Données de santé

La formulation « données de santé » est généralement utilisée pour la santé humaine plutôt que vétérinaire. Ces données sont utilisées pour le suivi et l'évaluation des systèmes et politiques de santé, pour établir des budgets prévisionnels, faire de la prospective en santé et croiser ces indicateurs avec d'autres (environnement, alimentation, précarité, éducation, usages de psychotropes, alcoolisme, tabagisme, etc.^[1]).

La CNIL considère que les données de santé comportent entre autres^[2],[3] :

1. les informations concernant une personne physique collectées lorsqu'elle est enregistrée pour bénéficier de soins ou de services (numéro, symbole ou élément unique attribué en vue de l'identifier de manière unique à fins de santé)
2. les informations collectées lors d'un examen ou test sur le corps ou des substances issues du corps
3. les informations à propos d'une maladie, d'un handicap, d'un risque de maladie, des antécédents médicaux, des traitements et de l'état physiologique ou biomédical indépendamment de son origine.

De même, la notion de données de santé comporte trois types de données de santé^[2],[3] :

1. les données de santé par nature, comportant les antécédents médicaux, les prestations de soins, les maladies, les handicaps, les traitements, etc.
2. celles qui deviennent des données de santé de par leur croisement possible avec d'autres données de santé: poids et nombre de pas ou mesures des apports caloriques, tension artérielle et mesure de l'effort, etc.
3. celles qui deviennent des données de santé par leur usage médical

La plupart des législations protègent le caractère personnel de certaines données.

En France est une donnée personnelle toute « donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres »^[4] ; il peut par exemple s’agir des « origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses ou appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle »^[5] ou de données portant « sur des faits, des actions, des opinions, etc. qui s’ils étaient divulgués, porteraient préjudice aux intérêts ou à la réputation de la personne concernée ».

Une donnée médicale n’est plus considérée comme « personnelle » quand elle est anonymisée de manière que la ré-identification du patient ne soit plus possible. Cependant cette notion de ré-identification évolue et doit être régulièrement requestionnée alors que progressent les capacités de logiciels de data mining qui permettent éventuellement par le croisement de jeux de données accessibles aux fournisseurs d’accès ou à certains sites de tenter de reconstituer un profil personnel à partir de données éparses mal protégées^[6].

Une directive européenne sur la protection des données (de 1995) et un projet de règlement européen précisent que cette possibilité d’identification doit être appréciée en considérant « les moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne ».

La CNIL et d'autres instances spécialisées dans la protection des données rappellent que « l'absence dans un fichier d’identification directe, par exemple par le nom ou l’adresse de la personne physique ou morale, ne suffit pas à considérer qu’un tel fichier comporte des données anonymes »^[7].

Elle n'est pas encore tout à fait fixée, mais il y a un consensus en Europe pour la définir largement : ainsi, un document de travail élaboré en 2007 par le G29 (qui regroupe toutes les structures et autorités homologues de la CNIL dans les États membres de l'Union européenne) a proposé de retenir une approche large de la donnée de santé : « une donnée en relation étroite avec l’état de santé de la personne, telle qu’une information sur la consommation d’alcool, de drogues ou de médicaments doit être considérée comme une donnée de santé au sens de la directive »^[8].

En 2016, le règlement général sur la protection des données, mis en application en 2018, publie une définition considérant qu’il s’agit des « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne »^[9].

Ces données peuvent aussi être classées selon leurs sources, leur lieu de stockage et conservation, leurs durées obligatoire de conservation, leurs temporalité ou rythme de collecte, leur statut de protection, ce qu'elles décrive (ex. : statistiques d'état, de pression ou de réponse).

Chaque donnée peut être caractérisée par son degré de précision :

• données « brutes » (ou dite « granulaire ») : c'est la donnée la plus fine disponible (le grain variant selon le type donnée et le système de collecte) ;
• données « extraites » (ex. : échantillon de données brutes, donnée floutée pour une à plusieurs de ses dimensions) ;
• données « agrégées » (ex. : statistiques de type indicateurs, tendances, comparaisons, totaux, etc.

Sont dites « sensibles » les données « particulièrement susceptibles de permettre une réidentification », soit quatre catégories de données :

1. dates de soins ;
2. code postal du domicile ;
3. mois et année de naissance ;
4. date de décès (le cas échéant).

En France, et dans le cadre de la E-santé, qui inclut des dossiers médicaux électroniques et des standards d'interopérabilité qui se mettent peu à peu en place, dont en Europe avec par exemple le Projet européen « Smart Open Services for european patients » (ou epSOS), lancé en 2008 pour développer un Patient Summary et une forme d' ePrescription selon des standards transfrontaliers facilitant une éventuelle mobilité des patients d'un pays à l'autre)^[10], la CNIL juge qu'elles appellent une protection renforcée, notamment à l'hôpital, et qu'il y a « nécessité d’un identifiant générateur de confiance (...), identifiant de santé spécifique bénéficiant du processus de certification du NIR (...) à partir des traits d’identité contenus dans la carte vitale ». Dans ses réponses à des demandes d'utilisation de données sensibles, la CNIL peut interdire le croisement de ces données, ou n’autoriser qu'un accès partiel (en conservant par exemple le nom de la localité, mais non les autres données identifiantes, qui sont alors « floutées » (le floutage consiste à rendre la donnée irréversiblement moins précise par exemple en remplaçant le jour par le mois, le mois par l’année, le code postal par le n^o  de département).

En France et en Europe, hors de la sphère médicale où ces données sont couvertes par le secret professionnel (secret médical notamment) et sauf exceptions clairement définies et fortement encadrées, les « données de santé personnelles » font partie de celles que la loi interdit de collecter ou de traiter.

