ARTICLE – Données de santé : une richesse à faire fructifier? Ou un trésor à défendre ?

Article paru dans la Revue Gestions Hospitalières n°571, décembre 2017

Brigitte de LARD-HUCHET, Consultante du Centre de droit JuriSanté du CNEH

Jane DESPATIN, Consultante Pôle stratégie et Performance du CNEH

Le 1^er décembre dernier, la section sociale du Conseil d’Etat organisait une journée consacrée à la thématique « Santé et protection des données ». L’occasion de quelques réflexions sur un sujet à la croisée des chemins, tant les enjeux juridiques, technologiques, économiques, éthiques et sociétaux de la question sont actuellement aigus. Si le thème n’est pas propre aux établissements de santé, les hospitaliers sont pourtant en première ligne pour répondre aux attentes des citoyens. Le point sur les dimensions juridiques à prendre en compte.

1. Une richesse à faire circuler : Garantir la communication des données entre acteurs, au service du patient.

Pouvoir partager les données concernant la santé d’un patient pour assurer la continuité de ses soins et optimiser les conditions de sa prise en charge, c’est un enjeu pour tout acteur de santé. L’hôpital est plus que tout autre face à ce défi, avec la réforme des groupements hospitaliers de territoire (GHT) : les établissements parties au GHT doivent mettre en place, sous l’égide de l’établissement support, un système d’information hospitalier « convergent », en particulier « la mise en place d’un dossier patient permettant une prise en charge coordonnée des patients au sein des établissements parties au groupement » (art.L. L6132-3-1° CSP).

De l’avis de nombreux acteurs, la constitution des filières de soins, pierre angulaire du projet médical partagé des GHT, passe inévitablement par la capacité des établissements à rendre interopérables, à défaut de fusionner, leurs systèmes d’information. La circulation des données de santé, collectées par les professionnels de santé ou par le patient lui-même (via des objets connectés par exemple), est alors un paradigme essentiel de la qualité de prise en charge du patient. Elle répond dans ce cas à un intérêt individuel, celui du patient. Cette convergence des systèmes d’information au sein des GHT, et, travers elle, la meilleure transmission des données entre établissements de santé partenaires, qui se succèdent dans la prise en charge, relèvent aujourd’hui d’un objectif structurel : améliorer la fluidité du parcours patient en facilitant la circulation des données de santé qui le concernent.

On peut s’attendre à ce que cet objectif revête (prochainement ?) le caractère d’une obligation de résultat à la charge des établissements de santé, obligation dont le patient serait le premier créancier. Et d’imaginer alors qu’un jour, le patient puisse demander que soit reconnu le préjudice consécutif à une transmission de données défectueuse ou absente entre les deux établissements qui l’ont reçu, et qui aurait eu pour conséquence la dégradation de sa prise en charge ? Le patient n’hésite plus à se saisir des (dés)organisations hospitalières pour faire valoir que les soins délivrés n’ont pas été à la hauteur des exigences de la prise en charge !

Doit-on alors se rassurer à la lecture du calendrier de mise en convergence effective des systèmes d’information hospitaliers (SIH) au sein des GHT ? Pas si sûr, quand on sait que l’échéance est fixée au 1^er janvier 2021[1], échéance que l’ensemble des acteurs hospitaliers jugent bien peu réaliste… Ce risque juridique là est alors aussi à prendre en compte.

1. Une richesse à faire fructifier : Créer les conditions d’une circulation maîtrisée des données de santé, au service de la santé publique ?

C’est là la véritable révolution, sous l’impulsion du droit communautaire. Le règlement européen sur la protection des données (RGPD)[2] propose un modèle juridique commun pour la gestion des données personnelles, et notamment de santé. Le texte a pour ambition de créer un équilibre entre, d’une part, une circulation des données nécessaire pour répondre aux nouveaux enjeux économiques et sociétaux, et, d’autre part, le droit fondamental des personnes physiques à être protégées à l’égard des traitements de données personnelles les concernant. Cet équilibre se résume ainsi : « Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité » (Préambule du RGPD).

Les hospitaliers doivent prendre en compte ce nouveau contexte de l’exercice professionnel. Aujourd’hui, si la relation avec le patient reste le vecteur essentiel d’exercice des professionnels de santé, les données de santé dans leur dimension systémique deviennent un outil de premier ordre au service de la recherche et de la prestation clinique.

On ne citera, pour illustrer cette idée qu’un exemple, qui paraît être passé relativement inaperçu des hospitaliers. La loi de modernisation de notre système de santé (LMSS)[3] a posé les bases d’un « open data » en santé. L’article L.1460-1 du code de la santé publique dispose ainsi : « Les données de santé à caractère personnel recueillies à titre obligatoire et destinées aux services ou aux établissements publics de l’Etat ou des collectivités territoriales ou aux organismes de sécurité sociale peuvent faire l’objet de traitements à des fins de recherche, d’étude ou d’évaluation présentant un caractère d’intérêt public, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les traitements réalisés à cette fin ne peuvent avoir ni pour objet ni pour effet de porter atteinte à la vie privée des personnes concernées. Sauf disposition législative contraire, ils ne doivent en aucun cas avoir pour fin l’identification directe ou indirecte de ces personnes.

