Les enjeux autour des données de santé
L'écosystème des données de santé
Qu'est ce qu'une donnée de santé ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) définit les données de santé comme des données « relatives à la santé physique ou mentale » d’une personne et qui « révèlent des informations sur l’état de santé passé, présent ou futur de cette personne ».
Cette définition englobe toutes les données à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. À partir de cette définition, trois catégories de données de santé sont identifiées :
Figure 1 : Trois catégories de données de santé
Source : CNIL.fr, consulté en août 2022.
« Données de santé par nature » : Antécédents médicaux, éventuelle maladie, résultats d’examens, traitements, handicap, etc.
« Croisement de données devenant des données de santé » : Croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
« Données de santé en raison de leur utilisation » : En raison de leur destination, c’est-à-dire sur le plan médical.
Cette notion de données de santé est large et donc à apprécier au cas par cas, compte tenu de la nature des données recueillies et de la finalité de leur utilisation.
Définir une donnée de santé nécessite en outre de s’intéresser à sa source, c’est-à-dire où et comment elle a été générée. La définition de la CNIL ayant été conçue pour être la plus large possible, les données de santé peuvent provenir de sources multiples et variées. Voici quelques exemples de données de santé définies selon leurs sources :
Figure 2 : Typologies des données de santé en fonction de leurs sources
Sources : CNIL et ressources internes IQVIA, consultés en août 2022.
« Données générées dans le cadre des soins » : Contenues dans les dossiers électroniques des professionnels de santé, analyses de laboratoires, imagerie médicale, etc.
« Données générées dans le cadre d’essais cliniques » : Utilisées pour la démonstration de preuve dans un univers encadré et suivant un protocole déterminé.
« Données médico-administratives » : Recueillies à des fins de gestion du système de santé (remboursement des soins, enregistrement des causes de décès, etc).
« Données recueillies dans le cadre de cohortes ou registres » : Recueillies dans le temps sur une population définie.
« Données issues de dispositifs médicaux connectés » : Données issues des dispositifs médicaux connectés ou plus généralement des services de santé numériques.
« Données issues des patients eux-mêmes » : Utilisées dans l’évaluation de la qualité de vie des patients et de la qualité des soins perçues et rapportées par les patients grâce à l’utilisation d’indicateurs : PROMS (Patient Reported Outcomes Measures) et PREMS (Patient Reported Expérience Measures).
Les grands acteurs des données de santé en France
Panorama des différentes sources de données et de leur origine
Recueillies pour des usages bien spécifiques, les données de santé sont donc disparates et d’une grande diversité de formats. En France, elles sont issues de sources multiples, qui vont des dossiers électroniques dans les établissements de santé aux essais cliniques, en passant par les objets connectés. Pour mieux saisir l’hétérogénéité des sources de données, en voici un panorama :
Figure 3 : Panorama des différentes sources de données
« Dossiers électroniques patients » : Permettent de consigner les informations relatives aux patients et à leur prise en charge, et peuvent être propres à un établissement/un professionnel de santé ou être partagées.
« Données socio-démographiques » : Correspondent aux informations générales sur un groupe de personnes comme l’âge, le sexe, le lieu d’habitation. On retrouve également des marqueurs sociaux comme la profession, la situation familiale ou le revenu.
« Données biométriques » : Correspondent aux caractéristiques physiques ou biologiques permettant d’identifier une personne (ADN, empreintes digitales, etc).
« Registres » : Consistent en un recueil continu et exhaustif de données nominatives intéressant un ou plusieurs événements de santé dans une population géographiquement définie, à des fins de recherche et de santé publique.
« Enquêtes » : Consistent à observer au fil du temps l’apparition de certains événements chez les participants. On distingue les cohortes de malades (suivi de personnes porteuses d’une même maladie), des cohortes de population générales (suivi de personnes en bonne santé)
« Cohortes » : Se réalisent par interviews ou par approche combinées d’interviews et d’examens de santé. Elles apportent une information précieuse sur l’état de santé, les maladies, les capacités fonctionnelles et l’utilisation des services de santé.
