II. UNE UTILISATION SECONDAIRE DES DONNÉES DE SANTÉ ENCORE TROP LABORIEUSE
A. UN PARCOURS D'ACCÈS ENCORE TROP LONG
Les circuits de demandes d'accès aux données de santé peuvent être décrites par le schéma ci-après.
Schématisation du circuit des demandes d'accès aux données de santé
Source : Rapport annuel du Health Data Hub 2022
1. Les conditions procédurales
a) L'accès standard
L'accès aux données de santé est encadré par le règlement général sur la protection des données (RGPD)59(*), par le code de la santé publique et par loi dite « Informatique et Libertés »60(*). Les procédures diffèrent selon que le traitement de donnée a ou non des finalités de recherche et, parmi les traitements ayant des finalités de recherche, selon que la recherche implique ou non la personne humaine. Cette dernière catégorie désigne les recherches qui sont réalisées à l'aide du corps humain et qui conduisent au développement des connaissances biologiques et médicales.
Les recherches n'impliquant pas la personne humaine, sous le régime de la loi santé de 2016, imposaient le dépôt d'un dossier à l'INDS, chargé de vérifier sa complétude et l'intérêt public de la demande de recherche. L'INDS transmettait ensuite le dossier sous sept jours au Cerees, chargé de rendre un avis sur l'éthique et la méthodologie de recherche dans un délai d'un mois, préalablement à l'autorisation de la Cnil, disposant quant à elle d'un délai renouvelable de deux mois.
La loi de 2019 a remplacé l'INDS par la Plateforme des données de santé dans la fonction de secrétariat pour le dépôt des demandes et le Cerees par le Cesrees, à qui incombe la mission de se prononcer sur l'intérêt public des projets de recherche. Saisi par le secrétariat de la Plateforme, il « émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s'il y a lieu, sur la pertinence scientifique et éthique du projet ».61(*) Il peut également être saisi par le ministre de la santé ou la Cnil et doit rendre son avis dans un délai d'un mois.
Schéma de la procédure applicable
aux recherches n'impliquant pas
la personne humaine depuis la loi OTSS de
2019
Source : Adèle Lutun
Les recherches impliquant la personne humaine ont ceci de particulier qu'elles requièrent, aux termes de la loi Jardé de 2012, l'avis favorable d'un comité de protection des personnes (CPP) avant saisine de la Cnil. La juriste Adèle Lutun relève justement que l'absence de mention, dans les missions des CPP, du contrôle de l'intérêt public des projets qui leur sont soumis témoigne d'une forme de retard pris par la procédure applicable aux RIPH sur les autres types de recherche depuis qu'ont été votées les lois de 2016 et de 201962(*), et introduit surtout une source de complexité pour les acteurs de la recherche.
Les autres traitements de données de santé, ceux n'ayant pas de finalités de recherche, doivent respecter un certain nombre d'exigences complexes. Il s'agit d'abord, outre de présenter un intérêt public, de respecter les finalités du SNDS. Le code de la santé publique prohibe ainsi les projets ayant pour objectif la promotion de produits pharmaceutiques ou l'exclusion d'une couverture assurantielle des individus présentant un même risque. Les industriels et les assureurs sont ainsi tenus de démontrer que les traitements de données souhaités s'y conforment, ou de recourir à un intermédiaire pour réaliser le traitement - ce que la majorité d'entre eux font.
Le responsable de traitement est en outre tenu à certaines obligations de transparence, consistant par exemple à transmettre à la Plateforme une déclaration d'intérêts en rapport avec l'objet du traitement. Cette exigence de transparence n'est toutefois pas dépourvue d'« angles morts »63(*), relatifs à l'absence d'obligation de ce type pesant sur les recherches impliquant la personne humaine, ou à l'accès aux données du SNDS via un entrepôt.
D'une manière générale, les différentes hypothèses d'accès aux données de santé sont donc assez complexes, et exigent donc des porteurs de projets qu'ils se dotent de compétences pointues pour les guider dans les procédures appropriées, lesquelles appelleront sans doute une mise en cohérence par voie législative.