Les citoyens, les usagers du système de santé, les professionnels de santé, les établissements de santé (…) ont accès aux données mentionnées … ».

La création du Système National des Données de Santé (SNDS)[4] marque l’ouverture vers une approche nouvelle de l’utilisation des données de santé. Le SNDS, géré par la Caisse Nationale de l’Assurance Maladie des Travailleurs Salariés (CNAMTS), permet déjà de chaîner :

• Les données de l’Assurance Maladie (base SNIIRAM) ;
• Les données des hôpitaux (base PMSI) ;
• Les causes médicales de décès (base du CépiDC de l’Inserm) ;

Les données relatives au handicap (en provenance des MDPH – données de la CNSA), et un échantillon de données en provenance des organismes d’Assurance Maladie complémentaire seront à terme intégrés.

Les industriels ont identifié cette spécificité française comme un atout majeur pour le développement de systèmes d’aide à la décision médicale, basés par exemple sur l’intelligence artificielle[5], qui pourraient contribuer à améliorer la prise en charge des patients dans les prochaines années. Ces systèmes requièrent en effet l’accès à des bases de données structurées pour être performants et contribuer à l’amélioration des prises en charge.

Les hospitaliers doivent s’interroger à leur tour sur ce que peut leur apporter ce nouveau dispositif, en matière de recherche, d’essais cliniques, d’épidémiologie bien sûr, mais également, pourquoi pas, pour définir de nouvelles stratégies d’organisation, anticiper l’évolution des activités, des plateaux techniques, des filières de soins et des partenariats à construire ?

L’hôpital n’est alors plus seulement producteur et détenteur de données de santé. Il peut les solliciter à l’extérieur, au service de ses propres activités.

1. Un trésor à défendre ? Construire une culture partagée de la protection des données

Pourquoi ne positionner la protection des données de santé qu’en troisième position dans cet argumentaire ? Parce que cet enjeu a souvent été mal maîtrisé par les professionnels hospitaliers, qui peuvent en avoir une lecture déformée, partielle, si ce n’est partiale, au détriment des intérêts du patient. Il faut redonner à la confidentialité des données de santé sa vocation première, le respect de la vie privée du patient.

On ne peut que regretter sur ce point la complexité des textes intervenus pour encadrer la notion de partage d’informations nominatives sur la santé du patient. Les articles L.1110-4, L.1110-12 CSP, et leurs textes réglementaires d’application, ont introduit un dispositif juridique particulièrement complexe, pour décliner un principe pourtant essentiel : la continuité et la qualité des soins supposent que les professionnels intervenant dans la prise en charge d’un même patient puissent partager les informations strictement nécessaires à l’exercice de leurs missions respectives auprès de ce patient.

Au-delà, doit primer la confidentialité des données, pour laquelle l’établissement est tenu d’une obligation qu’on pourrait qualifier de résultat (L1112-1 III CSP).

La question de la posture professionnelle sur ces questions, qui n’était jusqu’à présent abordée qu’au travers des situations classiques en unités de soins, trouve de nouveaux développements à travers le déploiement permanent de traitements de données en santé. La condamnation pénale récente d’un praticien hospitalier[6] pour avoir procédé à un traitement de données à caractère personnel sans autorisation de la CNIL, qui a abouti à la divulgation d’informations nominatives sur internet concernant les parturientes et leurs nouveau-nés, a ému la communauté hospitalière. Elle témoigne de la nécessité de former les professionnels à ces nouveaux risques juridiques.

Il ne s’agit donc pas, ni de protéger aveuglément la confidentialité, ni de faire obstacle aux potentialités ouvertes par les évolutions technologiques. Mais plutôt, de construire une culture partagée et cohérente de la confidentialité[7], élément substantiel de la gestion des risques concernant le traitement des données de santé.

[1] Article 5-V du décret n° 2016-524 du 27 avril 2016 relatif aux groupements hospitaliers de territoire

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[3] LOI n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, article 193

[4] https://www.snds.gouv.fr/SNDS/Accueilhttps://www.snds.gouv.fr/SNDS/Accueil

[5] Olivier Clatz, Therapixel, 27 novembre 2017, Conférence SFR- CNEH AFIB, RSNA, Chicago

[6] TGI de Marseille, 6ème ch. corr., jugement du 7 juin 2017

[7] Notion à ne pas confondre avec celle de l’information partagée soumise au secret, cf sur ce point les articles L.1110-4 et L.1110-12 CSP.