A titre d'exemple, le Big data permet le développement de systèmes d'aide au diagnostic, la personnalisation des traitements du patient en fonction de ses caractéristiques génétiques, le développement d'objets connectés toujours plus perfectionnés, l'identification de menaces sanitaires grâce au croisement et recoupement de données, le repérage d'événements indésirables graves, l'amélioration de la prévention en affinant le ciblage des populations à risque, etc.
Ces outils se développent grâce aux données existantes et en créent à leur tour, contribuant à l'amélioration et au perfectionnement de ces nouveaux systèmes.
Ces nouveaux outils, issus du big data, permettent d'accroître le bien-être des populations par la minimisation des risques d'apparition de maladies et l'amélioration du diagnostic et de la prise en charge médicale. Toutefois, cette volonté de contribuer à l'amélioration du bien-être humain se heurte à la nécessité d'une utilisation extensive de données sensibles et personnelles.
Définition et sources des données de santé
Le RGPD (Règlement général sur la protection des données), entré en vigueur le 25 mai 2018, est venu définir les données de santé à caractère personnel comme « l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ».
Les données de santé se distinguent par leur caractère personnel et sensible. Personnel car relatives à une personne physique identifiée ou identifiable, et sensibles en ce qu'elles sont normalement couvertes par le secret médical et présentent des risques importants du point de vue des libertés et des droits fondamentaux. Par conséquent ces données sont soumises à un régime juridique spécifique et font l'objet d'une attention particulière de la part des pouvoirs publics.
La terminologie de « données de santé » recouvre plusieurs types d'informations :
Les informations sur la personne physique telles que les dates de soins, le code postal du domicile, le mois et l'année de naissance. Ces données, bien que ne rentrant pas dans le registre de la donnée de santé stricto sensu, sont considérées comme particulièrement sensibles car susceptibles de permettre une ré-identification.
Un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé. Il peut s'agir du NIR (Numéro d'inscription au Répertoire) autrement appelé numéro de sécurité sociale.
Egalement, les données de santé par nature : antécédents médicaux et chirurgicaux, prestations de soins réalisées, prescriptions médicales et traitements, résultats d'examens cliniques et paracliniques, informations génétiques, etc.
Enfin, les données de santé obtenues par recoupement et croisement : par exemple l'association du poids d'une personne avec le nombre de pas réalisés ou les apports caloriques. Paradoxalement, les applications mobiles de santé (temps de sommeil, nombre de pas, taux de glycémie, fréquence cardiaque, suivi du poids, etc.) ne rentrent pas dans le champ d'application des données de santé tant que les données collectées sont utilisées à des fins exclusivement personnelles sans traitement extérieur.
Il existe actuellement en France plus de 260 bases de données publiques dans le domaine de la santé, sans compter les données provenant des cohortes et registres, des essais cliniques et des dossiers médicaux. La plus importante base de données médico-administratives est le SNIIRAM (Système national d'information inter régimes de l'assurance maladie).
Cette base est d'une incroyable richesse puisqu'elle contient l'offre et la consommation de soins ainsi que l'état de santé des quelques 65 millions de français depuis 1999, et fait l'objet de beaucoup d'attentions. Jusqu'en 2016, l'accès à cette base était interdit aux organismes à but lucratif. Une décision du Conseil d'Etat a obligé l'ouverture de la base de données aux structures à but lucratif voulant réaliser une étude d'intérêt général, après avis de la Cnil.
A côté des acteurs classiques du domaine de la santé, tels que les professionnels de santé, les établissements de santé, l'Assurance maladie et les autorités sanitaires, se positionnent progressivement d'autres acteurs, créant leurs propres bases de données ou souhaitant accéder aux bases de données existantes : start-up du numérique et de la santé, industriels de la santé, assurances et Gafam (Google, Apple, Facebook, Amazon, Microsoft).
A titre d'exemple, Google a tenté, avec un succès limité, d'identifier en temps réel les épidémies de grippe en fonction des requêtes des utilisateurs dans son moteur de recherche.
