Nombre de CHU (Hospices Civils de Lyon, Assistance Publique – Hôpitaux de Marseille, CHU de Grenoble, CHU de Toulouse…) revendique disposer d’un entrepôt de données de santé.

APM News et TIC Santé publient désormais des articles hebdomadaires sur les travaux engagés par les établissements de santé pour constituer des EDS hospitaliers à des fins de recherche.

Encore récemment les CHU du Grand Est ont annoncé développer leurs propres EDS.

Tous les établissements de santé ont bien compris l’intérêt de standardiser, expertiser, organiser et rendre accessibles les données en vue de les transmettre à une plateforme, par exemple, pour optimiser des recherches, améliorer le codage PMSI, détecter des profils de santé particuliers, créer des outils de détection d’événements liés à la vigilance, renforcer la prise en compte des indicateurs de qualité, développer des algorithmes d’aide à la décision, etc.

Certains vont jusqu’à dire que les EDS vont conduire le monde médical à un bouleversement dans la pratique comme ce fut le cas lors de l’apparition de l’anesthésie, de l’imagerie médicale ou des antibiotiques.

Ces plateformes stockent des volumes de données qui se quantifient en téraoctets ou pétaoctets. Ces gisements de données à haute valeur ajoutée suscitent beaucoup d’espoirs pour la médecine de demain, que ce soit pour la médecine curative ou la médecine « 4P » (prédictive, préventive, personnalisée et participative). Mais in fine, qu’est-ce qu’un EDS ? Ou que devrait être un EDS ?

L’entrepôt de données de santé, des divergences dans la convergence

A l’examen des autorisations octroyées par la CNIL, nous comprenons qu’un EDS est un « système d’information commun », qui vise à faciliter la réalisation de recherches dans le domaine de la santé et d’études relatives au pilotage hospitalier en regroupant dans une base unique l’ensemble des données recueillies dans les établissements.

Les EDS sont des outils informatiques qui permettent la collecte, l’intégration puis l’exploitation de données de santé provenant d’un grand nombre de sources d’information (dossier patient, système d’information des laboratoires et d’imagerie, prescriptions informatisées, dossier infirmier, etc.).

Ainsi un grand nombre de données de qualité sont agrégées, c’est-à-dire vérifiées, annotées, répertoriées, « inter-opérabilisées » et rendues accessibles. Si les données de l’assurance maladie ou de la radiologie peuvent facilement être exploitées techniquement, c’est loin d’être le cas pour les autres données de santé à cause de bases de données totalement hermétiques ou de comptes-rendus dans lesquels la plume est libre.

Nous comprenons bien qu’un effort de standardisation des procédures de recueil et de gestion des données est indispensable, faisant fi des cultures ou habitudes dans chaque spécialité.

Ces aspects techniques sont très importants. D’ailleurs la doctrine technique de l’ASIP Santé, l’agence française de la santé numérique, est actuellement soumise à concertation publique.

Cependant et au-delà de ces aspects techniques, nous nous apercevons que par l’approche territoriale, réglementaire et éthique, les EDS divergent considérablement les uns des autres. Examinons cela de plus près.

• La dimension territoriale des EDS

Le rayonnement géographique des entrepôts est très variable. Il est local, régional, voire interrégional comme le prévoit le groupement de coopération sanitaire Hugo (Hôpitaux universitaires grand ouest), et sans doute bientôt national dans le cadre de la stratégie nationale de partage des données de santé.

En effet, les Hub locaux alimenteront la plateforme nationale du Health Data Hub (HDH) en jeux de données. Une enquête nationale HDH est d’ailleurs en cours à destination des responsables de bases de données de santé.

Mais aujourd’hui un entrepôt est-il vraiment régional lorsqu’il faut répéter la même requête cinq fois, à défaut de pouvoir le faire une seule fois pour l’ensemble des établissements, malgré une organisation et une technologie identiques ? Les plateformes homogènes, qui agrègent les systèmes d’information de ces établissements, ne constituent pas la seule clé pour réussir. Il est impératif d’adosser à cette plateforme, un dispositif juridique évolutif, en concertation avec la CNIL, pour permettre le regroupement et le croisement fluides des données, dans un contexte d’extension territoriale.