L'accès aux données de santé pour la recherche en Allemagne
En Allemagne, il n'existe à ce jour pas de plateforme à l'échelle fédérale permettant d'accéder à l'ensemble des données de santé à des fins de recherche. La stratégie de numérisation présentée en mars 2023 vise à établir, d'ici 2025, « un point d'accès national aux données de santé pour les acteurs de la recherche ou du domaine de la santé publique, permettant de relier les données de santé et de soins provenant de différentes sources (ePA, données de routine, données d'études, etc.) ».
La création du centre de données de recherche (Forschungsdatenzentrum Gesundheit - FDZ), qui devrait être opérationnel dans le courant de l'année 2023, constitue une première étape en ce sens.
Dès que le FDZ sera opérationnel, la demande d'accès aux données pourra être déposée par voie électronique. Le demandeur devra démontrer de manière compréhensible que le volume et la structure des données demandées sont appropriés et nécessaires pour répondre à la question à étudier. Il devra s'engager à veiller, lors du traitement des données, à ne pas faire référence à des personnes ou des prestataires de soins, à mettre en oeuvre des mesures techniques et organisationnelles appropriées garantissant la protection des données des personnes concernées et à n'utiliser les données qu'aux fins pour lesquelles elles ont été rendues accessibles.
Après vérification de l'ensemble des critères (identité, but, nécessité, périmètre, engagements du demandeur), le FDZ devra statuer sur chaque demande dans un délai de trois mois. La procédure ne prévoit pas l'intervention d'une commission d'éthique. En cas de réponse positive à la demande d'accès, le FDZ mettra à la disposition du demandeur les données sous forme agrégée et anonymisée ou, lorsque la nécessité a été démontrée, les données individuelles pseudonymisées. Seules les personnes soumises à l'obligation de secret médical, prévu par l'article 203 du code pénal, ou les personnes tenues au secret par FDZ avant d'accéder aux données, pourront accéder aux données pseudonymisées64(*). Les données seront mises à disposition dans un environnement virtuel sécurisé.
La stratégie de numérisation du secteur de la santé fixe l'objectif de 300 projets de recherche réalisés ou initiés grâce aux données de santé du FDZ d'ici la fin de l'année 2026.
b) Les procédures simplifiées
· Les accès permanents
Le code de la santé publique renvoie au pouvoir réglementaire l'énumération des « services de l'État, des établissements publics ou des organismes chargés d'une mission de service public autorisés à traiter des données à caractère personnel du système national des données de santé pour les besoins de leurs missions »65(*).
La liste des organismes titulaires d'un accès permanent au SNDS et les modalités d'exercice de cet accès ont ainsi été fixées par décret en 2016, et actualisées en 202166(*). La partie réglementaire du code de la santé publique prévoit que ces organismes « tiennent à jour la liste et les caractéristiques des projets portant sur des données individuelles du système national des données de santé et mis en oeuvre dans le cadre de l'autorisation de traiter ces données dont ils bénéficient », laquelle est transmise et publiée par la Plateforme des données de santé.
Elle fixe en outre la profondeur historique maximale de
l'accès, qui peut être de cinq, neuf ou dix-neuf ans plus
l'année en cours, ainsi que la catégorie de données
auxquelles les différentes structures peuvent
accéder
- ensemble des données du SNDS,
échantillons généralistes avec croisement des identifiant
potentiels, données semi-agrégées ou
agrégées présentant un risque résiduel de
réidentification.
