Données de santé

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Les données de santé sont toutes les données médicales et/ou relatives aux déterminants généraux de santé, et à la santé d'une personne, d'un groupe de personnes (couple, famille, quartier, ville, région, ethnie, pays, etc.) ou de populations (santé publique, santé au travail, santé reproductive). Cette formulation est généralement utilisée pour la santé humaine plutôt que vétérinaire. Ces données sont utilisées pour le suivi et l'évaluation des systèmes et politiques de santé, pour établir des budgets prévisionnels, faire de la prospective en santé et croiser ces indicateurs avec d'autres (environnement, alimentation, précarité, éducation, usages de psychotropes, alcoolisme, tabagisme, etc.[1]).

En France, un « projet de loi de santé » (porté par Marisol Touraine, présenté le 15 octobre 2014 en Conseil des ministres[2] et qui sera débattu au Parlement en 2015) propose la création d'un « Système national des données de santé » (SNDS) qui devrait unifier les bases de données existantes, et serait gérée par la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) qui devra mettre à disposition du public (en Open Data) les données suivantes (anonymisées, avec une ouverture graduelle des données, en fonction du risque de réidentification des patients)[3] :

  1. données issues des systèmes d'information hospitaliers;
  2. données du système d’information de l'assurance maladie ;
  3. données sur les causes de décès ;
  4. Certaines données de remboursement transmises par les organismes d’assurance maladie complémentaire.

Typologie générale des données de santé[modifier | modifier le code]

Ces données sont de plusieurs grands types :

  1. Les données statistiques relatives aux indicateurs généraux de santé publique, par exemple sur l'état de santé d’une population, la prévalence et l’incidence des maladies, les maladies émergentes ; Informations sur les professionnels de santé (démographie, activités, revenus, formation continue, prospective...) ;
  2. Les données relatives à des facteurs « extrinsèques » environnementaux non-personnels de santé (ex : variations selon la qualité de l'environnement (qualité de l’eau, de l’air, du sol...), le contexte écopaysager et climatique général ou régional,
  3. Les données de contextualisation de la santé relativement à l'individu (ex : l’âge, le sexe) et à son insertion psychosociale (ex : le statut social et la catégorie socioprofessionnelle, la richesse individuelle ou le revenu familial, le niveau d'études, l’indice de masse corporelle, l’alimentation, la consommation d’alcool, consommation d'alcool chez les jeunes en France ou de tabac, les pratiques sexuelles, le fait d'être dans une classe d’intégration scolaire (CLIS) pour un élève[4] etc.
  4. certains caractères génétiques (les législations varient selon les pays, et peuvent évoluer rapidement. En France, pour les travaux préparatoires de la loi du 6 août 2004 « les données génétiques sont considérées comme des données de santé »[5]
  5. Les données et indicateurs relatifs aux politiques et stratégies de santé publique (ex: objectifs de dépenses d'assurance maladie, programmes de santé, formation médicale et numérus clausus, etc.), l’offre de soins : établissements et professionnels de santé, classés selon la nature de l’offre (spécialités, équipements, capacités…), l’activité, la distance, la disponibilité, la réputation et d’autres indicateurs de la qualité, les tarifs ; les dépense de santé : consommation de soins et biens médicaux, indemnités journalières, prévention environnementale et alimentaire, formation des professions de santé, recherche dans le domaine de la santé, dépenses de santé liées au handicap et à la dépendance… ou encore les informations sur le financement (plus ou moins solidaire) de la dépense de santé (assurance maladie obligatoire, assurances complémentaires, ménages…)[6] ;
  6. Les « donnée de santé à caractère personnel » (Données « élémentaires » ou « personnelles », "identifiées" et "identifiables" qui sont - en l’absence de définition légale - généralement définies comme toute « donnée » « susceptible de révéler une maladie de la personne » (personne physique ou morale).
    En principe, ces données recueillies par du personnel de santé ou lors d’une action administrative (industrielle, médicale, judiciaire…) sont confidentielles et ne peuvent être utilisées que pour ce pourquoi elles ont été collectées (la santé du patient, l’action judiciaire… et conformément au droit). Cependant la recherche médicale, pharmaceutique, démographique, etc. a régulièrement besoin d’avoir accès à de telles donnée. Des dérogations sont donc prévues par la loi, en France principalement encadrées par trois lois (Loi Informatique et Libertés de 1978, Loi sur le secret statistique de 1951, Loi sur les Archives). Sauf cas particuliers encore plus encadrés, elle se fait avec des données anonymisées.