Nous avons pu constater que si des modèles de plateforme sont de plus en plus dupliqués grâce à des partenariats avec des industriels, trop souvent les conditions réglementaires sont négligées, ce qui peut être regrettable puisque l’absence d’anticipation juridique bloque à un moment donné le développement de l’interopérabilité.

L’entrepôt de données national n’aura pas vocation à définir les contours ou périmètres des EDS locaux. Il reste à espérer que les initiatives locales quitteront le chemin actuel qui conduit à un éparpillement de petits EDS, non interopérables entre eux, pour rejoindre celui d’un fonctionnement en réseau et interopérable.

En ce moment, les établissements de santé investissent lourdement dans la mise en œuvre des plateformes. Il ne faudrait pas que cet investissement soit un jour regretté à cause d’une coordination nationale insuffisante qui n’aurait pas su fédérer ces établissements.

• La dimension réglementaire des EDS

Les EDS doivent définir des règles d’accès et de protection des données puisque bien entendu, outre le respect des règles liées à l’hébergement des données de santé, les EDS n’échappent pas au cadre du RGPD.

Par exemple, sur la préservation de l’anonymat des patients, si l’anonymisation est relativement facile pour des données de santé structurées, cela l’est beaucoup moins pour des données non structurées (compte rendus médicaux, images médicales, …). Les technologies de l’intelligence artificielle sont d’ailleurs prometteuses pour anonymiser ces données non structurées.

Par ailleurs, les finalités de ces EDS sont parfois insuffisamment déterminées. Certes l’acte constitutif des EDS a pour base légale l’exercice d’une mission de service public et une finalité d’intérêt public, mais plus précisément ? Les EDS ne sont pas destinés qu’à la recherche. Outre des données médicales, ils comportent aussi des données administratives (patients, activités des professionnels, masse salariale…). Ces EDS peuvent donc être une aide au pilotage de l’activité hospitalière. Rappelons que le RGPD exige que toute nouvelle finalité soit compatible avec la finalité initiale.

D’ailleurs, dans sa décision pour l’AP-HP, la CNIL avait relevé que l’AP-HP envisageait d’utiliser ultérieurement l’EDS pour d’autres finalités que celles mentionnées dans la demande, par exemple l’aide à la décision médicale ou la maîtrise des vigilances et des risques, et que ces utilisations ultérieures constitueraient des modifications substantielles de la finalité du traitement.

De même, les EDS actuels sont pour l’essentiel, pour ne pas dire tous, réservés aux professionnels de santé, chercheurs ou cadres administratifs des hôpitaux. Ils finiront par s’ouvrir aux industriels. Ces coopérations du secteur public et du secteur privé nécessiteront des conventions spécifiques pour garantir la bonne utilisation des données. D’ailleurs, en amont, la collecte de données aura encore plus de sens lorsque pourront être croisées dans ces EDS, les données d’un patient qu’elles soient issues d’un service hospitalier, d’une clinique privée, d’un laboratoire d’analyse ou même d’un cabinet libéral. Le chantier est colossal…

• La dimension éthique des EDS

Les projets d’EDS ont également une dimension éthique en raison, d’une part, de la porosité entre le soin et la recherche, et, d’autre part, de l’absence d’incompatibilité a priori, entre l’intérêt public et l’intérêt commercial (dans les situations où l’EDS est accessible aux industriels de santé).

Un EDS implique donc une structure ayant pour mission l’évaluation scientifique, règlementaire et éthique des projets.

L’enjeu est de susciter une confiance des patients et des professionnels de santé dans le partage et la réutilisation des données. Les premiers craignent une atteinte à leur vie privée la plus intime, les seconds une surveillance de leur activité ou une concurrence d’autres chercheurs.

