TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 190 - Les données dans le système de santé Un enjeu stratégique pour l'avenir du modèle européen

Articles Revue TELECOM

-

01/10/2018

LES DONNÉES DANS LE SYSTÈME DE SANTÉ 
Un enjeu stratégique pour l'avenir du modèle européen


Par Alain Tassy (1982, Dr 1986), président du groupe Santé dans la revue TELECOM n° 190


Intervenants

Dominique Andrieux, Avocat associé, Labonne et associés

Florent Brousse, Technicien Chimiste et Consultant (IPRP)

Edouard Geoffroy, Responsable Data analytics imagerie France, GE Healthcare

Guillaume Vogt, Directeur du Laboratoire « Neglected Human Genetics » (Inserm)

Charles-Etienne de Cidrac, Directeur Santé, Groupe AXA

Florent Parmentier, Responsable du laboratoire d'innovations publiques à Sciences Po Paris

Alexandre Mignon, Directeur des partenariats et du développement, iLUMENS

Anne-Sophie Taillandier, Directrice de TeraLab à l'IMT

Etienne Bouché, co-fondateur de la start-up Kuranda Labs


L’entrée en vigueur du règlement général pour la protection des données (RGPD), le 25 mai 2018 n’a pas entraîné une avalanche de pénalités par la CNIL comme cela était redouté. même si au moment où nous publions quelques sanctions exemplaires ont été publiées (ex : sanction de 75 000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour avoir insuffisamment protégé les données des utilisateurs de son site internet – sanction de 250 000 euros à l'encontre de Optical Center). Nos boîtes mails ont été saturées de messages demandant l’autorisation de l’usage des données collectées par les applications Internet, mais dans le monde de la santé, cela n’a pas causé de révolution. Soit le problème n’était pas aussi compliqué qu’annoncé, soit le nouveau règlement n’est pas appliqué.


La mise en œuvre du RGPD

Maître Andrieux présente la mise en place du RGPD sous un angle original. Pour lui il faut traiter la gestion des données personnelles comme un risque, au sein d’une gestion des risques et d’une politique de compliance plus générale au sein de la structure concernée. L’analyse d’impact prévue par le RGPD est similaire à une approche traditionnelle de gestion globale des risques ; la cartographie des risques du RGPD peut donc s’intégrer dans une cartographie générale des risques de la structure.

Ceci est d’autant plus important que, pour ce qui concerne les données de santé, de nombreuses autres règles s’appliquent, et ces dernières prévalent parfois sur les règles RGPD, du fait de la sensibilité de ces données (cancer, santé publique, recherche…).

En d’autres termes, et pour certains sujets de santé, le RGPD est la règle minimale et non exclusive.


L’analyse d’impact et les données de santé

Cette analyse d’impact, prévue à l’article 35, est le point central de la démarche. L’article définit que l’analyse contient :

• Une description systématique des opérations, des finalités et le cas échéant de la légitimité du traitement

• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités

• Une évaluation des risques pour les droits et libertés des personnes concernées

• Les mesures envisagées pour faire face aux risques


Pour les données de santé, les points clés à traiter sont en priorité :

• L’obtention du consentement éclairé

• La gestion de la sous-traitance

• La gestion des droits à rectification et le droit à l’oubli

• La désignation du responsable interne du traitement (le propriétaire du risque)

La grande nouveauté est que ce sont les actions effectives des responsables du traitement qui font la preuve de la conformité et non plus une autorisation donnée au préalable par la CNIL. Dans la santé, il reste cependant deux domaines où une autorisation CNIL est requise: les traitements présentant une finalité d’intérêt public et ceux liés aux études et à la recherche.


La déclinaison du RGPD en France, le rôle de la CNIL

La CNIL joue un rôle majeur dans la mise en place du RGPD en France car elle définit les règles d’application, en particulier dans le domaine de la santé (cf. https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir).

Par exemple, la CNIL précise qu’un médecin qui exerce à titre individuel n’a pas besoin de nommer un délégué à la protection des données (DPO). Mais le médecin reste le responsable du traitement et donc de la protection des données. Il a ainsi l’obligation de constituer et de maintenir un registre des activités de traitement. On peut se demander comment ces préconisations vont s’appliquer, la majorité des médecins de ville n’ayant ni le temps, ni les compétences, ni les moyens de mettre en place des systèmes élaborés de sécurisation de leur informatique. De plus le rôle du médecin de ville a été renforcé sur le traitement des données par la loi de janvier 2016 qui lui donne la responsabilité de gérer le dossier médical du patient.

Et Maitre Andrieux de conclure que la question qu’il faut se poser est : quelle organisation interne et quel code d’éthique doivent être mis en place pour s’assurer que l’organisation - voire l’écosystème - est bien en phase avec les objectifs de gestion des risques à cet égard ?

Ceci concerne la mise en place de « compliance officer » dans les structures gérant ce type de données sensibles.


Définition et importance des données de santé

Pour la première fois, le RGPD donne une définition juridique des données de santé : « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Cette définition ne nous éclaire pas sur la nature des données de santé, ni sur leur importance croissante pour la médecine de demain.


