Data en santé : la sécurité avant tout

Les aspects juridiques tout comme les perspectives d’exploitation qu’offrent les données de santé « sensibles » imposent non seulement de sécuriser leur stockage mais aussi et surtout d’encadrer strictement leur utilisation.

Il y a quelques mois, le service national de santé (NHS) britannique faisait face à une cyberattaque provoquée par WannaCry, ce « rançongiciel » qui rend inutilisables les fichiers d’un ordinateur et demande une rançon à son utilisateur. Résultat : des dossiers médicaux temporairement inaccessibles, des patients détournés vers d’autres hôpitaux, des informations devenues illisibles… Une crise sans précédent pour un certain nombre d’établissements de santé britanniques, touchés en raison d’ordinateurs qui n’avaient pas reçu des mises à jour de sécurité.

En France, rares furent les hôpitaux concernés, ce qui témoigne de l’efficacité des mesures de sécurité adoptées par les établissements de l’Hexagone. Il faut dire que, depuis 2012, la certification de la Haute Autorité de santé (HAS), requise pour tous les hôpitaux, inclut des critères de sécurisation des systèmes informatiques. Ce qui n’empêche pas les attaques : en 2016, le ministère de la Santé a dénombré plus de 1 341 attaques informatiques, tous types et tous niveaux de gravité confondus, contre des établissements de santé.

La plupart de ces attaques n’ont eu que des conséquences minimes, mais ce n’est pas toujours le cas. Aux Etats-Unis, en 2016, selon un rapport de l’entreprise américaine Proténus, près de 27 millions de dossiers médicaux ont été affectés par des fuites de données.

Dès l’instant où vous avez livré une information personnelle qui circule de manière dématérialisée, par définition, la probabilité que l’information soit diffusée contre votre gré est forte car elle peut fuiter. Et la première source de cette fuite est l’être humain, fautif de n’avoir pas mis en place des systèmes de sécurité adaptés. Le risque est toujours présent à partir du moment où on ouvre un accès en donnant un mot de passe… Une chose est sûre : toutes les fuites de Data récentes étaient liées à une erreur humaine. Il s’agissait de failles humaines et non de failles technologiques,

explique Philippe Boulanger. Et de poursuivre :

La dérive serait de voir ces informations/data se retourner contre vous… Par exemple, des assureurs qui augmenteraient vos contrats d’assurance sachant que, selon vos données, vous présentez un quelconque facteur de risque médical… Il convient donc de toujours bien réglementer l’utilisation des Data et de sanctionner fortement tous types de dérives.

Des informations codées

En France, la valeur de la donnée de santé est tout aussi bien éthique, morale que financière. C’est pourquoi, à l’Hôpital comme ailleurs, la consultation d’un dossier médical est soumise à de nombreuses règles de confidentialité. Toute donnée communiquée à une personne extérieure à l’Hôpital (ex. un laboratoire de biologie) doit être chiffrée, comprenez codée. Pour renforcer cette sécurité dans le partage des informations, les médecins libéraux sont vivement invités à ne pas utiliser leur messagerie traditionnelle mais à privilégier les deux protocoles de chiffrement désormais utilisés par les hôpitaux et les établissements de santé de ville (laboratoires, centres d’imagerie…).

Du fait de la sensibilité des données exploitées, il a été décidé que le big data serait hébergé dans le système d’information hospitalier de l’établissement. L’établissement de santé abrite et gère donc les données qu’il génère, surtout s’il s’agit de données issues de la recherche et de protocoles thérapeutiques. Cette sécurisation répond à un droit des patients. C’est aussi une attente forte de la part des professionnels de santé qui n’acceptent de partager les données concernant leurs patients qu’avec la certitude qu’elles seront gardées confidentielles, à savoir hébergées en toute sécurité au sein de l’établissement de santé (accès très restreint).

Un fichier national des données de santé

Entré en vigueur il y a tout juste quatre mois, le système national des données de santé (SNDS) est une immense base de données, inédite en Europe, regroupant les informations de santé de plus 65 millions de Français. De quoi améliorer les connaissances en matière de prise en charge et élargir le champ des recherches en santé.