Un projet de règlement européen sur la protection des données élargit cette définition en considérant qu’il s’agit de « toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne »[7].

Ces données peuvent aussi être classées selon leurs sources (voir exemples plus bas), leur lieu de stockage et conservation, leurs durées obligatoire de conservation, leurs temporalité ou rythme de collecte, leur statut de protection, ce qu'elles décrive (ex : statistiques d'état, de pression ou de réponse)

Chaque donnée peut être caractérisée par son degré de précision :

  • données « brutes » (ou dite « granulaire ») : c'est la donnée la plus fine disponible (le grain variant selon le type donnée et le système de collecte) ;
  • données « extraites » (ex échantillon de données brutes, donnée floutée pour une à plusieurs de ses dimensions) ;
  • données « agrégées » (ex : statistiques de type indicateurs, tendances, comparaisons, totaux, etc.

La notion de donnée de santé[modifier | modifier le code]

Elle n'est pas encore tout à fait fixée, mais il y a un consensus en Europe pour la définir largement : Ainsi, un document de travail élaboré en 2007 par le G29 (qui regroupe toutes les structures et autorités homologues de la CNIL dans les États membres de l'Union européenne) a proposé de retenir une approche large de la donnée de santé : « une donnée en relation étroite avec l’état de santé de la personne, telle qu’une information sur la consommation d’alcool, de drogues ou de médicaments doit être considérée comme une donnée de santé au sens de la directive »[8]

La notion de « donnée personnelle » dans le domaine de la santé[modifier | modifier le code]

La plupart des législations protègent le caractère personnel de certaines données.

Par exemple en France est une donnée personnelle toute « donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres »[9] ; il peut par exemple s’agir des « origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses ou appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle » [10] ou de données portant « sur des faits, des actions, des opinions, etc. qui s’ils étaient divulgués, porteraient préjudice aux intérêts ou à la réputation de la personne concernée ».

Une donnée médicale n’est plus considérée comme « personnelle » quand elle est anonymisée de manière à ce que la ré-identification du patient ne soit plus possible. Cependant cette notion de ré-identification évolue et doit être régulièrement requestionnée alors que progressent les capacités de logiciels de data mining qui permettent éventuellement par le croisement de jeux de données accessibles aux fournisseurs d’accès ou à certains sites de tenter de reconstituer un profil personnel à partir de données éparses mal protégées[11].
Une directive européenne sur la protection des données (de 1995) et un projet de règlement européen précisent que cette possibilité d’identification doit être appréciée en considérant « les moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne ».

La CNIL et d'autres instances spécialisées dans la protection des données rappellent que « l'absence dans un fichier d’identification directe, par exemple par le nom ou l’adresse de la personne physique ou morale, ne suffit pas à considérer qu’un tel fichier comporte des données anonymes »[12].

La notion de donnée « sensible » dans le domaine de la santé[modifier | modifier le code]

Sont dites « sensibles » les données « particulièrement susceptibles de permettre une réidentification », soit quatre catégories de données :

  1. dates de soins ;
  2. code postal du domicile ;
  3. mois et année de naissance ;
  4. date de décès (le cas échéant) ;