Quelles sont les risques liés à ces données de santé et leur utilisation dans le cadre du Big data ?
Un des risques déjà existant est celui de la ré-identification. Concernant les bases de données de santé publique, la règle est celle de l'anonymisation systématique des données.
Par exemple, sur le SNIIRAM, les noms et adresses disparaissent et un identifiant SNIIRAM se substitue au NIR de manière définitive.
Toutefois, il existe toujours un risque de ré-identification indirecte notamment grâce au recoupement de données. Par exemple, en ayant connaissance d'un épisode de soins à une date précise, il est possible de repérer la personne concernée et accéder à des informations supplémentaires sur sa santé. Ce risque diminue lorsque les données sont agrégées puisque les individus disparaissent au profit de groupes.
Un risque de discrimination accru : la circulation de données de santé nominatives ou mal sécurisées pourrait conduire à des conséquences néfastes et discriminatoires si elles étaient utilisées dans un autre cadre que celui pour lesquelles elles ont été traitées et collectées.
Par exemple, si des données de santé parvenaient à une compagnie d'assurance ou bancaire, cela pourrait avoir des conséquences pour le patient telles que des difficultés à obtenir un prêt (ou alors à un taux d'intérêt élevé), la modulation des cotisations d'assurance en fonction de l'état de santé, etc. Les compagnies d'assurance se montrent très intéressées par ces données de santé quand bien même la loi Evin interdit encore la tarification basée sur des données médicales.
Les Gafam pourraient aussi s'approprier les données de santé. Les objets connectés permettent en effet de récolter un grand nombre d'informations et les Gafam détiennent la technologie adéquate pour traiter ces données. Ils ont également les moyens financiers, humains et technologiques pour lancer des projets de grande ampleur faisant appel à l'intelligence artificielle et au machine learning.
Google est en pointe, grâce à sa filiale Calico qui ambitionne de prolonger la vie en traitant les maladies associées au vieillissement. Quant à Verily, filiale d'Alphabet, elle est capable de réaliser un bilan cardiovasculaire à partir d'une photo de fond d'œil. Les Gafam pourraient représenter dans les années à venir une menace pour les pouvoirs publics dans le domaine de la santé et pour la vie privée des utilisateurs.
Quelles solutions réconciliant protection des données de santé et développement du Big data en santé ?
La blockchain, en tant que technologie de stockage et de transmission d'informations sans organe de contrôle, pourrait intervenir comme tiers de confiance afin de garantir et d'assurer l'anonymat des données de santé.
Les Etats-Unis ont déjà lancé plusieurs projets dans le domaine du médicament et de la prévention des épidémies se fondant sur la blockchain. L'Union européenne, en partenariat avec des entreprises privées tels que Siemens, a lancé le projet MyHealthMyData se fondant sur la blockchain.
Ce projet, dont l'objectif est d'être le premier réseau ouvert de données biomédicales, vise à faciliter l'accès et la mise à disposition de données de santé, tout en les protégeant.
Toutefois, ces projets fondés sur la blockchain sont confrontés à des difficultés multiples telles que l'absence d'harmonisation et d'interopérabilité (possibilité de communication entre plusieurs systèmes informatiques) des systèmes actuels de collecte d'informations. L'intervention d'acteurs nombreux, hétérogènes et poursuivant des finalités distinctes vient renforcer les difficultés précitées.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
L'EDHEC Business School dispose de deux atouts pour contribuer aux réflexions sur ces sujets. D'une part, son centre de recherche LegalEdhec, dont les travaux – reconnus – à l'intersection entre le droit et la stratégie, et portant sur le management des risques juridiques et la performance juridique, l'amènent aujourd'hui à lancer son nouveau projet A3L (Advanced Law, Lawyers and Lawyering). D'autre part, ses étudiants, et en particulier ceux de sa Filière Business Law and Management (en partenariat avec la Faculté de droit de l'Université Catholique de Lille) et de son LLM Law & Tax Management, dont la formation et les objectifs professionnels les placent au cœur de ces enjeux du digital.