A regarder de plus près les EDS, nous constatons qu’ils se distinguent par une très grande hétérogénéité, soit parce que les décideurs locaux ont une volonté de circonscrire le périmètre de l’EDS, soit parce que la stratégie d’innovation est adaptée au degré de maturité, un CHU pouvant avoir une dizaine d’années d’avance par rapport à un autre, par exemple le CHU de Rennes a été précurseur en 2008-2009 avec la plateforme eHop.

Dans le rapport final “Accélérer le virage numérique” qui a alimenté le volet numérique du projet de loi Ma santé 2002, Annelore COURY et Dominique PON nous avertissent :

« À titre de comparaison, le système de santé français n’a pas su organiser l’interopérabilité des systèmes d’information de santé au début des années 2000. Ce défaut d’organisation initial se répercute aujourd’hui sur la qualité des soins, la coordination des parcours de santé et d’un point de vue financier. Il est donc primordial de ne pas reproduire cette erreur concernant la structuration des services numériques de santé à destination des usagers.».

 

Outre les efforts déployés ici et là pour valoriser puis « industrialiser » les données, les dynamiques régionales ou interrégionales n’en sont qu’à leurs balbutiements. Chaque acteur agit encore trop de manière indépendante ou isolée.

Le législateur a donc décidé d’accélérer ces dynamiques en actionnant un levier juridique plus contraignant. L’interopérabilité ne va plus être une incitation ou une incantation, mais va devenir une obligation.

L’interopérabilité, une notion qui prend de l’épaisseur

L’interopérabilité est la capacité d’un système informatique à communiquer, exécuter des programmes ou de transférer des données avec d’autres produits ou systèmes informatiques, existants ou futurs, sans contrainte pour l’utilisateur dans l’accès ou la mise en œuvre, et sans multiplier les efforts de développements.

• Un défaut criant d’interopérabilité aujourd’hui

Le défaut d’interopérabilité des logiciels, services et outils numériques des hôpitaux constitue un frein évident à l’amélioration de la qualité des parcours de soins. Certains établissements de santé comptent jusqu’à 300 applicatifs différents. Cette multiplicité conduit à des ruptures dans le parcours de soins.

La France a de gros efforts à déployer, notamment en matière d’interopérabilité normative. Des pays comme les Etats-Unis, la Suède ou le Royaume-Uni sont bien plus avancés dans l’interopérabilité. Les normes et protocoles doivent s’adapter aux nouveaux systèmes d’information comme Internet ou les mobiles.

Par ailleurs, deux cadres de structuration et de standardisation des données émergent actuellement : le standard HIR (Fast Healthcare Interoperability Resources) et le modèle commun de données OMOP (Observational Medical Outcomes Partnership), choisi par l’AP-HP.

C’est dire la difficulté à se frayer un chemin dans ce secteur fortement évolutif et mouvant.

Toujours est-il que lors d’un « datathon » organisé l’an dernier par l’AP-HP, des start-up ont dû récupérer les données de 40.000 patients admis en réanimation aux Etats-Unis, au Royaume-Uni, en Chine et en Inde pour cet exercice qui rassemblait 160 chercheurs européens !

Pour accélérer le virage du numérique, l’ASIP Santé est chargée d’élaborer une doctrine technique pour « apporter de la lisibilité à l’écosystème », a déclaré Laura Létourneau, déléguée ministérielle du numérique en santé.

L’ASIP Santé avait déjà, par exemple, défini un cadre d’interopérabilité des systèmes d’information de santé pour harmoniser les échanges d’informations. Mais ce cadre se limite à une définition, une promotion et une homologation de standards.

Aujourd’hui, face à la fragmentation des acteurs et projets, une attitude fédératrice est plus que nécessaire pour fixer une « trajectoire de convergence » et faire émerger un cadre réglementaire et technique qui puisse promouvoir des standards mais aussi les distiller de manière plus incitative.

C’est pourquoi la France a décidé de s’inspirer de la réglementation fédérale américaine qui subordonne depuis 2017, la certification des technologies de traitement des données de santé au strict respect des exigences d’interopérabilité.