Les structures bénéficiant d'un accès permanent au SNDS
- La direction de la recherche, des études, de l'évaluation et des statistiques
- La direction générale de la santé
- La direction générale de l'offre de soins
- La direction de la sécurité sociale
- Le secrétariat général des ministères sociaux
- La direction du budget
- Le service de santé des armées
- Les agences régionales de santé
- Les caisses nationales des régimes de l'assurance maladie obligatoire
- Les organismes locaux et régionaux de l'assurance maladie obligatoire
- La Caisse nationale de solidarité pour l'autonomie
- La Haute Autorité de santé
- L'Autorité de sûreté nucléaire
- L'Agence nationale de santé publique
- L'Agence nationale de sécurité du médicament et des produits de santé
- L'Agence de biomédecine
- L'Institut de radioprotection et de sûreté nucléaire
- L'Institut national du cancer
- L'Établissement français du sang
- L'Agence technique de l'information sur l'hospitalisation
- L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux
- La Plateforme nationale des données de santé
- L'Institut de recherche et documentation en économie de la santé
- L'Institut national d'études démographiques
- L'Observatoire français des drogues et toxicomanies
- Le Haut Conseil pour l'avenir de l'assurance maladie
- Le Fonds de financement de la couverture maladie universelle
- Les observatoires régionaux de la santé
- Les unions régionales de professionnels de santé
- Les équipes de recherche de l'Institut national de la santé et de la recherche médicale
- Les équipes de recherche des centres hospitaliers universitaires et des centres de lutte contre le cancer
- Les équipes de recherche et de formation de l'Ecole des hautes études en santé publique
- L'Institut national de la statistique et des études économiques
- L'Agence centrale des organismes de sécurité sociale
- Les équipes de recherche du Centre national de la recherche scientifique dans le cadre de projets intéressant la santé publique
- Les équipes de recherche de l'Institut national de recherche en informatique et en automatique dans le cadre de projets intéressant la santé publique
- La Cour des comptes
Légende : en gras, les structures ajoutées à la liste par le décret de 2021 ; en souligné, les acteurs bénéficiant d'un accès pour 19 ans plus l'année en cours, en italique ceux qui bénéficient d'un accès à 9 ans plus l'année en cours ; les autres bénéficient d'un accès de 5 ans plus l'année en cours.
Le projet d'élargissement de cette liste a dans un premier temps suscité quelques réticences de la part du régulateur. Dans son avis sur le projet de décret de 2021, la Cnil relevait « que la profondeur historique d'accès ainsi que la typologie des données concernées ont été substantiellement modifiées afin d'accroître considérablement cet accès, sans pour autant que des justifications particulières, pour certains organismes, aient été fournies pour faire évoluer le périmètre de leurs accès », et que « plusieurs organismes ont omis, dans la fiche justificative qu'ils ont transmise, de préciser le nombre d'utilisateurs concernés et/ou de décrire les modalités de gestion de leurs habilitations ». Elle appelait par conséquent l'administration à s'assurer que l'accès est « réellement nécessaire et que l'organisme justifie avoir déployé les mesures de sécurité, d'information ou d'organisation adaptées aux risques que représente cette mise à disposition »67(*).
La mission appelle à présent à laisser aux acteurs le temps nécessaire à l'appropriation des nouvelles règles avant d'envisager une éventuelle extension de la liste des bénéficiaires d'un accès permanent.
· Les référentiels et méthodologies de référence
Les articles 66 et 73 de la loi informatique et libertés prévoient, respectivement dans le cas général d'un traitement de données ou d'un traitement ayant une finalité de recherche, que l'autorisation de la Cnil n'est exigée qu'à défaut de déclaration de conformité à un référentiel ou à une méthodologie de référence, établis en concertation avec la Plateforme des données de santé.
La Cnil a publié à ce jour trois référentiels et six méthodologies de référence, synthétisés dans le tableau ci-après.
|
Dénomination |
Objet |
Texte de référence |
|
Référentiels encadrant le traitement de données hors recherche |
||
|
RS-01 |
Gestion des vigilances sanitaires |
Délibération n° 2019-057 du 9 mai 2019 |
|
RS-03 |
Référentiel « accès précoce » |
Délibération n° 2022-107 du 22 septembre 2022 |
|
RS-04 |
Référentiel « accès compassionnel » |
Délibération n° 2022-106 du 22 septembre 2022 |
|
Méthodologies de
référence encadrant les traitements de données de
santé |
||
|
MR-001 |
