Publications

Création d’un Health Data Hub : quels enjeux en matière de protection des données ?
Publié le 7 octobre 2019

La mise en œuvre d’une stratégie nationale pour l’intelligence artificielle dans le domaine de la santé passe par la collecte des données, leur organisation et la régulation de leurs modalités d’accès et d’utilisation. L’article L1462-1 du Code de la santé publique, issu de la Loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé[1], porte ainsi création d’un groupement d’intérêt public dénommé « Plateforme des données de santé » (ou Health Data Hub).

Cette plateforme vient remplacer l’Institut national des données de santé (INDS) et élargir ses missions, avec pour objectif d’assurer un large partage des données de santé.

 

1.  La création d’une plateforme de données de santé : l’élargissement préalable du Système National de Données de Santé

 

La création du Health Data Huba pour objectif de centraliser les données provenant d’une multitude de sources et dont l’accès sera donné tant aux professionnels de santé publics ou privés, qu’aux acteurs économiques du secteur.

Il s’agit de l’un des aspects les plus importants de la loi : la plateforme a pour vocation de faciliter l’accès à l’ensemble des données de santé, ce qui permettra notamment de développer les recherches scientifiques pour favoriser une meilleure prise en charge du patient ainsi que le développement de l’intelligence artificielle dans le domaine de la santé.

Le Health Data Hubqui a été pensé comme un « guichet unique » aura notamment pour rôle de réunir, d’organiser et de mettre à disposition les données de santé issues d’une multitude sources : le système national des données de santé (SNDS), les dossiers patients des centres hospitaliers, la médecine de ville et les patients eux-mêmes.

Afin de promouvoir l’utilisation et d’accroitre le potentiel d’exploitation des données de santé, aussi bien en recherche clinique qu’en termes de nouveaux usages – et notamment ceux liés au développement des méthodes d’intelligence artificielle – il a été décidé d’étendre le périmètre des données incluses dans le SNDS.

Pour rappel, le SNDS réunissait déjà l’ensemble des grands fichiers médicaux (le SNIIRAM, le PMSI, la BCMD, les données médico-sociales des maisons départementales des personnes handicapées et l’échantillon représentatif des données de remboursement par bénéficiaires transmis par les mutuelles) ; l’article L1461-1 du Code de la santé publique y inclut désormais l’ensemble des données cliniques recueillies par les professionnels de santé dans le cadre de leurs activités et liées aux actes ou prestations remboursés par la sécurité sociale.

A ce titre, la CNIL saisie pour avis a considéré que :

« Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement recueillies par les professionnels de santé en France. Si l’extension prévue dans le projet de loi peut se justifier par des objectifs d’aide à la recherche et à l’innovation dans le domaine de la santé […] la Commission appelle dès maintenant l’attention sur la problématique majeure du respect, en pratique, des principes de limitation des finalités et de minimisation des données par ces nouveaux traitements, évoluant dans un contexte d’accumulation de données pour alimenter les algorithmes d’intelligence artificielle. » [2]

En somme, la création du Health Data Hubqui nécessite un élargissement du SNDS pour permettre un partage plus large des données de santé, doit nécessairement présenter des garanties pour assurer leur protection.

 

2.  L’évolution du système de santé grâce à la production et au partage des données : quelles mesures pour assurer leur protection ?

 

Si les algorithmes ont besoin de beaucoup de données pour apprendre, fonctionner et s’améliorer, l’exploitation des données de santé afin de développer les connaissances scientifiques et médicales ne saurait restreindre la protection de ces données, d’autant qu’elles sont qualifiées de « sensibles ».

C’est ainsi que le fonctionnement du Health Data Hub, par le biais de moyens techniques et organisationnels, devra plus particulièrement respecter (i) les obligations relatives à l’hébergement des données de santé (ii) le référentiel de sécurité du SNDS (iii) le Code de la santé publique et (iv) la règlementation en matière de protection des données à caractère personnel.

En clair, faisant suite à l’avis de la CNIL, le législateur a prévu les mesures de protection suivantes :

  • La définition des règles de partage et de protection par le Conseil d’Etat. Il est nécessaire de définir les règles en matière de production, de partage et de protection des données aux fins d’assurer une bonne utilisation de ces données à des fins diagnostiques et thérapeutiques, de manière sécurisée, et ce dans une relation de confiance avec les personnes concernées[3]. Un décret en Conseil d’Etat, pris après avis de la CNIL, viendra préciser ces règles[4].