En témoigne la modification récente de l’article L1110-4-1 du Code de la santé publique (CSP) dont la nouvelle rédaction résulte de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

• Une interopérabilité plus incitative

L’article L1110-4-1 du CSP définit dorénavant l’interopérabilité des systèmes d’information et outils numériques en santé qui doivent « garantir l’échange, le partage, la sécurité et la confidentialité des données », conformément aux référentiels d’interopérabilité et de sécurité élaborés par l’ASIP Santé.

Ce nouvel article prévoit que les éditeurs doivent privilégier le recours à des « standards ouverts » pour que les SIH puissent extraire, partager et traiter plus facilement les données de santé, « chaque fois que le recours à ces standards est jugé pertinent et possible » par l’ASIP Santé.

Les référentiels d’interopérabilité et de sécurité de l’ASIP Santé devront être élaborés en concertation avec les professionnels de santé ou des secteurs médico-social et social, les associations d’usagers et « les opérateurs publics et privés du développement et de l’édition des systèmes d’information et des services et outils numériques en santé ».

L’article L1110-4-2 du CSP va même jusqu’à mettre en place une procédure d’évaluation et de certification permettant d’attester la conformité d’un système d’information ou d’un service ou outil numérique en santé aux référentiels d’interopérabilité de l’ASIP Santé.

L’ASIP Santé dispose donc désormais d’une arme juridique pour imposer davantage un cadre technique ou des normes d’interopérabilité et de sécurité.

Des mesures incitatives seront prises pour s’assurer de l’effectivité du respect des référentiels d’interopérabilité par les éditeurs. De même, le non-respect des référentiels d’interopérabilité sera sanctionné par un défaut d’attribution de fonds publics dédiés au financement d’opérations de conception, d’acquisition ou de renouvellement de systèmes d’information ou de services ou outils numériques en santé.

Le RGPD avait manqué son rendez-vous avec les éditeurs de logiciels puisque s’ils n’opèrent aucun traitement de données personnelles, ils sont exclus au sens strict du champ d’application matériel du RGPD. La France va réussir pour autant à imposer, aux éditeurs des hôpitaux, de distribuer des logiciels conformes aux référentiels d’interopérabilité. Dès lors, les établissements de santé devront bien encadrer contractuellement le respect de cette obligation de conformité.

• La recherche d’un équilibre entre protection des données et innovation médicale

Certains considèrent que le RGPD est trop protecteur et bloquerait l’innovation. C’est un argument fallacieux. Il ne faut pas croire que le RGPD ajoute une contrainte réglementaire supplémentaire pour mettre en place les EDS.

Bien au contraire, le RGPD est un texte qui a su concilier la responsabilisation des acteurs et la protection des personnes.

Le RGPD encourage l’utilisation de formats permettant la portabilité des données.

Il offre une grande latitude aux Etats pour prendre des dispositions spécifiques aux données de santé et prévoit un certain nombre d’exceptions au recueil du consentement.

Il encourage la pseudonymisation qui peut permettre des traitements impossibles lorsque les données sont nominatives.

Il assouplit l’obligation d’information des personnes lorsque celle-ci se révèle impossible ou exigerait des efforts disproportionnés.

D’autres expliquent que le blocage serait d’abord culturel : les citoyens français seraient réticents au partage des données de santé.

Dans le prolongement de la théorie du philosophe libéral Gaspard Koenig, des juristes proposent d’inventer un droit de propriété sur les données de santé pour permettre aux citoyens de contrôler les données les concernant en les monétisant. Une conception patrimoniale ou libérale des données personnelles et son corollaire, la monétisation des données, pourrait aboutir à un renoncement au respect de sa vie privée et donc une atteinte à l’ordre public qui comporte la sauvegarde de la dignité de la personne humaine.

Une autre doctrine propose d’assimiler les données de santé à un bien commun ou collectif dont la protection serait assurée par l’Etat. Cette conception pourrait permettre notamment de supplanter le consentement des personnes concernées au nom de l’intérêt général.