Le Système national de données de santé (SNDS), cœur de la donnée française
Instauré par la loi de 2016 de modernisation de notre système de santé, le SNDS est un fichier géré par la Caisse nationale de l’Assurance maladie des travailleurs salariés (CNAMTS) et la Plateforme des Données de Santé (Health Data Hub). Le SNDS regroupe les principales bases médico-administratives et de santé publique existantes en France :
Figure 4 : Composition du SNDS
Source : SNDS.gouv, consulté en août 2022
Quel est l'intérêt du SNDS ?
Le SNDS met à disposition les données de différentes bases afin de favoriser les études, recherches ou évaluations qui présentent un caractère d’intérêt public. Celles-ci doivent avoir une finalité précise en accord avec les articles R. 1461-1 et L. 1461-3 du Code de la santé publique.
En revanche, l'accès au SNDS est interdit aux travaux dont l’objectif est, par exemple, la promotion en direction des professionnels de santé ou encore la modification des cotisations ou primes d’assurance pour un individu ou un groupe d’individus
Qui peut avoir accès aux bases du SNDS ?
Toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, peut accéder aux données du SNDS sur autorisation de la CNIL, en vue de réaliser une étude, une recherche ou une évaluation présentant un intérêt public.
La Plateforme des données de santé (Health Data Hub), nouveau centralisateur de données
Qu’est-ce que la Plateforme des données de santé (PDS) ?
La Plateforme des données de santé (PDS) a été créée par la loi du 24 juillet 2019 relative à l’organisation et la transformation du système de santé. Il s'agit d'un groupement d’intérêt public, associant 56 parties prenantes avec la mission de faciliter l’accès et l’utilisation des données de santé afin de favoriser la recherche. La PDS a mis en place son offre de service dès 2020 et se charge aujourd’hui de centraliser dans son catalogue des données de santé françaises issues de multiples sources. Elle propose en outre un ensemble de services pour accompagner les différents acteurs, publics comme privés, dans le développement des innovations qui seront demain au cœur de la santé des citoyens.
Quelles sont les données de la PDS ?
Figure 5 : Composition de la PDS
Source : Health-data-hub.fr, consultée en août 2022
La Plateforme des données de santé a pour objectif de regrouper :
- Les données issues du SNDS (Système national des données de santé), qui recouvrent notamment l’ensemble des données produites au cours d’actes remboursées par l’Assurance-maladie.
A noter : l’intégration à la PDS des données du SNDS n’a pas encore été finalisée. - Un catalogue de données correspondant à une collection de bases de données non figée afin de s’adapter aux enjeux et aux besoins de l’écosystème.
Comment accéder aux bases de données de la PDS ?
Les porteurs de projet peuvent accéder librement aux données anonymisées. Dans le cas où les données ne seraient pas anonymisées, il peut être nécessaire d’obtenir une autorisation de la CNIL avant le début des recherches. Un dossier doit alors être soumis au CESREES (Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé), chargé d’évaluer le caractère d’intérêt public du projet et de donner son avis. La CNIL s’appuiera ensuite sur l’avis du CESREES pour rendre son autorisation.
EHDS : la donnée de santé à l’échelle européenne
Un réseau européen en construction
La Commission européenne a présenté, le 3 mai 2022, son projet de règlement pour l’Espace européen des données de santé (European Health Data Space ou EHDS), un nouveau cadre de gouvernance pour les données de santé dans l’Union européenne. Ce projet de règlement est actuellement examiné devant le Parlement européen et le Conseil de l’Union européenne.
Les objectifs de l’EHDS sont de :
Développer un réseau de sources de données en connectant les plateformes existantes des pays participants. Ce réseau favorisera la recherche, notamment sur des maladies rares, en regroupant davantage de données.
Favoriser un véritable marché unique des produits et services de santé numérique afin d’offrir un cadre cohérent, fiable et efficace pour l’utilisation des données de santé à des fins de recherche, d’innovation, d’élaboration des politiques et de réglementation. La Commission entend aussi garantir le plein respect des normes élevées de l’UE en matière de protection des données. Les citoyens auront ainsi le pouvoir de contrôler et d’utiliser leurs données de santé, tant dans leur pays d’origine que dans d’autres Etats membres.