En France, et dans le cadre de la E-santé, qui inclut des dossiers médicaux électroniques et des standards d'interopérabilité qui se mettent peu à peu en place, dont en Europe avec par exemple le Projet européen « Smart Open Services for européen patients » (ou epSOS), lancé en 2008 pour développer un Patient Summary et une forme d' ePrescription selon des standards transfrontaliers facilitant une éventuelle mobilité des patients d'un pays à l'autre) [13], la CNIL juge qu'elles appellent une protection renforcée, notamment à l'hôpital, et qu'il y a « nécessité d’un identifiant générateur de confiance (...), identifiant de santé spécifique bénéficiant du processus de certification du NIR (...) à partir des traits d’identité contenus dans la carte Vitale ». Dans ses réponses à des demandes d'utilisation de données sensibles, la CNIL peut peut interdire le croisement de ces données, ou n’autoriser qu'un accès partiel (en conservant par exemple le nom de la localité, mais non les autres données identifiantes, qui sont alors « floutées » (le floutage consiste à rendre la donnée irréversiblement moins précise par exemple en remplaçant le jour par le mois, le mois par l’année, le code postal par le no  de département).

Protection légale des données de santé[modifier | modifier le code]

En France et en Europe, hors de la sphère médicale où ces données sont couvertes par le Secret professionnel (secret médical notamment) et sauf exceptions clairement définies et fortement encadrées, les « données de santé personnelles » font partie de celles que la loi interdit de collecter ou de traiter.

L’une des conditions préalables à l’exception pour une utilisation est l’accord du patient dont les modalités sont plus ou moins précisées selon les pays et les contextes. En France, selon Frédérique Lesaulnier (juriste chargé du secteur de la santé à la CNIL), cet accord doit être « valablement recueilli »[14] (« éclairé et explicite »[14], « Clair et univoque mais pas nécessairement formalisé par écrit ») ; il suggère (en 2011) une harmonisation au moins européenne des modalités de recueil du consentement[14].

La diffusion involontaire ou malveillante de telles données est jugée contraire à la protection de la vie privée et potentiellement susceptible de menacer les intérêts matériels et les libertés. Elle est punie par la loi (en France : articles 226-13 du Code pénal ; violation du secret professionnel : 1 an d’emprisonnement et 15 000 € d’amende) ; articles 226-16 à 226-24 du Code pénal (fichiers et informatique : 5 ans d’emprisonnement et 300 000 € d’amende).

Ces données sont donc stockées sur des serveurs sécurisés (quand l’hébergeur de ce type de données n'est pas le producteur des données, il doit en France avoir obtenu un agrément préalable pour l’hébergement des données de santé à caractère personnel) et ne devraient transiter dans l’internet que via des voies sécurisées.

En outre, en réponse à la capacité d'Internet à durablement mémoriser certaines informations personnelles, il existe aussi le développement d'un droit à l'oubli[15].

Conditions d’accès aux données personnelles de santé[modifier | modifier le code]

Dans quelques cas (en France cadrés par la Loi informatique et libertés[16]) la confidentialité des données peut être partagée avec certains tiers :

  • pour des raisons d'intérêt public ou dans l'intérêt du patient (dans certains réseaux de soins, via le web médecin, le dossier médical personnel ou le dossier pharmaceutique (qui permet de lutter contre les interactions médicamenteuses dangereuses ou indésirables), dans le cadre de la télémédecine (Avis sur décret du 19 oct 2010, dans le cadre d'une gestion globale du risque hospitalier, ou de besoins de biométrie à l'Hôpital à fins d'identitovigilance[17],[18]
  • pour la recherche, avec des chercheurs ou des organismes de mission de service public, qui peuvent avoir accès à des données personnelles de santé, à certaines conditions (en France, cet accès doit être justifié, limité à un petit nombre de personnes, entouré de garanties appropriées et préalablement autorisé par la CNIL (ou permis par la loi, ou autorisé par les intéressés).

En France, quand un chercheur veut accéder à des données personnelles nécessaires (pour des recherches médicales) il doit d’abord obtenir un avis du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé, puis obtenir une autorisation de la CNIL. L’institut des Données de Santé (IDS) est chargé d’accepter ou refuser les demandes d’accès aux données du SNIIRAM, dont le système d’information est réputé particulièrement peu accessible et « à des conditions touffues et contestées »[19].