Créé par la loi de modernisation de notre système de santé, le « Système national des données de santé » (SNDS) regroupe les principales bases de données de santé publiques existantes. Le SNDS vise l’amélioration les connaissances sur la prise en charge médicale et l’élargissement du champ des recherches, des études et évaluations dans le domaine de la santé. L’objectif : assurer la gestion des données de santé et élargir leur mise à disposition.

Feuilles de soins, consultations, achats de médicaments ou hospitalisation : quatre types de données seront regroupés dans le SNDS. Chaque année, près d’un milliard d’actes médicaux seront ainsi envoyés dans cette base anonymisée de données. Si, dans un premier temps, le SNDS mettra en relation les données de l’Assurance-maladie et celles des hôpitaux, à partir de 2018, de nouvelles informations y seront ajoutées comme les causes de décès, les informations sur un handicap ou les données concernant le remboursement des mutuelles. Les données seront conservées pendant 20 ans maximum et seront ensuite archivées pendant 10 ans.

La Cnil, garante de la sécurité et des accès

Et, si du côté du ministère de la Santé, on avance « une modernisation et une simplification de l’accès aux données », plusieurs médecins craignent une possible commercialisation des données. Et ce, malgré les garde-fous établis par la CNIL qui délivrera toutes les autorisations d’accès. Ainsi, les entreprises productrices de produits de santé et les assureurs en santé devront soit passer par un bureau d’études ou un organisme de recherche indépendant, soit démontrer que les modalités techniques d’accès ne permettent en aucun cas d’utiliser le SNDS pour des finalités interdites, définies dans la loi.

Alors qui aura accès à ces données de santé ? Les autorités sanitaires, les centres de recherche ou de lutte contre certaines maladies auront un accès direct et permanent. A noter que d’autres organismes (associations de consommateurs, universités etc.) pourront y accéder entièrement ou partiellement après en avoir fait la demande à l’Institut des données de santé. Géré par la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS), le SNDS renfermera des données « pseudo-anonymisées » afin de préserver la vie privée des personnes. En d’autres termes : aucun nom, prénom, adresse, ni numéro de sécurité sociale ne seront mentionnés.

On y trouvera : le sexe, le mois et l’année de naissance, le lieu de résidence du patient ; les informations médico-administratives (par exemple, les informations relatives aux affections de longue durée (ALD) et aux maladies professionnelles) ; les prestations prises en charge par l’Assurance-maladie et les complémentaires santé (mutuelles).

La création d’un institut national des données de santé

La loi a confié la responsabilité du traitement des données à la Caisse nationale de l’assurance maladie des travailleurs salariés (Cnamts), tandis qu’un Institut national des données de santé (INDS) a succédé au groupement d’intérêt public « Institut des données de santé » (GIP-IDS, mis en place en 2007) afin de devenir le guichet unique pour l’accès aux données.

L’INDS regroupe aussi bien des acteurs privés que publics du secteur de la santé. Au nombre de ses membres on compte l’Etat, les Caisses Nationales d’Assurance Maladie, l’Union Nationale des Organismes d’Assurance Maladie Complémentaire (UNOCAM) et l’Union Nationale des Professionnels de Santé (UNPS), l’Union Nationale des Régimes Spéciaux (UNRS), UNICANCER, ou encore la CNSA (Caisse nationale de solidarité pour l’autonomie).

L’INDS a pour mission de s’assurer de la cohérence et de la qualité des systèmes d’information mais aussi de mettre à disposition de ses membres des données issues des systèmes d’information à des fins de gestion du risque maladie ou pour des préoccupations de santé publique. Ces données sont précieuses, notamment pour conduire des études épidémiologiques.

«Investir en priorité dans notre système d’informations»

L’information est un formidable outil pour envisager une organisation hospitalière et un système de santé toujours plus performants, innovants, efficients. Encore faut-il adopter une politique cohérente en termes de gouvernance, de moyens et de stratégie de développement. Pour mieux appréhender ces enjeux, Innov’Asso est allé à la rencontre de Cédric Arcos, délégué général adjoint de la Fédération Hospitalière de France.

Les termes Data ou Big Data sont aujourd’hui à la mode. Ils sont régulièrement avancés au point d’apparaître comme la base de toute organisation ambitieuse. Comment expliquez-vous la place prépondérante prise par ces Data dans le fonctionnement des structures hospitalières et peut-on parler de révolution ?

