LA STRUCTURATION PROGRESSIVE D'UNE POLITIQUE DE MODERNISATION DU SYSTÈME DE SANTÉ PAR LE NUMÉRIQUE
A. LA RECHERCHE D'UN ÉQUILIBRE ENTRE OUVERTURE ET PROTECTION DES DONNÉES
1. L'héritage des années 1980 : la constitution de grandes bases de données à des fins administratives et épidémiologiques
La France a été relativement précoce dans l'organisation, en vue de leur bonne gestion et de leur exploitation, des données produites par son système de santé.
C'est l'assurance maladie qui en est à l'origine, avec le système national inter-régimes, lancé en 1977 pour recenser les activités des professionnels de santé au niveau national. Ce système n'utilise alors la nomenclature générale des actes professionnels que pour coder un niveau de prix, ce qui ne permet alors pas de connaître finement les actes par nature. Son perfectionnement progressif donnera naissance en 1999 au système d'information inter-régimes de l'assurance maladie, ou Sniiram.
Le programme de médicalisation des systèmes d'information, ou PMSI, est lancé, lui, par le ministère de la santé en 1982, afin de décrire de façon synthétique et standardisée l'activité médicale des établissements de santé. Il repose sur l'enregistrement de données médico-administratives normalisées dans un recueil standard d'information, et renseigne sur la maladie, les actes réalisés, permet de classer les patients par groupes homogènes de malades, lesquels permettront ensuite de déterminer le niveau de financement des établissements.
Le codage atteint à cette époque un niveau de finesse suffisant pour que les bases soient exploitées à différentes fins. La principale reste toutefois alors, dans le contexte issu des ordonnances dites « Juppé » de 1996, d'améliorer la connaissance de l'activité afin d'optimiser la gestion de l'offre de soins. La loi de financement de la sécurité sociale pour 1999 qui crée le Sniiram ne lui donne d'ailleurs pour finalité que de contribuer à « la connaissance des dépenses de l'ensemble des régimes d'assurance maladie » et à la « transmission en retour aux prestataires de soins d'informations pertinentes relatives à leur activité et leurs recettes, et s'il y a lieu à leurs prescriptions »2(*).
Pionnière également, avec la loi de 1978, dans la protection des libertés individuelles à l'ère du numérique, la France débat toutefois déjà, à cette époque, de la question des usages des données à d'autres fins et des dangers d'une réutilisation mal encadrée, d'autant qu'à la même époque sont envisagées l'informatisation de la déclaration obligatoire des patients atteints du sida et la généralisation de la carte Vitale. Les données du Sniiram, davantage que celles du PMSI, alimentent alors la crainte de la constitution d'une forme de Big Brother3(*).
2. La constitution d'un cadre juridique d'accès aux données
Le cadre juridique de l'accès aux données de santé est élaboré à partir de 1999. Le législateur interdit alors la communication des données de la Cnam et du ministère de la santé « à des fins statistiques d'évaluation ou d'analyses des pratiques et des activités » autrement que sous la forme de statistiques agrégées, sauf autorisation de la Commission nationale de l'informatique et des libertés (Cnil), et sous réserve d'anonymisation dans tous les cas de figure. Nulle doctrine ne précise toutefois les finalités autorisées pour l'usage des données, la Cnil se limitant à vérifier l'existence d'un intérêt public.
Les modalités procédurales diffèrent toutefois selon les données convoitées : au début des années 2000, les demandes d'accès au PMSI, lequel est relativement simple quoique payant pour les acteurs privés, doivent être adressées à l'Agence technique de l'information sur l'hospitalisation (ATIH). Les règles d'accès aux données du Sniiram sont quant à elles fixées par arrêté après leur élaboration au sein du comité d'orientation et de pilotage de l'information inter-régimes (Copiir) associant l'État, les régimes obligatoires de base et les professionnels de santé. Cette complexité relativement plus grande s'explique par les compréhensibles réticences de l'Assurance maladie à ce que d'autres acteurs, notamment privés, n'ayant pas supporté l'investissement de départ de constitution de la base, puisse néanmoins en tirer avantage.
La création de l'institut des données de santé (IDS) par le législateur en 20044(*), dans un contexte de rééquilibrage du risque maladie entre l'assurance obligatoire et les assurances complémentaires, a conduit la Cnam à faire profiter un peu plus largement les acteurs de la santé de ses données.
La loi lui confie le rôle de mettre « à disposition de ses membres, de la Haute Autorité de santé, des unions régionales des médecins exerçant à titre libéral ainsi que d'organismes désignés par décret en Conseil d'État, à des fins de gestion du risque maladie ou pour des préoccupations de santé publique, des données issues des systèmes d'information de ses membres », lesquels sont initialement circonscrits à l'État, la Cnam, les complémentaires santé (Unocam) et les professionnels de santé (UNPS).
Si l'IDS semble compliquer l'accès aux données sur le plan procédural, puisqu'il émet un avis préalable à l'autorisation de la Cnil sur les demandes d'accès au Sniiram, il a en réalité facilité leur exploitation : d'abord car l'arrêté constitutif du GIP lui donne en outre une mission de facilitateur du partage des données et la possibilité d'accepter des nouveaux membres, ce qu'il a fait en s'ouvrant aux associations de patients, aux professionnels de santé et aux fédérations hospitalières ; d'autre part grâce à son rôle proactif et au soutien des pouvoirs publics.
Les objectifs du Sniiram, simultanément, sont diversifiés par arrêté, et l'accès à certaines des composantes de la base, telles les données agrégées et l'échantillon généraliste de bénéficiaires, sont offerts aux membres de l'IDS ainsi qu'à plusieurs organismes publics, comme l'Institut de veille sanitaire, l'Agence française de sécurité sanitaire des produits de santé et le Haut Conseil pour l'avenir de l'assurance maladie, ainsi qu'à certains membres nommés d'organismes de recherche, tels l'Inserm ou le CNRS.
L'IDS a ainsi occupé, dans la gouvernance des données de santé, une position intermédiaire entre la mise en oeuvre et le pilotage stratégique de la politique d'accès aux données5(*), puisqu'il a activement plaidé pour des évolutions juridiques et doctrinales. C'est sous son impulsion que les données hospitalières du PMSI ont été chaînées avec celles du Sniiram pour couvrir à la fois l'hôpital et les soins de ville, que l'historique des données est passé de deux à huit ans plus l'année en cours, et que le chaînage avec les données des régimes complémentaires, sous réserve de signature d'une charte d'engagement, a été rendu possible6(*).
* 2 Article 21 de la loi n° 98-1194 du 23 décembre 1998 de financement de la sécurité sociale pour 1999.
* 3 Voir notamment l'étude historique en deux parties de Chloé Bérut, L'accès aux données de santé en France, chaire PARI, mars 2023.
* 4 Loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie.
* 5 Selon la grille d'analyse proposée par Chloé Bérut, article précité.
* 6 Voir Christian Babusiaux, « L'ouverture des bases de données publiques : le point et les enjeux de santé », dans I2D, information données et documents, vol. 53, 2016/3, pp. 48-50.