Diversité des données de santé

Le professeur Mignon décrit la diversité des données collectées et traitées dans la médecine aiguë, on y trouve :

• les données mesurées par les urgentistes avec des équipements médicaux,

• celles envoyées en continu par des machines connectées,

• les prélèvements,

• les images issues des scanners et des IRM,

• des données non structurées¹ contenues dans le dossier médical.

Ensuite, dans la phase de soin, beaucoup d’autres données sont prises en compte : génétiques, omiques², environnementales, comportementales et sociétales.

Collecter les données permet de faire avancer la médecine. Par exemple l’institut Imagine a collecté avec l’hôpital Necker des données auprès d’un grand nombre d’enfants. Cela a permis de proposer de nouveaux traitements pour lutter contre des maladies génétiques.

La France a la chance d’avoir des bases de données de santé très importantes, par exemple celle de l’assurance maladie (SNIIRAM) ou celles du Programme de médicalisation des systèmes d'information (PMSI). Beaucoup de données existent dans les hôpitaux, en particulier l’APHP, mais pour être utilisables ces données doivent être justes, structurées et accessibles.


Accessibilité aux données de santé

Ce problème de l’accessibilité est majeur. Pour pouvoir travailler sur les données il faut résoudre deux types de problèmes :

• La technique de stockage, l’accès et le traitement (big data),

• L’aspect réglementaire, compte tenu des contraintes sur la sécurité des données de santé.

Deux initiatives en phase de déploiement proposent des solutions :

• Téralab facilite le développement du big data essentiellement pour la recherche,

• La start-up Kurunda labs développe des outils pour permettre aux entreprises du monde de la santé de développer rapidement des applications sur le Cloud.

Dans les deux cas, les contraintes réglementaires en France, entraînent des coûts importants, en particulier pour le stockage des données, qui pénalise les innovations.


L’importante des données de santé et exemples en médecine 4P

Comme cela a été évoqué lors de notre dernière réunion thématique, le cerveau humain ne peut traiter plus de cinq problèmes en parallèle. La grande quantité de données à traiter en temps réel impose l’utilisation d’algorithmes et en particulier d’intelligence artificielle. Le rapport Villani a mis en évidence les enjeux stratégiques de l’IA et a évoqué ce point dans le domaine de la santé. Ainsi, les données de santé vont devenir une ressource clef au même titre que le gaz ou le pétrole car elles sont indispensables pour le développement de la médecine 4P (préventive, prédictive, personnalisées et participative).

General Electric propose un outil de prévention, DoseWatch, qui stocke localement les doses de rayonnement émis par les scanners de toutes les marques. L’analyse de ces données permet de détecter les patients surexposés et d’améliorer l’utilisation du scanner. L’optimisation de dose en scanner permet de réduire statistiquement jusqu’à 60% la dose utilisée.

Autre exemple en prévention, AXA propose aux entreprises employeurs anglaises une plateforme de prévoyance santé qui collecte les données des collaborateurs, les agrège et les analyse et met en évidence les grands facteurs de risque. Le travail sur ces risques permet à l’entreprise de mettre en place des programmes de prévention ciblés tout en maintenant la confidentialité des informations individuelles.

AXA propose aussi, en Allemagne, un programme de gestion des maladies chroniques incluant en particulier la détection précoce sur la base de la collecte sécurisée de données médicales. Cela permet d’inciter les patients à participer à la gestion de leur santé. En cas de détection précoce, AXA met en place un programme qui permet de traiter le risque de la maladie selon quatre axes : éducation et prévention, observance, monitoring et gestion du parcours de soin.

Les tests ADN sont un exemple de collectes de données favorisant la médecine personnalisée. La France a lancé le projet médecine génomique 2025 et la DGOS a autorisé la prise en charge du séquençage du génome dans le cadre des RINH. Le problème est que ces tests peuvent être fait aisément hors du monde médical et être utilisés à des fins non thérapeutiques comme les tests de paternité.

Enfin certaines données sont collectées à des fins plus juridiques, comme par exemple le contrôle de prise de stupéfiants dans l’entreprise. Ces données sont particulièrement sensibles et il est indispensable d’utiliser un pseudonyme pour anonymiser les données afin que même les opérateurs ne puissent connaitre l’identité du donneur de l’échantillon qu’ils analysent.


La problématique française

Les données sont une richesse mais elles peuvent aussi devenir une arme redoutable et remettre en cause des fondements éthiques tels que la vie privée. C’est ce qui a motivée l’Europe à introduire le RGPD. Le but premier de ce règlement est de protéger les citoyens européens contre les conséquences néfastes de l’usage mercantile de leurs données par les GAFA (Google, Amazon, Facebook et Apple) et les BATX (Baidu, Alibaba, Tencent et Xiaomi). Ce problème est tout particulièrement important avec les données de santé dont les règles d’utilisation peuvent poser un problème éthique.

Globalement trois philosophies s’opposent dans le monde.