Recherches dans le domaine de la santé avec recueil du consentement. Il s'agit plus précisément des recherches interventionnelles, y compris les recherches à risques et contraintes minimes, des essais cliniques de médicaments et des recherches nécessitant la réalisation d'un examen des caractéristiques génétiques. |
Délibération n° 2018-153 du 3 mai 2018 |
|
MR-002 |
Études non interventionnelles de performances concernant les dispositifs médicaux de diagnostic in vitro |
Délibération n° 2015-256 du 16 juillet 2015 |
|
MR-003 |
Recherches dans le domaine de la santé sans recueil du consentement. Il s'agit plus précisément des recherches non interventionnelles et des essais cliniques de médicaments par grappe. L'information individuelle des patients est obligatoire. |
Délibération n° 2018-154 du 3 mai 2018 |
|
MR-004 |
Recherches n'impliquant pas la personne humaine, études et évaluations dans le domaine de la santé. Il s'agit plus précisément des études ne répondant pas à la définition d'une recherche impliquant la personne humaine, en particulier les études portant sur la réutilisation de données. |
Délibération n° 2018-155 du 3 mai 2018 |
|
MR-005 |
Études nécessitant l'accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières |
Délibération n° 2018-256 du 7 juin 2018 |
|
MR-006 |
Études nécessitant l'accès aux données du PMSI par les industriels de santé |
Délibération n° 2018-257 du 7 juin 2018 |
Source : Cnil
La révision des méthodes de référence peut avoir un impact direct sur la complexité de l'accès aux données. Le projet de mise à jour des méthodologies de référence MR-005 et MR-006, qui sont destinées respectivement aux établissements de santé et fédérations d'une part, et aux industriels de santé d'autre part, prévoit ainsi : l'élargissement du périmètre relatif aux responsables de traitement concernés, à la nature des données traitées et aux modalités d'accès aux données du SNDS, la modification de la profondeur historique et de la durée d'accès, le renforcement de la transparence des traitements mis en oeuvre, et l'introduction d'une nouvelle exigence, à savoir l'obtention d'un avis expressément favorable du Cesrees.
Projet d'actualisation des méthodologies de référence MR-005 et MR-006 soumis à consultation publique jusqu'en février 2022
|
Thèmes |
MR |
Version actuelle |
Projet soumis à consultation |
|
Acteurs concernés |
MR-005 |
Établissements de santé + 5 fédérations hospitalières |
Élargissement aux responsables de traitement justifiant que le traitement est nécessaire à l'exécution d'une mission d'intérêt public (ex : universités, autres fédérations...) |
|
MR-006 |
Personnes produisant ou commercialisant des produits mentionnés au II du 5311-1 du code de la santé publique |
Élargissement aux responsables de traitement justifiant que le traitement visé est nécessaire à la poursuite d'un intérêt légitime, à l'exclusion des assureurs et des mutuelles |
|
|
Nature des données |
MR-005 |
PMSI fourni par l'ATIH ou résumé de passage aux urgences |
SNDS dit « historique » (PMSI, SNIIRAM, CépiDC, MDPH) + résumé de passage aux urgences |
|
MR-006 |
PMSI fourni par l'ATIH |
||
|
Modalités d'accès |
MR-005 |
Via le portail de l'ATIH |
Soit via le portail de l'ATIH, de la Cnam, ou du Centre d'accès sécurisé aux données (CASD), soit via une bulle sécurisée |
|
MR-006 |
Par l'intermédiaire d'un laboratoire de recherche ou d'un bureau d'études sur une solution sécurisée |
Soit via le portail de l'ATIH, de la Cnam, ou du Centre d'accès sécurisé aux données (CASD), soit via une bulle sécurisée |
|
|
Avis du Cesrees |
MR-005 |
Pas d'obligation |
Avis expressément favorable requis |
|
MR-006 |
|||
|
Profondeur d'historique |
MR-005 |
Profondeur historique maximale de 9 ans plus l'année en cours |
Profondeur historique maximale de 5 ans |
|
MR-006 |
|||
|
Durées d'accès |
MR-005 |
Durée d'accès proportionnelle à la mise en oeuvre du traitement (dans la limite de 2 ans à compter de la dernière publication relative aux résultats) |
La durée d'accès ou de conservation ne peut excéder 3 ans à compter de la mise à disposition effective des données. Aucun archivage des données |
|
MR-006 |
Source : Cnil
D'après les auditions de la mission, ces normes sont cependant majoritairement bien connues et identifiées par les acteurs. Leur niveau de maturité varie toutefois en fonction des structures. Afin de faciliter leur diffusion et leur compréhension, des supports ont été publiés ou sont en cours d'élaboration - la Cnil s'apprête à publier par exemple une checklist des éléments de conformité à la MR-004.
Un guide du chercheur et un guide sur les entrepôts de données de santé doivent également être publiés afin d'expliquer les exigences prévues par ces normes, et la Cnil lancera prochainement une concertation large sur les méthodologies de référence afin de recueillir les retours d'expériences et les souhaits de modifications de la part des acteurs.