Le consentement serait même une fiction ou un leurre.

« Dans l’univers actuel des données massives, le principe du consentement est moins évident en raison des multiples échanges qui interviennent bien au-delà de la collecte. »

(audition du 26 novembre 2014 de Mme Falque-Pierrotin, présidente de la CNIL de 2011 à 2019, devant la Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique).

 

Cette conception des données de santé est-elle celle qui émerge puisque sur le site du HDD, il est précisé que les données de santé financées par la solidarité nationale constituent un patrimoine collectif ?

Toujours est-il que les personnes ne disposent pas d’un “abusus” sur les données à caractère personnel les concernant, autrement dit, elles ne peuvent pas en disposer librement, conformément notamment au principe d’indisponibilité des données de santé, émanation du principe d’indisponibilité du corps humain.

Il y a sans doute un équilibre à trouver entre la patrimonialisation des données personnelles et le consentement pour enrichir les jeux de données à disposition dans les Hubs.

Les données de santé sont particulièrement bien encadrées. Outre des règles déontologiques fortes et au-delà du Code civil qui protège la vie privée et du Code pénal qui réprime les manquements au secret médical, le Code de la santé publique fixe les limites du secret partagé, interdit la cession ou l’exploitation commerciale des données de santé, précise les conditions d’échange et de partage de ces données, prévoit des référentiels de sécurité et d’interopérabilité des données, définit les conditions pour héberger les données (certification HDS) ou mettre à disposition des données (INDS), tout cela s’ajoutant bien-sûr au cadre général de la réglementation relative à la protection des données et à la doctrine de la CNIL.

Ces garde-fous doivent permettre un régime adapté mais protecteur dans lequel le consentement ne doit pas être la panacée pour les EDS, mais garde sa légitimité.

Si les données de santé ne peuvent être exploitées et partagées comme d’autres données à caractère personnel puisqu’elles relèvent de la sphère la plus intime, la poursuite d’objectifs légitimes de santé publique des EDS peut justifier une interprétation agile mais non complaisante des textes.

Le nombre d’autorisations délivrées par la CNIL pour des EDS hospitaliers démontre sa bienveillance et sa tolérance pour ceux qui ne l’ont pas sollicitée. Rappelons par ailleurs qu’une analyse d’impact est requise pour les traitements nécessaires à la constitution d’un EDS.

Cette interprétation « agile » ne doit pour autant, conduire à nous affranchir des fondamentaux concernant la protection des droits des patients.

Les patients sont des personnes vulnérables. Préoccupés par leur état de santé, ils sont peu vigilants sur leurs données.

« Les développements technologiques de ces dernières années ainsi que les pratiques sociales qu’ils génèrent semblent battre en brèche la capacité, voire même la volonté, des individus d’exercer un véritable contrôle sur leurs données personnelles » (Christophe Lazaro et Daniel Le Metayer, Le consentement au traitement des données personnelles : une perspective comparative sur l’autonomie du sujet, 2015).

Nous tenons à rappeler que le RGPD autorise un État à limiter les droits des personnes fichées et les obligations des responsables de traitement dès lors qu’une telle « limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » pour garantir des objectifs importants d’intérêt public général notamment dans le domaine de la santé publique et de la sécurité sociale.

S’agissant du consentement, le plus important n’est-il pas l’information claire, loyale et appropriée qui est à la source de celui-ci et de sa validité ?

Le Docteur Lucas, délégué général aux systèmes d’information en santé du Conseil national de l’Ordre des médecins jusqu’en juin dernier, et bientôt président de l’Agence du numérique en santé (ex-Asip santé), a écrit dans l’ouvrage « Les systèmes informatisés complexes en santé » (Dalloz) :

« La relation de soins s’est historiquement fondée sur un contrat implicite entre une personne et un médecin librement choisi. Juridiquement, cette donnée historique s’est consolidée par l’arrêt (…) Mercier de la Cour de Cassation en 1936. La validité de ce contrat impose naturellement et juridiquement que la personne soit non seulement apte à consentir mais qu’elle consente librement, après avoir été dûment informée. (…). Depuis la loi du 4 mars 2002, les technologies de l’information et de la communication numérique ont fait irruption dans l’exercice de la médecine. Cela impose un regard attentif sur les usages éthiques du numérique en santé, quant à la protection des données personnelles et les conditions de leur utilisation et de leur partage entre différents intervenants ».