L’accès du patient à ses données de santé a été réaffirmé par la loi du 4 mars 2002[20], et repose sur l'article 40 de la loi Informatique et Libertés[21].

Conditions de rectification ou de suppression des données personnelles de santé[modifier | modifier le code]

L'article 40 de la loi Informatique et Libertés permet également - outre le droit de consultation - une possibilité de demande de rectification et de suppression de ses données personnelles[21]. Les données de santé étant des données personnelles, cette possibilité s'applique à elles.

Moyens d’anonymisation des données personnelles de santé[modifier | modifier le code]

Outre la suppression de variables telles que nom de famille, prénoms, adresse postale, code postal, numéro de téléphone, adresse mail, etc. et leur remplacement par des codes anonymes (lettres, chiffres, signes, couleurs…) des nomenclatures regroupées ou un niveau d’agrégation plus élevé de la donnée (alors livrée à l’échelle administrative supérieure ; du département, de la région ou du pays en France par exemple), ainsi que des techniques de brouillage de données sont utilisées, afin d’empêcher un tiers de réussir à ré-identifier un patient (ou personnel soignant).

Ceci peut avoir des conséquences préjudiciables à certains travaux de recherche (en épidémiologie notamment, par exemple si l'on veut pouvoir détecter des maladies éventuellement liées à la proximité d'une installation polluante, ou si pour les besoins de l'étude les chercheurs doivent pouvoir réinterroger un patient). Dans ces types de cas et à certaines conditions, des autorisations spéciales peuvent être sollicitées (en France à la CNIL ou du Comité du secret statistique)

Une attention particulière doit être accordée à l’anonymisation de fichiers contenant de nombreuses informations relatives à une même personne, par exemple quand des fichiers d’origines diverses sont « appariés », ou quand cette personne a été suivi dans un panels sur un long pas de temps (car il est alors plus facile de la ré-identifier ; ces appariements ou le suivi de panels impliquent en effet que ces personnes aient été clairement identifiées. En 2014 un avis du G29 rappelle aussi à propos de l'anonymisation (au sens de la directive 95/46/CE) que la directive ne s’applique pas aux données anonymes, mais que les données pseudonymisées ne sont pas des données anonymes[22]. L’anonymisation peut dans ces cas être faite par des “tiers de confiance » ou grâce à un cryptage des identifiants via des « algorithmes de hachage d'identifiants » (préalablement approuvés par la CNIL) puis la donnée peut être livrée aux demandeurs.

Les sources de données de santé[modifier | modifier le code]

Ce sont notamment[23] :

  • les professionnels de santé (notamment via l'analyse des prescriptions médicales, des ventes de médicaments et en France le travail du Réseau Sentinelles ;
  • les établissements de santé (via les informations administratives qu'ils fournissent, leurs données d’activité, les études de qualité…
  • les autorités sanitaires (via leur production d'indicateurs financiers agrégés, le suivi et l'évaluation des politiques publiques, les statistiques de remboursements inter-régimes, etc. ;
  • les industriels du secteur médical et pharmaceutique (laboratoires pharmaceutiques, assureurs, fabricant ou importateurs de matériel médical… ;
  • la recherche médicale et les chercheurs : Biologie médicale, suivis de cohortes et enquêtes épidémiologiques ou écoépidémiologiques, recherches médicales ou inter-disciplinaires (ex : sociologie de la santé) ;
  • les patients et associations de patients : retours d'expérience, alerte et de plus en plus apport d'informations produites par des capteurs électroniques et objets connectés analysant l’activité physique, le sommeil, le rythme cardiaque, etc.
  • Des moteurs de recherche comme Google disposent d’algorithmes qui peuvent donner des indices en temps réel de sujets de santé intéressant la population (avec « effets de buzz » possibles), mais qui semblent par exemple efficace pour le suivi de la grippe par la fréquence de requêtes pour certains mots clés[24]

Notes et références[modifier | modifier le code]