2. Les obstacles restant à lever
a) Le raccourcissement des délais
Le principal reproche adressé aux modalités d'accès aux données de santé par les acteurs auditionnés par la mission est celui du délai.
Selon le Pr Ségolène Aymé, « les modalités d'accès au SNDS ne sont pas du tout satisfaisantes actuellement et sont de nature à décourager les projets à venir et à mettre en échec des projets déjà financés ». Pour la chercheuse, la réglementation appliquée en France « rend impossible la collaboration avec des équipes américaines si des données doivent nécessairement être partagées, alors que beaucoup d'excellentes équipes obtiennent des financements du NIH américain ».
Les grandes étapes d'un projet de données de santé
Source : Health Data Hub
Les délais observés par les différents organes de contrôle ne semblent pas en cause. La Cnil disposant d'un délai de deux mois, renouvelable une fois, sa décision intervient donc dans un délai maximal de quatre mois. Dès lors que le projet de recherche a reçu un avis favorable du comité de protection des personnes ou du Cesrees, la demande est réputée tacitement autorisée. Or pour l'année 2022, le délai moyen de traitement des demandes d'autorisation par la Cnil est de 66 jours pour les projets de recherche et 58 jours hors recherche - entrepôt, vigilance, accès précoce, etc.
La Cnil a même réussi à adapter ses méthodes de travail pendant la crise sanitaire liée à la covid-19. Une adresse électronique spécifique a permis une préinstruction et une attribution rapide des demandes. En 2021, 54 autorisations sur projets de recherche covid ont été délivrées, dont 46 % ont été traitées en moins de 2 jours et 26 % le jour même.
D'après certains acteurs industriels auditionnés, tel Sanofi, les délais de réponse du Cesrees et de la Cnil sont comparables à ceux requis pour l'accès à des bases de données européennes hors de France, mais beaucoup plus longs que pour les sources de données nord-américaines, dont le modèle d'accès, fondé sur le principe de licences annuelles ou par projet, peut ne prendre que trois à quatre semaines.
Le principal segment du délai est celui de mise à disposition, par la Cnam, des données après autorisation de la Cnil : celle-ci prend en effet dix à douze mois en moyenne, ce qui porte le délai total à environ 18 mois.
De tels délais sont préjudiciables à l'attractivité du territoire pour l'innovation et donc à la place de la France dans la compétition scientifique, aux patients lorsqu'ils retardent l'arrivée sur le marché de molécules innovantes, et plus simplement à l'activité quotidienne de la recherche car il n'est pas rare que des porteurs de projet se découragent ou que des doctorants perdent le bénéfice de leur soutien financier pour n'avoir pu mener à bien leur projet, faute d'obtenir le matériau utile à temps.
Comme le souligne à nouveau le Pr Ségolène Aymé, il conviendrait de « considérer les conséquences éthiques d'une interdiction ». « Or il y a un préjudice à ne pas faire : cela prive les citoyens d'une avancée des connaissances, de l'évaluation d'une nouvelle modalité diagnostique ou thérapeutique, ou de la mise en évidence des effets délétères d'une intervention ou d'une politique. »
D'après l'assurance maladie, ce retard a deux causes principales. D'une part, la complexité des demandes qui lui sont adressées croît, qui exigent des appariements sophistiqués, des tirages d'échantillon de cas témoins, ou bien demandent des extractions de plus en plus lourdes et, de plus en plus souvent, des actualisations annuelles.
D'autre part, le nombre de demandes qui lui sont adressées a connu une hausse spectaculaire en raison des difficultés d'hébergement de la Plateforme des données de santé. En effet, si 37 nouveaux projets de recherche avaient reçu des données préparées par la Cnam en 2018, ils étaient plus d'une centaine en 2020 comme en 2021, et 165 en 2022, sans compter la quarantaine autorisés avant cette date mais exigeant de nouvelles données.
La Cnam n'a pas tort d'avancer que les efforts qu'elle a déjà consentis pour renforcer ses moyens informatiques et humains ne peuvent être poursuivis au-delà d'un certain point puisque la Plateforme des données de santé est vouée à obtenir prochainement l'autorisation de se voir transférer les données du SNDS, ainsi que le prévoit la réglementation.