À cet égard, la CNIL « estime indispensable que le décret […] précise l’architecture globale et technique [de cette plateforme]dont le cadrage sera réalisé en collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) » et « alerte sur les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées et adaptées aux risques »[5].

  • L’information des personnes concernées. Le consentement de la personne à l’utilisation de ses données ne sera pas nécessaire dans le cadre du fonctionnement de la plateforme. La question de l’information des personnes, qui renvoie à la notion de transparence, est donc centrale : il est absolument nécessaire de délivrer une information aux personnes concernées quant au devenir et au traitement de leurs données, afin qu’elles puissent dans un second temps, le cas échéant, exercer leurs droits.

La CNIL préconisait ainsi que la « Plateforme des Données de Santé devrait se voir confier une mission additionnelle d’information des patients et de promotion et de facilitation de leurs droits, en particulier concernant les droits d’opposition ou, le cas échéant, à la portabilité »[6] .Cette préconisation est consacrée à l’article L1462-1-2° du Code de la santé publique.

  • L’anonymisation des données issues du SNDS. Il sera rappelé que les données du SNDS « qui font l’objet d’une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l’identification, directe ou indirecte, des personnes concernées y est impossible»[7].

 

Le tiers de confiance, chargé de procéder à la réidentification des personnes concernées dans le SNDS, a été supprimé : l’anonymisation des données est complète. Cela, alors que le rapport Villani relevait que « les possibilités de traitement des données médico-administratives du SNDS sont limitées par l’obligation de non-réidentification. Or les capacités d’entraînement des systèmes techniques automatisés dépendent fortement de la qualité des données et de la capacité à suivre le patient dans son parcours de soin »[8].

Concernant les autres données accessibles sur la Plateforme (non issues du SNDS), il n’est donc pas certain qu’elles seront toutes anonymisées, notamment compte tenu des algorithmes de l’intelligence artificielle qui peuvent nécessiter pour être efficaces de données directement ou indirectement identifiantes.

  • L’autorisation de la CNIL pour accéder à la base de données du Health Data Hub.Certaines dispositions de la Loi informatique et libertés ont été modifiées pour prendre acte de la mise en place de la plateforme ; et plus particulièrement son article 76 qui porte création d’un comité éthique et scientifique qui donnera son avis sur le caractère d’intérêt public des études et recherches dans le domaine de la santé, qui conditionne l’autorisation de la CNIL pour accéder à la base de données du Health Data Hub.

***

Fin janvier 2019, un appel à projet a été lancé pour identifier ceux qui pourront bénéficier d’un accompagnement « de bout en bout » pour leur réalisation et contribuer à la constitution du catalogue de données et d’outils du Hub. Au mois d’avril, dix projets ont été retenus et permettront la mise en place progressive du Hub « en s’appuyant sur l’écosystème de la santé »[9].

Il s’agit dans un premier temps de lancer un « produit minimum viable » de la plateforme avec des premiers utilisateurs-tests issus de ces dix projets[10]. D’après la feuille de route du gouvernement, le lancement de la première version de la plateforme avec l’ouverture à tous de l’offre de services du Hub est prévue pour fin 2019.

 

Par Deborah Brimberg

 

Suivez-nous sur Linkedin, Twitter et Facebook

 


[1] Le texte de loi est disponible ici : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038821260&categorieLien=id

[2] Délibération n° 2019-008 du 31 janvier 2019 portant avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé (demande d’avis n° 19001144) https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038142154&fastReqId=177029739&fastPos=1

[3] « Sur l’intelligence artificielle et les données de santé », Rapport de MM. Gérard LONGUET, sénateur et Cédric VILLANI, député, fait au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, n° 401 (2018-2019) présenté le 21 mars 2019  http://www.senat.fr/rap/r18-401/r18-401.html

[4] Article L1461-7 du Code de la santé publique

[5] CNIL, Délibération précitée

[6] CNIL, Délibération précitée

[7] Article L1461-2 du Code de la santé publique

[8] « Donner un sens à l’intelligence artificielle : Pour une stratégie nationale et européenne »,Rapport de Cédric VILLANI présenté en mars 2018 disponible ici : https://www.aiforhumanity.fr/pdfs/9782111457089_Rapport_Villani_accessible.pdf

[9] https://solidarites-sante.gouv.fr/actualites/presse/dossiers-de-presse/article/health-data-hub-annonce-des-laureats-du-premier-appel-a-projets

[10] Stéphanie Combes, Rapport de la mission de préfiguration du Health Data Hub, 12 octobre 2018