La mise en œuvre d’une stratégie nationale pour l’intelligence artificielle dans le domaine de la santé passe par la collecte des données, leur organisation et la régulation de leurs modalités d’accès et d’utilisation. L’article L1462-1 du Code de la santé publique, issu de la Loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé[1], porte ainsi création d’un groupement d’intérêt public dénommé « Plateforme des données de santé » (ou Health Data Hub).
Cette plateforme vient remplacer l’Institut national des données de santé (INDS) et élargir ses missions, avec pour objectif d’assurer un large partage des données de santé.
La création du Health Data Hub a pour objectif de centraliser les données provenant d’une multitude de sources et dont l’accès sera donné tant aux professionnels de santé publics ou privés, qu’aux acteurs économiques du secteur.
Il s’agit de l’un des aspects les plus importants de la loi : la plateforme a pour vocation de faciliter l’accès à l’ensemble des données de santé, ce qui permettra notamment de développer les recherches scientifiques pour favoriser une meilleure prise en charge du patient ainsi que le développement de l’intelligence artificielle dans le domaine de la santé.
Le Health Data Hub qui a été pensé comme un « guichet unique » aura notamment pour rôle de réunir, d’organiser et de mettre à disposition les données de santé issues d’une multitude sources : le système national des données de santé (SNDS), les dossiers patients des centres hospitaliers, la médecine de ville et les patients eux-mêmes.
Afin de promouvoir l’utilisation et d’accroitre le potentiel d’exploitation des données de santé, aussi bien en recherche clinique qu’en termes de nouveaux usages – et notamment ceux liés au développement des méthodes d’intelligence artificielle – il a été décidé d’étendre le périmètre des données incluses dans le SNDS.
Pour rappel, le SNDS réunissait déjà l’ensemble des grands fichiers médicaux (le SNIIRAM, le PMSI, la BCMD, les données médico-sociales des maisons départementales des personnes handicapées et l’échantillon représentatif des données de remboursement par bénéficiaires transmis par les mutuelles) ; l’article L1461-1 du Code de la santé publique y inclut désormais l’ensemble des données cliniques recueillies par les professionnels de santé dans le cadre de leurs activités et liées aux actes ou prestations remboursés par la sécurité sociale.
A ce titre, la CNIL saisie pour avis a considéré que :
« Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement recueillies par les professionnels de santé en France. Si l’extension prévue dans le projet de loi peut se justifier par des objectifs d’aide à la recherche et à l’innovation dans le domaine de la santé […] la Commission appelle dès maintenant l’attention sur la problématique majeure du respect, en pratique, des principes de limitation des finalités et de minimisation des données par ces nouveaux traitements, évoluant dans un contexte d’accumulation de données pour alimenter les algorithmes d’intelligence artificielle. » [2]
En somme, la création du Health Data Hub qui nécessite un élargissement du SNDS pour permettre un partage plus large des données de santé, doit nécessairement présenter des garanties pour assurer leur protection.
Si les algorithmes ont besoin de beaucoup de données pour apprendre, fonctionner et s’améliorer, l’exploitation des données de santé afin de développer les connaissances scientifiques et médicales ne saurait restreindre la protection de ces données, d’autant qu’elles sont qualifiées de « sensibles ».
C’est ainsi que le fonctionnement du Health Data Hub, par le biais de moyens techniques et organisationnels, devra plus particulièrement respecter (i) les obligations relatives à l’hébergement des données de santé (ii) le référentiel de sécurité du SNDS (iii) le Code de la santé publique et (iv) la règlementation en matière de protection des données à caractère personnel.
En clair, faisant suite à l’avis de la CNIL, le législateur a prévu les mesures de protection suivantes :
À cet égard, la CNIL « estime indispensable que le décret […] précise l’architecture globale et technique [de cette plateforme]dont le cadrage sera réalisé en collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) » et « alerte sur les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées et adaptées aux risques »[5].
La CNIL préconisait ainsi que la « Plateforme des Données de Santé devrait se voir confier une mission additionnelle d’information des patients et de promotion et de facilitation de leurs droits, en particulier concernant les droits d’opposition ou, le cas échéant, à la portabilité »[6] .Cette préconisation est consacrée à l’article L1462-1-2° du Code de la santé publique.
Le tiers de confiance, chargé de procéder à la réidentification des personnes concernées dans le SNDS, a été supprimé : l’anonymisation des données est complète. Cela, alors que le rapport Villani relevait que « les possibilités de traitement des données médico-administratives du SNDS sont limitées par l’obligation de non-réidentification. Or les capacités d’entraînement des systèmes techniques automatisés dépendent fortement de la qualité des données et de la capacité à suivre le patient dans son parcours de soin »[8].
Concernant les autres données accessibles sur la Plateforme (non issues du SNDS), il n’est donc pas certain qu’elles seront toutes anonymisées, notamment compte tenu des algorithmes de l’intelligence artificielle qui peuvent nécessiter pour être efficaces de données directement ou indirectement identifiantes.
Dans le même thème : Le droit d’accès dans le domaine de la santé
Fin janvier 2019, un appel à projet a été lancé pour identifier ceux qui pourront bénéficier d’un accompagnement « de bout en bout » pour leur réalisation et contribuer à la constitution du catalogue de données et d’outils du Hub. Au mois d’avril, dix projets ont été retenus et permettront la mise en place progressive du Hub « en s’appuyant sur l’écosystème de la santé »[9].
Il s’agit dans un premier temps de lancer un « produit minimum viable » de la plateforme avec des premiers utilisateurs-tests issus de ces dix projets[10]. D’après la feuille de route du gouvernement, le lancement de la première version de la plateforme avec l’ouverture à tous de l’offre de services du Hub est prévue pour fin 2019.
En complément, un article complet sur le conseil et l’accompagnement : RGPD mise en conformité
Suivez-nous sur Linkedin, Twitter et Facebook
[1] Le texte de loi est disponible ici : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038821260&categorieLien=id
[2] Délibération n° 2019-008 du 31 janvier 2019 portant avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé (demande d’avis n° 19001144) https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038142154&fastReqId=177029739&fastPos=1
[3] « Sur l’intelligence artificielle et les données de santé », Rapport de MM. Gérard LONGUET, sénateur et Cédric VILLANI, député, fait au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, n° 401 (2018-2019) présenté le 21 mars 2019 http://www.senat.fr/rap/r18-401/r18-401.html
[4] Article L1461-7 du Code de la santé publique
[5] CNIL, Délibération précitée
[6] CNIL, Délibération précitée
[7] Article L1461-2 du Code de la santé publique
[8] « Donner un sens à l’intelligence artificielle : Pour une stratégie nationale et européenne »,Rapport de Cédric VILLANI présenté en mars 2018 disponible ici : https://www.aiforhumanity.fr/pdfs/9782111457089_Rapport_Villani_accessible.pdf
[10] Stéphanie Combes, Rapport de la mission de préfiguration du Health Data Hub, 12 octobre 2018
– Deborah Brimberg