Les acteurs concernés
Un consortium de 16 partenaires, piloté par la PDS française, a été sélectionné par la Commission européenne pour construire dès septembre 2022 le projet pilote de l’EHDS.
Figure 6 : Partenaires du projet pilote de l'EHDS
L’entrée en vigueur de cet espace commun des données de santé européen est prévue pour 2025.
Que permettra l’EHDS ?
- Améliorer la prise en charge médicale des patients quand ils se trouvent dans un autre Etat membre, grâce à l’échange d’informations de santé dans des conditions d’interopérabilité et de sécurité.
- Mener des projets de recherche sur une échelle plus vaste, en particulier pour les pays plus petits, qui ne bénéficient pas toujours d’une quantité suffisante de données de santé pour mener à bien un projet scientifique.
- Cibler des pathologies spécifiques, notamment des maladies rares dont le volume de données disponibles est souvent insuffisant pour conduire des projets de recherche.
Un cadre réglementaire strict et précis
Les données de santé sont des données à caractère personnel, considérées comme sensibles. Elles sont réglementées par un socle juridique composé du règlement général de la protection des données (RGPD) et de la loi Informatique et Liberté.
Comment sont collectées les données de santé ?
Selon les termes de l’article 5 du RGPD, les données de santé sont collectées pour une finalité déterminée, explicite et légitime. Seules les données adéquates et strictement nécessaires à cette finalité peuvent être collectées
Le recueil des données de santé requiert la délivrance d’une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples pour les personnes concernées.
Des formalités de traitement précises
Dans le cadre du RGPD, le traitement des données de santé est considéré comme une exception et non la règle. Il doit donc répondre à des cas précis, notamment (article 9 du RGPD) :
- Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;
- Si les données sont utilisées à des fins médicales ou pour la recherche dans le domaine de la santé ;
- Si ces données sont manifestement rendues publiques par la personne concernée ;
- Si leur utilisation est justifiée par l’intérêt public et autorisée par la CNIL ;
- Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique ou syndicale.
Par ailleurs, des traitements de données non nominatives sont possibles sans l’obligation de consentement dans des objectifs d’intérêt public.
Les obligations du RGPD pour le traitement des données de santé
Figure 7 : Obligations liées au traitement des données de santé
Source : CNIL.fr, consultée en août 2022.
« Principe d’accountability » : Ce principe oblige les entreprises à mettre en œuvre les mesures nécessaires permettant de démontrer le respect des règles relatives à la protection des données.
« Délégué à la protection des données (DPO) » : Le DPO a pour fonction d’organiser la mise en conformité de l’organisme au RGPD. Sa désignation est obligatoire pour certains types de structures, notamment pour les entreprises traitant des données de santé à grande échelle.
« Registre des traitements » : Le registre recense les informations relatives au responsable du traitement et au DPO, les informations sur les personnes concernées, les finalités du traitement, les délais de conservation des données, et la description des mesures mises en place pour optimiser la protection des données.
« Analyse d’impact des risques » : L’analyse doit être réalisées en amont du traitement et mise à jour au long du cycle de vie du traitement.
« Droits des utilisateurs » : Il s’agit des droits d’accès aux données, de rectification, de portabilité des données offrant à toute personne le droit de récupérer les données qu’elle a fournies à l’organisme collecteur et de limitation du traitement permettant à la personne concernée de demander le gel de l’utilisation de ses données sous certaines conditions.
Les hébergeurs de données de santé
Les professionnels de santé peuvent conserver les données de santé eux-mêmes ou solliciter un hébergeur agréé ou certifié à cet effet, selon l’article L. 1111-8 du Code de la santé publique. Depuis le 1er avril 2018, les hébergeurs de données de santé (HDS) ont l’obligation d’obtenir une certification HDS.
L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées, et une possibilité pour celle-ci de s’y opposer pour motif légitime. La conservation des données de santé doit être limitée à la durée nécessaire à leur traitement. Dans ce contexte, chaque donnée de santé a une durée de conservation qui lui est propre.
Acteurs mentionnés dans cet article
Autre article relatif à "Les enjeux autour des données de santé"
NO-FR-2400125-NP- Juin 2024