Pour les chinois, les données appartiennent à la communauté et elles peuvent être utilisées librement pour le bien de tous.

Pour les USA, les données ont une valeur marchande et l’industrie américaine doit gagner rapidement des parts de marché mondiales pour bloquer la concurrence et maximiser les profits.

Les européens ont une vision très différente. La protection de la vie privée impose que la personne garde le contrôle de ses données personnels et de l’utilisation qui en est faite.

Le village gaulois

La France a toujours voulu être le premier de la classe sur la protection des données et sur l’application du principe de précaution.

Ainsi, AXA qui respecte scrupuleusement les règles du RGPD³, ne peut offrir en France tous les services disponibles en Allemagne et en Angleterre car la réglementation française est plus contraignante.

En France, les tests génétiques ne peuvent être autorisés que dans le cadre d'une procédure judiciaire ou à des fins médicales ou de recherche scientifique. Ainsi, le fait de solliciter un test ADN, comme sur la recherche de paternité, est interdit dans notre pays et passible d’une amende de 3750 euros pour celui qui le sollicite ou d’un an d'emprisonnement et de 15 000 euros d'amende pour celui qui l’effectuerait4. Ces tests sont autorisés pratiquement partout dans le monde (comme en Suisse, en Belgique, aux USA, au Canada ou en Chine). Pourtant, on estime que 20.000 à 100 000 français se procurent tous les ans un test ADN à visée généalogique ou de paternité et font analyser leurs gènes... à l’étranger.

Le paradoxe est que les laboratoires de recherche français (Institut Pasteur, université Paris Diderot, CNRS…) utilisent eux-mêmes ces bases de données à des fins de publications. Ils payent pour avoir accès à ces données pendant que ces sociétés étrangères brevettent pour leur compte. C’est dans ce contexte que le rapport Villani (p202) préconise des cohortes dynamique et multithématique.


Le Hub de données français

N’est-il pas dans les fonctions régaliennes de l’état de favoriser la constitution de ce type de base de données plutôt que de l’interdire ? Les fonctionnaires européens qui ont produit le RGPD, ont-ils lancé une initiative multinationale pour permettre à nos chercheurs de lutter à armes égales avec les chinois et les américains ?

Suite au fiasco des data centers souverains, la France a renoncé à cette idée qui devrait être européenne. Florent Parmentier souligne que suite au rapport Villani, 10 M€ ont été débloqué pour réaliser un hub de données français. En effet, insiste Anne-Sophie Taillander, l’idée n’est plus de dupliquer les données mais de gérer les accès à une multitude de bases de données existantes.


Les données de santé et le Cloud

En Europe, on peut noter l’initiative EuroCloud qui s’intéresse aux bonnes pratiques sur le Cloud et surtout à l’interopérabilité des données. Cette interopérabilité nécessite des standards qui, par la force des choses en santé, sont américains.

La technologie Cloud est-elle suffisamment robuste pour stocker et traiter les données de santé ? Chez Amazon et Google la technologie Cloud est robuste et gratuite. Les acteurs nationaux n’ont ni les moyens ni les compétences pour faire la course des technologies en tête et les contraintes qui leur sont imposées pour le stockage des données de santé les obligent à facturer environ 1 500 € par ordinateur et par mois. Ces coûts, très pénalisant pour les start-up, peuvent sembler négligeables si les bénéfices issus du traitement de données sont importants.

On en déduit que ce ne sont pas les données en tant que telles qui ont de la valeur, mais leur association avec les algorithmes d’intelligence artificielle. On en déduit aussi que la France serait bien inspirée de s’appuyer sur des experts internationaux à la tempe grisonnante pour définir des stratégies à long terme et déployer des infrastructures pérennes.


Conclusion

Les données de santé sont un enjeu majeur pour le développement de la médecine en particulier avec l‘avènement de l’intelligence artificielle. Elles posent des problèmes techniques pour le stockage, l’accessibilité et l’interopérabilité et des problèmes éthiques pour la protection de la vie privée.

Si l’on ne doit retenir qu’une chose, c’est que ces problèmes sont à traiter au niveau européen. L’Europe a fait une avancée juridique majeure sur la protection des données en publiant le RGPD. Mais a-t-elle ce faisant négligé d’investir dans les infrastructures permettant de mettre en œuvre les nouvelles contraintes tout en garantissant la compétitivité des chercheurs et des sociétés innovantes ? 



1/ Ces données sont difficiles à interpréter par un algorithme. Par exemple « il n’y a pas de signe négatif d’une maladie » = il y a maladie !
2/ Les « omiques » les plus connus sont la génomique, la protéomique, la transcriptomique et la métabolomique.

3/ Compte tenu de son chiffre d’affaire, Axa risque une amande de 4 Milliards d’euros en cas d’infraction au RGPD
4/ Article 226-28 du code pénal

238 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 193 - La kippa bleue

User profile picture

Rédaction Revue TELECOM

15 juin

Articles Revue TELECOM

Revue TELECOM 193 - La transformation digitale (numérique) 2.0

User profile picture

Rédaction Revue TELECOM

15 juin