La mission appelle ainsi à explorer d'autres voies dans la réduction des délais de mise à disposition des données :
- des marges d'industrialisation des procédures internes de la Cnam sont sans doute encore exploitables : l'expert SNDS de la caisse pourrait ainsi rendre son avis sur le périmètre des données plus en amont de la procédure, lors par exemple de l'examen du projet par le Cesrees ;
- la priorisation des projets pourrait être envisagée en fonction de leur intérêt scientifique, le cas échéant en assumant politiquement l'édiction de priorités par aires thérapeutiques ;
- la tarification des données, au moins pour les acteurs privés, pourrait être être un outil de régulation utile, qui sera abordé ultérieurement ;
- les moyens des différents organes pourraient être encore renforcés en toute hypothèse.
· Renforcer les moyens des différents organes de contrôle
La forte impulsion donnée à l'exploitation des données de santé à des fins d'innovation emportant logiquement l'accroissement du nombre de dossiers de recherche déposés, un soutien bien plus important aux organes de contrôle doit être concédé afin de traiter les flux.
Pour l'heure, la Cnil dispose d'un service consacré à l'accompagnement juridique des données de santé, lequel est passé de dix personnes en 2020 à onze en 2022. Le rapport relatif à la politique publique de la donnée de décembre 2020 relevait déjà que « la France a un agent Cnil pour 300 000 habitants. C'est le 3ème ratio le plus bas en Europe. À titre de comparaison, l'Allemagne a 1 agent pour 80 000 habitants, les Pays-Bas ou le Royaume-Uni ont 1 agent pour 90 000 habitants ; la Pologne a un agent pour 150 000 habitants »68(*).
Une remarque analogue pourrait être faite s'agissant du Cesrees. Le décret de 202069(*) prévoit que les membres du Cesrees sont désignés par la Cnam, les ministères sociaux, le Conseil d'État, la conférence des directeurs de CHU ou encore des associations de patients. L'arrêté de 2020 qui compose le Cesrees fait apparaître que l'instance comprend moins de personnes spécialisées en santé publique et épidémiologie que n'en contenait le Cerees70(*). Le niveau d'indemnisation par dossier des membres du comité n'a pas été modifié, à 67 euros, même si le plafond d'indemnisation est certes passé de 3 216 à 4 824 euros par an71(*).
En outre, comme le relève la juriste Adèle Lutun : « Il aurait été pertinent, au vu des thématiques des nouvelles recherches, que des datascientists intègrent le Cesrees et que la recherche industrielle y soit représentée, par l'intégration d'un représentant des laboratoires de recherche et bureaux d'études, qui sont leurs intermédiaires afin d'accéder aux données du SNDS, par exemple »72(*).
Composition du Cesrees
Aux termes du décret du 14 mai 2020, le Cesrees comprend, outre son président :
1° Trois personnalités qualifiées désignées par le ministre chargé de la santé ;
2° Trois personnalités qualifiées désignées par le ministre chargé de la recherche ;
3° Un expert proposé par la Caisse nationale de l'assurance maladie ;
4° Un expert proposé par l'Institut national de la santé et de la recherche médicale ;
5° Un expert proposé par le Centre national de la recherche scientifique ;
6° Un expert proposé par l'Institut national de recherche en informatique et en automatique ;
7° Un expert proposé par l'Institut national de la statistique et des études économiques ;
8° Un expert proposé par la Conférence nationale des directeurs généraux de centres hospitaliers régionaux et universitaires ;
9° Un expert proposé par la Conférence des doyens des facultés de médecine ;
10° Un expert proposé par la Conférence des présidents d'universités ;
11° Un membre du Conseil d'État proposé par son vice-président ;
12° Un représentant du Comité consultatif national d'éthique, proposé par celui-ci ;
13° Un représentant du service interministériel des archives de France, proposé par ce service ;
14° Deux représentants de l'Union nationale des associations agréées d'usagers du système de santé prévue par l'article L. 1114-6, proposés par celle-ci ;
15° Une personne représentant les acteurs privés du domaine de la santé.
b) Les modalités d'appariement
Depuis la loi santé de 2019, l'appariement avec les données du SNDS est possible, outre le cas d'un projet de recherche ponctuel autorisé par la Cnil, pour tout responsable de traitement de données ayant constitué un entrepôt comportant des données du SNDS seules ou appariées avec d'autres données et conforme au référentiel « entrepôts de données de santé » - ou bien, à défaut, ayant obtenu l'autorisation ad hoc de la Cnil à cet effet.