Cédric Arcos : Le terme de révolution me semble tout à fait approprié car il traduit un changement radical qui s’opère avec la collecte et l’analyse des Data. Ces données vont, en effet, avoir un impact réel sur l’organisation des soins et sur notre capacité à toujours mieux répondre aux besoins des patients. Autrement dit, en collectant et en analysant les données, nous sommes aujourd’hui en mesure de construire des organisations de santé et des stratégies de santé publique beaucoup plus en phase avec les besoins du patient. Concrètement, grâce aux Data, nous renforçons nos connaissances sur les profils de pathologies selon les territoires. Les Data et toutes les informations qu’elles renferment sont des moteurs de la recherche, de l’innovation et de la connaissance.

Pouvez-vous comprendre les inquiétudes liées à l’émergence des Data et l’importance de celles-ci dans la prise de décision ?

C. A. : Il faut raison garder. Ce qui est certain, c’est qu’il y a, à l’heure actuelle, un effet de mode. On a l’impression que tout d’un coup émerge une nouvelle mine de données. Or, les Data ce n’est pas l’alpha et l’omega. C’est d’abord et avant tout un instrument au service d’une politique, un outil d’aide à la décision, au management, à la recherche, à la gestion et à une compréhension plus fine des choses. Les Data ouvrent de nouvelles possibilités et autorisent des capacités de perception, de compréhension, de définition de stratégies dont nous ne disposions pas jusqu’à présent. Au regard de ces enjeux, c’est un outil qu’il convient de sécuriser afin d’éviter toute dérive. Notre pays en est conscient et c’est pourquoi il existe déjà toute une réglementation en vigueur. Cette réglementation définit les logiques d’accès, d’anonymisation et de partage de l’information.

La meilleure exploitation des Data constitue-t-elle, comme certains l’affirment, un enjeu dépassant le seul cadre de la structure hospitalière ?

C. A. : Ce qui est certain, c’est que les Data et leur maîtrise constituent un enjeu fondamental pour la France en termes de compétitivité, d’indépendance nationale et de valorisation du savoir faire français à l’étranger. Notre pays dispose de systèmes d’information et de bases de données parmi les plus riches au monde. Pour les exploiter, il importe donc de penser toute une stratégie industrielle globale, des acteurs de santé jusqu’aux entreprises, incluant le développement d’une intelligence artificielle propre à la France. N’oublions pas que les Data sont des données extrêmement puissantes sur le plan économique et qu’elles vont nous permettre d’accéder à un niveau supérieur en termes de recherche et d’innovation. La France doit être autonome et ambitieuse en la matière !

Une meilleure prise en compte de ces données va de pair avec l’intervention de différents acteurs aux compétences propres (professionnels de santé, politiques, techniciens…) Comment faciliter la coordination de toutes ces compétences spécifiques ?

C. A. : L’essor des Data appelle, en effet, le développement de nouveaux métiers pour toujours mieux appréhender ces données et les exploiter efficacement. Une fois encore, c’est par une politique globale, comportant notamment un volet de support et de formation aux nouveaux métiers, que la France et son système de santé pourront prendre le leadership. A cet égard, la France est en avance dans la mise en place de métiers spécifiques aux Data. Il faut en la matière que chacun reste à sa place tout en mettant son expertise au profit de l’autre. Les professionnels de santé sont là pour exploiter ou pour guider l’utilisation des données, et non pas pour construire les bases d’exploitation. Mais j’insiste sur le fait que toutes ces données ne veulent rien dire par elles-mêmes et qu’il s’agit d’un outil parmi d’autres pour améliorer notre système de soins.

L’un des acteurs-clés de ce système de soins est le patient. Comment le rassurer face à la circulation des données de santé et lui permettre de participer à ce développement numérique ?