Sans doute convient-il de privilégier les conditions d’information des patients plus que la formalisation à tout prix de leur consentement, le droit à l’information du patient conditionnant son consentement.

Le professionnel de santé n’est pas tenu de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires :

• à l’appréciation médicale ou médico-sociale : médecine préventive, diagnostics médicaux, administration de soins ou traitements, prise en charge sanitaire et sociale ;
• à la sauvegarde des intérêts vitaux d’une personne, qui ne peut notamment donner son consentement par suite d’une incapacité physique ou juridique ;
• à la gestion des systèmes et services de soins de santé ou de protection sociale ;
• aux traitements nécessaires à la recherche scientifique ;
• aux traitements justifiés par l’intérêt public, telle la préservation de la santé publique.

Il existe donc déjà un grand nombre de situations dans lesquelles le droit d’opposition prime sur le consentement.

Aussi il n’y a pas lieu de se focaliser sur le consentement de plus en plus fragilisé.

A force de s’arc-bouter sur le formalisme du consentement, le patient ne s’éloigne-t-il pas de ses données personnelles ?

Le consentement aux soins n’est déjà pas une « mince affaire ».

Certes le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation d’actes médicaux.

Dans la situation où le consentement aux soins est requis, et dans la mesure où le patient est une personne vulnérable, ne devrions-nous pas délivrer une information claire, loyale et appropriée, y compris sur la réutilisation des données, à défaut de formaliser son consentement au traitement de ses données ?

L’obligation d’une information sur les données personnelles peut s’insérer dans l’obligation de l’information complète à la charge du professionnel de santé, ce qui implique une bonne compréhension par le patient, le droit au refus de soins et le droit de s’opposer au traitement de ses données.

Au-delà de cette harmonisation du consentement, la logique d’opposition ne doit-elle pas supplanter celle du consentement eu égard à l’impérieuse nécessité d’ouvrir aujourd’hui ces données et à la définition de règles et bonnes pratiques de plus en plus contraignantes en matière d’éthique, de sécurité et d’interopérabilité ?

La réglementation ne doit pas servir d’exutoire pour justifier notre retard dans l’interopérabilité.

Il manque encore une dynamique à l’échelle du territoire pour répondre aux défis techniques et réglementaires posés par les EDS.

Une autre difficulté pour le secteur public est sa faible attractivité pour attirer des profils qualifiés comme les data scientists, déjà très courtisés par les Gafam et les banques qui proposent des rémunérations bien plus élevées. Le vivier des data scientists est faible car pour gérer, analyser et exploiter des données massives, il faut des compétences de haut niveau en ingénierie, informatique et sciences des données, et ces profils sont particulièrement rares.

Au final, les EDS sont une formidable opportunité pour les patients, les professionnels de santé et la santé publique. Encore faut-il qu’un encadrement clair puisse être mis en place dans une organisation cohérente qui permette une interopérabilité … entre EDS !

Trois plateformes vont coexister : l’Espace numérique de santé pour les usagers, le bouquet de services numériques à destination des professionnels et le HDH pour l’exploitation des données de santé. Attention à ne pas trop les verrouiller par une « ankylose » territoriale, réglementaire ou éthique…

La voie a été tracée récemment par le législateur. Ainsi le dossier médical partagé (DMP) nécessite aujourd’hui un consentement exprès (article L1111-14 du CSP). La loi n° 2019-774 du 24 juillet 2019 prévoit l’ouverture automatique du DMP, sauf opposition de la personne concernée, à compter du 1^erjuillet 2021.

À suivre…