L'appariement proprement dit peut prendre deux formes. Il peut être probabiliste, c'est à dire faisant appel à des variables communes entre les données versées dans le registre et celle du SNDS, ou bien déterministe, c'est-à-dire faisant usage du numéro d'inscription des personnes (NIR) au répertoire national d'identification des personnes physiques (RNIPP), de la date de naissance complète et du sexe ou via la reconstitution du NIR par un tiers tel que la Cnav ou l'Insee.
Un décret dit « décret-cadre NIR » a fixé les catégories d'acteurs autorisés à utiliser le NIR comme identifiant national de santé des personnes « pour leur prise en charge à des fins sanitaires et médico-sociales »73(*).
Catégories d'acteurs autorisés
à faire utilisation du NIR et finalités prévues
par le
« décret-cadre NIR »
|
Finalités des traitements |
Acteurs |
Précisions |
|
Pour le référencement des données de santé au moyen du NIR utilisé en tant qu'identifiant national de santé dans le cadre de la prise en charge des personnes à des fins sanitaires et médico-sociales |
- Professionnels ou organismes concourant à la prévention ou aux soins, service de santé des armées, professionnels et établissements du secteur médico-social ou social - Professionnels constituant une équipe de soins et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée |
Un référentiel, pris sous la forme d'un arrêté pris après avis de la CNIL, doit préciser les conditions juridiques et techniques exigées pour le référencement des données de santé via le NIR. Ce référentiel n'est pas encore paru. |
|
Pour la mise en oeuvre du dossier médical partagé |
La Cnam |
L'identifiant du dossier médical partagé est le NIR utilisé comme INS. |
|
Pour la mise en oeuvre du dossier pharmaceutique |
Le Conseil national de l'ordre des pharmaciens. |
L'identifiant du dossier pharmaceutique est le NIR utilisé comme INS. |
|
Pour les remontées d'informations nominatives vers les organismes d'assurance maladie |
L'ATIH |
|
|
Pour les opérations liées à la facturation et à la prise en charge financière des dépenses de santé |
- Professionnels, établissements qui dispensent à des assurés sociaux ou à leurs ayants droit des actes ou prestations pris en charge par l'assurance maladie - Toute personne concourant à cette activité et à laquelle s'impose l'obligation de secret professionnel |
Parmi les personnes concourant à l'activité de télémédecine, auxquelles s'impose l'obligation de secret professionnel, l'on peut citer les fournisseurs de solutions techniques. |
|
Pour la constitution de fichiers de personnes invitées aux programmes de dépistage des cancers et leur gestion |
Les caisses d'assurance maladie participantes |
|
|
Pour l'identification des professionnels intervenant dans le système de santé aux fins de fiabiliser les données du répertoire partagé de ces professionnels |
L'agence du numérique en santé |
|
|
Pour sa mission de centralisation, d'exploitation et de conservation des informations relatives à la surveillance de l'exposition des travailleurs aux rayonnements ionisants et à leur suivi médical |
L'Institut de radioprotection et de sûreté nucléaire |
|
|
Pour la gestion et le suivi des alertes sanitaires |
- Santé publique France - Les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté conjoint des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés |
Source : Site internet de la Cnil
Or il se trouve que ces possibilités d'exploitation des données de santé par appariement ne sont pas ouvertes à certains acteurs de la recherche manipulant parmi les données les plus riches et matures qui soient, à savoir les gestionnaires de registres épidémiologiques et de cohortes, dont les données ne sont en effet pas anonymisées.
Sans doute les conditions prévues par les textes pourraient-elles être élargies pour permettre à ces équipes de recherche d'utiliser le NIR à des fins de recherche.
c) L'information et le recueil du consentement des patients
L'autre grande catégorie de critiques adressées par la communauté des chercheurs au cadre actuel d'accès aux données de santé est relative aux obligations d'information et de recueil du consentement des patients.
