Le projet de loi sur la Santé qui va bientôt arriver en débat devant le Parlement recèle des dispositions tout à fait inquiétantes quant à la préservation du secret médical lié aux données personnelles des usagers des services de santé.
Mercredi 15 octobre, un nouveau projet de loi sur la Santé a été présenté en Conseil des Ministres par Marisol Touraine, en vue d’un examen par le Parlement en 2015. Au-delà des grandes orientations qui ont été présentées par les médias, il faut lire avec une grande attention ce texte, car il comporte, dans son axe stratégique « Innover pour consolider l’excellence de notre système de santé », un volet important concernant les données de santé.
Un projet de loi qui étend l’accès aux données de santé personnelles pour les acteurs privés
Dans son Chapitre II Article 1462-1, le projet de loi institut un « Institut national des données de santé », groupement d’intérêt public constitué entre l’État, des organismes assurant une représentation des malades et usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé. Cette nouvelle structure est chargée de « veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition garantissant leur protection et facilitant leur utilisation. A ce titre, il peut être saisi, sur le fondement des dispositions de l’article 54 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés pour donner un avis sur le caractère d’intérêt public que présente une recherche, une étude ou une évaluation ».
Il faut alors lire de très près le Chapitre V du projet de loi, titré « CRÉER LES CONDITIONS D’UN ACCÈS OUVERT AUX DONNÉES DE SANTÉ ». On y trouve la liste des données de santé qui constituent le « système national des données de santé », à savoir les données :
- issues des systèmes d’information hospitaliers
- du système d’information de l’assurance maladie
- sur les causes de décès
- médico-sociales des services en charge de l’action sociale et des familles
- de remboursement par bénéficiaire transmises par les organismes d’assurance maladie complémentaire.
Pour ce qui est de la démarche Open Data, il est bien explicité que « Les données du système national des données de santé qui font l’objet d’une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l’identification directe ou indirecte des personnes concernées y est impossible ». Les données de santé seront donc bien anonymisées avant mise à disposition publique, selon des modalités pratiques qui restent toutefois à préciser.
Mais plus loin, il semble bien y avoir un loup, pour ce qui concerne les données fournies à des tiers, au nombre desquels figurent évidemment les laboratoires médicaux, désireux d’enrichir leurs systèmes d’information d’un maximum de données.
En effet, l’article 1461-3 indique explicitement que les données fournies à des tiers sont des données à caractère personnel. On en déduit donc que, par défaut, elles ne seront pas anonymisées. Et là, il est important de savoir que jusqu’à présent les données personnelles n’étaient communiquées à des tiers qu’à des fins de « recherche ». Or le nouveau projet de loi prévoit que les données personnelles de santé pourront désormais être communiquée à des tiers « à des fins de recherche, d’étude ou d’évaluation ». On peut inclure dans cette définition très large toutes les études marketing et commerciales destinées à accroître la vente de produits médicamenteux ou de prestations de services en matière de santé.
Une seule contrainte est prévue par le projet de loi : « Les dérogations à l’obligation d’informer les personnes de l’utilisation de données les concernant à des fins de recherche, d’étude ou d’évaluation sont mentionnées dans le dossier de demande d’autorisation transmis à la Commission nationale de l’informatique et des libertés qui statue sur ce point. » Cette contrainte est faible, puisque tout repose sur les avis de la CNIL, seul garde-fou protégeant les citoyens, qui pourra au besoin s’appuyer sur un avis du nouvel Institut National des Données de Santé.
Compte tenu de la puissance de leur lobbying et des montants financiers gigantesques qui sont en jeu, on peut donc imaginer qu’à l’avenir des laboratoires médicaux, des assureurs, des prestataires de santé demanderont à accéder à des données personnelles. La CNIL pourrait alors autoriser un tel accès à des données personnelles, de surcroît en accordant une dérogation qui dispensera ces entreprises d’informer les personnes concernées que l’on utilise leurs données de santé !
Des données de santé non anonymisées circulent déjà, hélas
Il est déjà arrivé que des données personnelles liées à la santé soient divulguées. Le Canard Enchaîné avait publié il y a quelques mois un article édifiant expliquant comment des données non anonymisées se retrouvaient chez des cabinets de consultants. Il faut en effet savoir que les hôpitaux publics sont désormais financés par l’Assurance Maladie selon la Tarification à l’activité ou T2A, c’est à dire en fonction d’actes médicaux codifiés, plusieurs actes pouvant faire l’objet de « parcours types » selon la nomenclature des Groupes Homogènes de Malades / Groupes Homogènes de Séjour.
Les systèmes d’information des hôpitaux n’étant pas parfaits, il arrive que, par oubli, des actes ne soient pas facturés à l’Assurance Maladie. Les hôpitaux sont donc démarchés par des cabinets de consultants spécialisés qui leur proposent, par analyse comparée de leur facturation et des parcours de soin types, d’identifier des actes oubliés susceptibles de générer des rentrées financière ssupplémentaires en provenance de la Sécurité Sociale. En effet, l’Assurance Maladie autorise une factration avec un délai de 3 ans. Ces cabinets de consultants se rémunèrent en prenant un pourcentage, souvent compris entre 10% et 15%, prélevé sur le surcroît de facturation rapporté à l’hôpital qui bénéficie de leurs services.
Là où cela devient dangereux, c’est que les consultants ont besoin de données de santé individuelles. Or comme les logiciels d’anonymisation des données ont un coût, certains hôpitaux dont le budget ne permet pas de les acheter vont au plus simple : ils s’éxonèrent d’anonymisation passer et transmettent à ces cabinets privés des données contenant des information nominatives…Les rares médecins qui ont tenté de lancer l’alerte et de dénoncer ces pratiques ont été soumis à de grosses pressions de la part des directions de ces hôpitaux.
Des sites web laissent fuiter des données de santé personnelles
Autre cas de figure plusieurs fois signalé, par exemple ici par Actu Soins : les sites web ou services Extranet de certains hôpitaux qui ne sont pas bien paramétrés et sécurisés, et qui laissent fuiter des données personnelles de patients.
En résumé, la plus grande vigilance s’impose !
On le voit, que ce soit à la suite d’erreurs ponctuelles ou sous la pression de puissants groupes de pression qui influent sur le cadre législatif, les données personnelles liées à la santé des Français peuvent être divulguées à des tiers selon des modalités qui peuvent légitimement nous inquiéter. Il est donc important de demeurer vigilants, et il faudra l’être tout particulièrement l’an prochain, lors du passage devant le Parlement du nouveau projet de loi sur la Santé.