  1. Sass, C., Moulin, J. J., Guéguen, R., Abric, L., Dauphinot, V., Dupré, C., ... & Gerbaud, L. (2006). Le score Epices: un score individuel de précarité. Construction du score et mesure des relations avec des données de santé, dans une population de 197 389 personnes. Bulletin épidémiologique hebdomadaire, 14, 93-6.
  2. Communiqué ministériel :Marisol Touraine présente le projet de loi de santé 15 octobre 2014
  3. Open Data : le projet de loi du gouvernement concernant les données de santé
  4. Jurisprudence du Conseil d'État 19/7/2010, M. Fristot et Mme Charpy, no 317182 et no 334014 relative à dans une affaire concernant le fichier « Base élèves » de l’éducation nationale
  5. voir p. 17/63 du Rapport de la Commission open data en santé Remis à la ministre Marisol Touraine, Le 9 juillet 2014
  6. voir aussi le chap. 1.1.4 "Les données de santé", in Rapport de la Commission open data en santé Remis à la ministre Marisol Touraine, Le 9 juillet 2014, page 11/63
  7. Art.4 du projet de règlement sur la protection des données)
  8. voir page 18/63, in Rapport de la Commission open data en santé Remis à la ministre Marisol Touraine, Le 9 juillet 2014
  9. Art. 2 de la Loi « Informatique et Libertés »
  10. Art. 8 de la Loi « Informatique et Libertés »
  11. Big Data Startups Re-identifying anonymous people within public datasets is possible. February 11th, 2013
  12. Voir par exemple le Guide Sécurité des données personnelles de la CNIL, les de sécurité avancée ou la hp3?id_article=176 fiche du réseau Quetelet sur les données personnelles, ou les travaux de Daniel C . Barth–Jones ou la revue de littérature de Prada, Sergio I & Gonzalez, Claudia & Borton, Joshua & Fernandes- Huessy, Johannes & Holden, Craig & Hair, Elizabeth & Mulcahy, Tim, 2011. " Avoiding disclosure of individually identifiable he alth information: a literature review ", MPRA Paper 35463, University Library of Munich, Allemagne
  13. portail (en anglais) du Projet « Smart Open Services for européen patients » (ou epSOS) et résumé du projet (en Français)
  14. a, b et c Lesaulnier F (2011) L'informatisation des données de santé et la législation Informatique et Liberté ; Colloque Gouvernance et sécurité des systèmes d'information de santé /7 juin 2011
  15. voir p. 9/32 in Lesaulnier F (2011) L'informatisation des données de santé et la législation Informatique et Liberté ; Colloque Gouvernance et sécurité des systèmes d'information de santé /7 juin 2011
  16. articles 63 et 64
  17. voir pages 18 à 20 in Lesaulnier F (2011) L'informatisation des données de santé et la législation Informatique et Libertés ; CNIL ; Colloque Gouvernance et sécurité des systèmes d'information de santé - Marseille, 7 juin 2011 ; PDF, 23 p)
  18. Fressy P (2011) Qu'est-ce que l'identitovigilance dans un établissement de santé?, Cellule Qualité, Vigilances et Gestion des risques liés aux soins, ARS d’Auvergne, PDF, 18 pages
  19. Chap 2.2 Les accès au SI : état des lieux et difficultés, p. 31/128 du septembre 2013 Rapport sur la gouvernance et l'utilisation des données de santé dit « rapport Bras » (PDF, 128 pages), écrit par Pierre-Louis Bras (inspecteur général des affaires sociales), avec le concours d’André Lothremis à la ministre des Affaires sociales et de la Santé en 2013
  20. LOI no 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé
  21. a et b Article 40 - Loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  22. Communiqué de presse : Article 29 Data protection working Party, 10 avril 2014. Voir aussi Article 29 Working Party
  23. voir aussi le chap. 1.1.4 "Les données de santé", in Rapport de la Commission open data en santé Remis à la ministre Marisol Touraine, Le 9 juillet 2014, page 12/63
  24. Courbe d'Évolution de la grippe - France et cartographie mondiale

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

Rapports[modifier | modifier le code]

Autres documents[modifier | modifier le code]