La mascarade des données de santé ou le piège aux alouettes ?

Cold Medecine on a White Background By: Marco Verch Professional Photographer and Speaker - CC BY 2.0

Plusieurs professionnels s’inquiètent de la manière dont les données de santé risquent de circuler avec l’approbation de l’État, au détriment de l’éthique médicale de base.

Par Bernard Perbal.

Plusieurs collègues s’émeuvent de la légèreté avec laquelle le respect de nos données personnelles et de nos données de santé est bafoué par les plus hauts responsables de l’État.

On citera comme exemple les projets « futuristes » de nos gouvernants qui ne demandent rien d’autre aux médecins que de violer leur serment de confidentialité et de secret professionnel en les incitant à faire remonter des informations « identifiantes », au sens de la loi informatique et liberté, permettant aux services d’assurance maladie d’envoyer une brigade sanitaire aux personnes signalées !

Un grand nombre de médecins s’élève contre cette transgression flagrante et inacceptable de l’éthique médicale.

Le respect des données personnelles et la vigilance sanitaire chers à nos édiles

Les mesures qui doivent être mises en œuvre aujourd’hui, pour assurer la sécurité des données de santé sont définies dans la section 2 du Règlement Général sur la Protection des Données (RGPD) intitulée « Sécurité des données à caractère personnel » et plus particulièrement, dans les référentiels spécifiques au secteur de la santé (voir à ce sujet les articles 66 et 73 de la loi informatique et liberté et les articles L.1110-4-1, et 1111-8 du Code de la santé publique).

Jusqu’à l’adoption récente par la CNIL d’un référentiel « vigilances sanitaires », seuls les référentiels d’accréditation et de certification étaient officiellement approuvés par le ministère de la Santé. Le référentiel santé RS-001 « s’applique à l’ensemble des vigilances sanitaires visées par l’arrêté du 27 février 2017 fixant la liste des catégories d’événements sanitaires indésirables pour lesquels la déclaration ou le signalement peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables (pharmacovigilance, cosmétovigilance, addictovigilance, hémovigilance, etc.) »

Ce référentiel a pour vocation d’appliquer les principes du RGPD aux différentes étapes des traitements de données personnelles de santé, par des fabricants, entreprises, exploitations, et organismes responsables de la mise sur le marché d’un médicament ou d’un dispositif. Il ne couvre pas les traitements de données mis en œuvre par les professionnels de santé, ni les systèmes et services de soins de santé tels que les maisons de santé, les agences sanitaires et les établissements de santé par exemple.

Les points à respecter pour la planification des traitements de données de santé dans le respect du référentiel RS001 sont très semblables à ceux qui concernent les traitements de données à caractère personnel non sensibles. Les traitements de données de santé doivent respecter les conditions de finalités et de bases légales, ainsi que les exigences relatives aux destinataires des données, aux personnes concernées et à la durée de conservation des données.

Les responsables de traitement ayant respecté ces exigences peuvent mettre en œuvre les différentes étapes des traitements envisagés après avoir adressé à la CNIL une déclaration d’engagement de conformité au référentiel RS-001, sans avoir besoin de recourir à une demande d’autorisation.

Au nom de l’inter-opérabilité des systèmes…

Les projets de modernisation présentés par Madame Buzyn, ministre des Solidarités et de la santé, en avril 2018, concernaient l’intensification de la sécurité et de l’inter-opérabilité des systèmes d’information en santé, avec la création d’un « Espace Numérique de Santé » pour chaque Français et le déploiement de plateformes numériques de santé au niveau national à partir du 1er janvier 2022.

Tel que présenté par le ministère de la Santé en février 2019, « le Health Data Hub a pour objectif de favoriser l’utilisation et de multiplier les possibilités d’exploitation des données de santé, en particulier dans les domaines de la recherche, de l’appui au personnel de santé, du pilotage du système de santé, du suivi et de l’information des patients. Il permettra le développement de nouvelles techniques, notamment celles liées aux méthodes d’intelligence artificielle ».

Il devrait compléter le SNDS.

Le SNDS… cela vous parle ?

La CNIL gardienne de nos données personnelles

La CNIL en donne une définition très intéressante : « Créé par la loi de modernisation de notre système de santé, le Système national des données de santé (SNDS) regroupe les principales bases de données de santé publiques existantes. Le SNDS vise l’amélioration des connaissances sur la prise en charge médicale et l’élargissement du champ des recherches, des études et évaluations dans le domaine de la santé. »

Il est vrai qu’en soi, cela ne semble pas bien méchant.

À condition qu’il soit utilisé pour le bien-être de la population…

Et d’ailleurs la CNIL en précise les limites acceptables :

« Le législateur a souhaité ouvrir l’accès aux données de santé collectées par les personnes publiques afin que « leurs potentialités soient utilisées au mieux dans l’intérêt de la collectivité ».

La CNIL nous dit que le SNDS répond à cet objectif en mettant à disposition des données de santé, afin de contribuer :

  • à l’information sur la santé, l’offre de soins, la prise en charge médico-sociale et leur qualité ;
  • à la définition, à la mise en œuvre et à l’évaluation des politiques de santé et de protection sociale ;
  • à la connaissance des dépenses de santé, d’assurance maladie et médico-sociales ;
  • à l’information des professionnels, des hôpitaux ou médico-sociaux sur leur activité ;
  • à la surveillance, à la veille et à la sécurité sanitaires ;
  • à la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.