Le consentement des patients recouvre en réalité deux types de dispositions souvent confondues, d'après la Cnil, par les porteurs de projets de recherche : d'une part, le consentement prévu par le code de la santé publique pour la participation à des recherches impliquant la personne humaine74(*) et, d'autre part, le recueil du consentement au sens de la loi dite Informatique et libertés de 1978, qui n'est obligatoire que pour l'examen des caractéristiques génétiques75(*).
En outre, l'obligation d'information des patients présente différentes facettes :
- l'article 69 de la loi informatique et libertés dispose que « les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées » ;
- l'article 71 de la loi informatique et libertés impose à « tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel » de diffuser une information générale sur les dispositions de la sous-section à laquelle se rattache l'article.
Or la multiplication de solutions de stockage de données massives à des fins de recherche rend les procédures rapidement trop lourdes. Les entrepôts de données, créés principalement pour collecter et disposer de données massives alimentées par de multiples sources et pour une longue durée, rendent possible la réutilisation multiple des données issues d'une recherche ponctuelle. Le nouveau responsable de traitement n'en doit alors pas moins respecter les dispositions relatives à l'information des personnes, lesquelles peuvent entraîner des lourdeurs difficiles à gérer pour les établissements, à plus forte raison lorsque les équipes peinent déjà à distinguer les deux types de consentement précédemment mentionnés, et plus largement lorsque, dans les centres de lutte contre le cancer par exemple, la distinction entre les actes de soin et de recherche n'est pas évidente pour les médecins qui pratiquent les deux au quotidien.
Les témoignages ne sont pas rares du renoncement de tel industriel à incorporer les données d'un registre d'une maladie rare aux données du SNDS qu'ils avaient déjà sollicitées, par certitude de retarder l'exploitation des données d'un an en demandant une modification au projet déposé à la Cnil. Ce renoncement amoindrit de beaucoup la pertinence des résultats qui seront obtenus.
En définitive, une clarification et une simplification globale des obligations d'information et de recueil du consentement des patients semble nécessaire
Recommandation n° 4 : Clarifier pour les patients, les praticiens et les établissements de santé, les modalités de consentement à la réutilisation à des fins de recherche des données recueillies dans le cadre des soins
Recommandation n° 5 : Modifier le décret « cadre NIR » pour faciliter l'utilisation du NIR par davantage d'équipes de recherche
Recommandation n° 6 : Afin de réduire les délais d'instruction des demandes, soutenir les moyens des différents organes de contrôle de l'accès aux données (Cnil, Cesrees)
Recommandation n° 7 : Prioriser des dossiers de demande d'accès aux données de santé selon leur intérêt public, apprécié par le Cesrees
* 59 Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
* 60 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 61 Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 62 Adèle Lutun, Le big data en santé, richesse et conditions d'accès, thèse de doctorat de droit privé, présentée et soutenue publiquement le 21 septembre 2021 à l'université de Paris.
* 63 Voir Adèle Lutun, ouvrage précité.
* 64 Datentransparenzverordnung, article 10.
* 65 Article L. 1461-3 du code de la santé publique.
* 66 Décret n° 2021-848 du 29 juin 2021 modifiant le décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé « système national des données de santé ».
* 67 Délibération n° 2020-106 du 29 octobre 2020 portant avis sur un projet de décret relatif au système national des données de santé (demande d'avis n° 20011090).
* 68 Rapport sur la politique publique de la donnée, des algorithmes et des codes sources, remis par M. Éric Bothorel au Premier ministre Édouard Philippe, décembre 2020.
* 69 Décret n° 2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé.
* 70 Arrêté du 26 mai 2020 portant nomination des membres du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé.
* 71 Arrêté du 16 juin 2020 relatif au montant des indemnités susceptibles d'être allouées aux membres du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé et aux experts extérieurs appelés à participer aux travaux du comité.
* 72 Adèle Lutun, ouvrage précité.
* 73 Décret n° 2019-341 du 19 avril 2019 relatif à la mise en oeuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire, pris sur le fondement de l'article L. 1111-8-1 du code de la santé publique.
* 74 Article L. 1122-1-1 du code de la santé publique.
* 75 Article 75 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction issue de l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.