C. A. : C’est une question fondamentale qui impose deux règles : d’une part, la transparence sur la collecte et l’utilisation des données. Rien n’est pire que le flou en la matière. C’est pourquoi je me réjouis du fonctionnement de la CNIL et de toutes les autorités de régulation qui existent aujourd’hui. Il est important d’associer les usagers et les patients à ces éléments de définition de la stratégie politique. Mais il faut les associer tout en leur montrant les garanties que l’on peut apporter. Les décisions qui sont prises doivent être le résultat d’un juste équilibre entre un besoin de transparence, de sécurisation et une nécessité d’utilisation, d’innovation, de mise en relation de données. Seul le politique est capable d’orchestrer cette interface. C’est pourquoi la seconde règle essentielle concerne la gouvernance. Je ne crois pas, à titre personnel, à un système gouverné depuis Paris où les mêmes règles sont fixées pour tous. Il faut faire confiance aux acteurs de terrain. Le bon échelon de décision est le territoire de santé. C’est à ce niveau qu’une convergence et une harmonisation doivent s’opérer.

La multiplication des interlocuteurs comme la nécessité de toujours mieux communiquer entre les structures hospitalières imposent un langage, une volonté commune. Comment mieux harmoniser les procédures autour des Data et s’assurer d’un système d’informations performant ?

C. A. : Faire converger les procédures est un objectif important. Cela renvoie à une question fondamentale qui est la gouvernance de ce système d’informations. En découle un autre paramètre important : l’investissement [dans ledit système d’informations]. Or, la France n’investit pas assez dans son système d’informations en santé, ce qui devrait pourtant être prioritaire. Investir, c’est non seulement se donner les moyens d’avoir une base de données, mais aussi tout faire pour disposer d’un système d’exploitation et des systèmes d’informations qui communiquent pour pouvoir partager la donnée. A cet égard, la mise en place des Groupements Hospitaliers de Territoire constitue une véritable opportunité pour penser des stratégies territoriales en matière de système d’information, supportées par un plan d’investissement à la hauteur des enjeux. Le Président de la République a annoncé sa volonté d’investir 5 milliards d’euros dans la santé et il faut espérer que l’enjeu du système d’information fasse partie des priorités.

 

À retenir

Les cyberattaques en France et dans le monde ont sensibilisé les acteurs de santé à la nécessité de sécuriser le stockage des données et d’encadrer strictement leur utilisation. A l’Hôpital comme ailleurs, la consultation d’un dossier médical est soumise à de nombreuses règles de confidentialité. Toute donnée communiquée à une personne extérieure à l’Hôpital doit être chiffrée. Toutes ces Data ont révolutionné dans le fonctionnement des structures hospitalières. Pour bien encadrer ces changements, le système national des données de santé (SNDS) est entré en vigueur récemment. Il s‘agit d’une immense base de données, inédite en Europe, regroupant les informations de santé de plus 65 millions de Français. Si, dans un premier temps, le SNDS mettra en relation les données de l’Assurance-maladie et les données des hôpitaux, à partir de 2018, de nouvelles informations y seront ajoutées comme les causes de décès, les informations sur un handicap ou les données concernant le remboursement des mutuelles. La Cnil est garante de la sécurité et des accès à ces données.

Avez-vous trouvé ce dossier utile ?

Oui

Non


Pour favoriser le partage de savoir et d'expérience
Pour favoriser le partage de savoir et d'expérience
Innov'Asso est un dispositif d'accompagnement des associations de patients créé par Roche en 2012. Il vous permet le partage d'expériences entre pairs via un site internet et une rencontre annuelle sous le signe de l'innovation.

Créez votre boite à outils Innov'Asso

Vous êtes un représentant d'association de patients ? Cet espace vous est réservé.

Il donne accès à une boite à outils personnalisée pour vous accompagner dans vos missions et vos projets associatifs. Il vous permet également de suivre les actualités et les événements Innov'Asso. Rejoignez les 70 associations déjà inscrites.

Accédez à votre espace

Mot de passe oublié

5e Journée Innov’Asso

Quand ? Mardi 29 novembre 2016

Où ? À la Maison de la Mutualité à Paris

Quoi ? Une journée de réflexion et d’échange autour de solutions innovantes au service du parcours de santé

Je m'inscris !

*Champs obligatoires

Choisissez l'atelier auquel vous souhaitez participer :

Développer des solutions innovantes pour identifier et/ou répondre aux points de ruptures du parcours de santé des patients ?

Découvrir et apprendre les bonnes pratiques de conception pour des applications santé qui fonctionnent vraiment !

Comprendre les risques et les opportunités du big data pour une association de patients.

X