La loi interdit l’utilisation des données contenues dans ce fichier à des fins de promotion des produits de santé et à des fins d’exclusion de garanties des contrats d’assurance ou la modification des cotisations et des primes d’assurance. »

J’invite les lecteurs qui se sentent concernés par l’utilisation de leurs données de santé à bien lire et relire les réponses aux questions que la CNIL pose à ce sujet.

Les moyens qui sont théoriquement accordés aujourd’hui à celui ou celle qui le souhaiterait, de prendre connaissance de la nature des données conservées, et d’en demander la rectification, voire l’effacement, sont explicités par la CNIL.

« Toute personne dispose d’un droit d’opposition si elle ne souhaite pas que les données qui la concernent, contenues dans le SNDS, fassent l’objet d’une utilisation à des fins de recherche.

Elle ne peut toutefois pas s’opposer aux traitements de données nécessaires à l’exercice des missions des services de l’État et de certains établissements publics telles que, par exemple, le suivi d’une épidémie ou la surveillance sanitaire.

Lorsque les données du SNDS sont utilisées dans le cadre d’une recherche spécifique, une information individuelle peut être délivrée à la personne.

Les droits d’accès, de rectification et d’opposition s’exercent alors auprès du responsable de l’étude, de l’établissement ou du professionnel de santé concerné ou auprès du directeur de la caisse d’assurance maladie du bénéficiaire. »

On remarquera sans difficulté les possibles restrictions opposables à l’individu qui voudrait user de sa liberté de disposer de ses propres données de santé !

Il est facile d’imaginer les pires dérives auxquelles ces dispositions ouvrent la porte !

Le « health data hub », n’est pas un club de rencontres et d’échanges

La cerise sur le gâteau, dont seuls certains seront invités à profiter, a été posée par le lancement du Health Data Hub, officialisé par arrêté du 30 novembre 2019,« portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public »

« Institut national des données de santé » portant création du groupement d’intérêt public

« Plateforme des données de santé » publié au JORF n°0278 du 30 novembre 2019.

Tout cela, en dépit des inquiétudes qu’a déclenché le choix du « Cloud Microsoft » pour son hébergement. Aucune justification convaincante à ce choix n’a été fournie, alors qu’une solution française, telle que celle proposée par OVH aurait pu être examinée démocratiquement, si la démocratie existe encore, avec tous les partenaires concernés pour décider si ce choix français aurait pu lever les doutes relatifs aux conséquences de l’externalisation de ces données sensibles.

L’ordonnance n° 2017-27 du 12 janvier 2017 dispose en particulier :

« L’hébergement des données de santé, quel qu’en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime ».

« La prestation d’hébergement de données de santé à caractère personnel fait l’objet d’un contrat » et « l’hébergeur doit avoir un certificat de conformité ».

Les craintes les plus fortes, abondamment relayées par la presse, concernent le non-respect des principes posés par le RGPD.

« Ayant obtenu la certification en août dernier, IBM peut désormais héberger les données de santé à caractère personnel de ses clients, ainsi que d’autres données critiques, tout en offrant une continuité de disponibilité des données en cas de sinistre » (Capital, 9 décembre 2019).

En dépit du fait qu’une certification HDS annoncée le 10 décembre par Microsoft, lui aurait été accordée en août 2019, la liste des 120 sociétés ou organismes ayant la certification de conformité à la date 20 novembre 2019, ne mentionne pas d’agrément pour Microsoft1.

Le lecteur jugera par lui même…

Dans le même ordre d’idée, le Wall Street Journal révélait, il y a quelques mois, les craintes soulevées par le « Project Nightingale », dans lequel des données non anonymisées incluant des prescriptions et des diagnostics concernant des millions d’Américains de 21 États, étaient amassées sur le Cloud de Google, sans l’accord des patients ni des professionnels de santé.

Ce projet est poursuivi par Google en coopération avec le système de santé catholique privé dénommé Asension, qui comprend plus de 2000 hôpitaux et cabinets médicaux. Un lanceur d’alerte, ancien employé de Google avait dévoilé les détails de ce projet2.

Alors, que peut-on attendre de ces avancées souterraines qui ne laissent pas augurer du respect minimum que l’individu est en droit d’exiger vis-à-vis de la protection de ses données de santé ? Ces braves politiques qui se battent pour répandre leur « évangile » dans un monde non encore initié aux avantages extraordinaires que nous offre le RGPD dans ce domaine, seront-ils capables ou auront-ils la volonté de nous protéger des conséquences de leurs excès ?

  1. La liste des 120 sociétés ou organismes ayant la certification de conformité à la date 20 novembre 2019 peut être consultée sur le site https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-agrees, ne mentionne pas d’agrément pour Microsoft.
  2. (Voir : Rob COPELAND « Google’s ‘Project Nightingale’ Gathers Personal Health Data on Millions of Americans » The Wall Street Journal, 11 novembre 2019 ;  Ed PILKINGTON « Google’s secret cache of medical data includes names and full details of millions – whistleblower » The Guardian 12 novembre 2019; Auteur anonyme « I’m the Google whistleblower. The medical data of millions of Americans is at risk » The Guardian, 14 novembre 2019.
Vous souhaitez nous signaler une erreur ? Contactez la rédaction.