L'une des conditions préalables à l'exception pour une utilisation est l'accord du patient dont les modalités sont plus ou moins précisées selon les pays et les contextes. En France, selon Frédérique Lesaulnier (juriste chargé du secteur de la santé à la CNIL), cet accord doit être « valablement recueilli »^[11] (« éclairé et explicite »^[11], « Clair et univoque mais pas nécessairement formalisé par écrit ») ; il suggère (en 2011) une harmonisation au moins européenne des modalités de recueil du consentement^[11].

La diffusion involontaire ou malveillante de telles données est jugée contraire à la protection de la vie privée et potentiellement susceptible de menacer les intérêts matériels et les libertés. Elle est punie par la loi (en France : articles 226-13 du Code pénal ; violation du secret professionnel : 1 an d’emprisonnement et 15 000 € d’amende) ; articles 226-16 à 226-24 du Code pénal (fichiers et informatique : 5 ans d’emprisonnement et 300 000 € d’amende).

Ces données sont donc stockées sur des serveurs sécurisés (quand l’hébergeur de ce type de données n'est pas le producteur des données, il doit en France avoir obtenu un agrément préalable pour l’hébergement des données de santé à caractère personnel) et ne devraient transiter dans l’internet que via des voies sécurisées.

En outre, en réponse à la capacité d'Internet à durablement mémoriser certaines informations personnelles, il existe aussi le développement d'un droit à l'oubli^[12].

Dans quelques cas (en France cadrés par la Loi informatique et libertés^[13] et le RGPD) la confidentialité des données peut être partagée avec certains tiers :

• pour des raisons d'intérêt public ou dans l'intérêt du patient (dans certains réseaux de soins, via le web médecin, le dossier médical partagé ou le dossier pharmaceutique (qui permet de lutter contre les interactions médicamenteuses dangereuses ou indésirables), dans le cadre de la télémédecine (Avis sur décret du 19 octobre 2010, dans le cadre d'une gestion globale du risque hospitalier, ou de besoins de biométrie à l'Hôpital à fins d'identitovigilance^[14],[15]).
• pour la recherche, avec des chercheurs ou des organismes de mission de service public, qui peuvent avoir accès à des données personnelles de santé, à certaines conditions (en France, cet accès doit être justifié, limité à un petit nombre de personnes, entouré de garanties appropriées et préalablement autorisé par la CNIL (ou permis par la loi, ou autorisé par les intéressés).

En France, quand un chercheur veut accéder à des données personnelles nécessaires (pour des recherches médicales) il doit d’abord obtenir un avis du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé, puis obtenir une autorisation de la CNIL. L’institut des Données de Santé (IDS) est chargé d’accepter ou refuser les demandes d’accès aux données du SNIIRAM, dont le système d’information est réputé particulièrement peu accessible et « à des conditions touffues et contestées »^[16].

L’accès du patient à ses données de santé a été réaffirmé par la loi du 4 mars 2002^[17], et repose sur l'article 40 de la loi Informatique et Libertés^[18].

L'article 40 de la loi Informatique et Libertés permet également - outre le droit de consultation - une possibilité de demande de rectification et de suppression de ses données personnelles^[18]. Les données de santé étant des données personnelles, cette possibilité s'applique à elles.

En France, la Loi de modernisation du système de santé crée un « Système national des données de santé » (SNDS) qui a pour but d'unifier les bases de données existantes.Son responsable de traitement est la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) qui met à disposition du public (en Open Data) les données suivantes (anonymisées, avec une ouverture graduelle des données, en fonction du risque de réidentification des patients)^[19] :

1. Données issues des systèmes d'information hospitaliers;
2. Données du système d’information de l'assurance maladie ;
3. Données sur les causes de décès ;
4. Certaines données de remboursement transmises par les organismes d’assurance maladie complémentaire.

Ces données sont de plusieurs grands types :

1. les données statistiques relatives aux indicateurs généraux de santé publique, par exemple sur l'état de santé d’une population, la prévalence et l’incidence des maladies, les maladies émergentes ;
2. les données relatives à des facteurs « extrinsèques » environnementaux non-personnels de santé (ex : variations selon la qualité de l'environnement (qualité de l’eau, de l’air, du sol…), le contexte écopaysager et climatique général ou régional,
3. Les données de contextualisation de la santé relativement à l'individu (ex. : l’âge, le sexe) et à son insertion psychosociale (ex. : le statut social et la catégorie socioprofessionnelle, la richesse individuelle ou le revenu familial, le niveau d'études, l’indice de masse corporelle, l’alimentation, la consommation d’alcool, consommation d'alcool chez les jeunes en France ou de tabac, les pratiques sexuelles, le fait d'être dans une classe d’intégration scolaire (CLIS) pour un élève^[20], etc.
4. certains caractères génétiques (les législations varient selon les pays, et peuvent évoluer rapidement. En France, pour les travaux préparatoires de la loi du 6 août 2004 « les données génétiques sont considérées comme des données de santé »^[21] ;
5. les données et indicateurs relatifs aux politiques et stratégies de santé publique (ex. : objectifs de dépenses d'assurance maladie, programmes de santé, formation médicale et numérus clausus, etc.), l’offre de soins : établissements et professionnels de santé, classés selon la nature de l’offre (spécialités, équipements, capacités…), l’activité, la distance, la disponibilité, la réputation et d’autres indicateurs de la qualité, les tarifs ; les dépense de santé : consommation de soins et biens médicaux, indemnités journalières, prévention environnementale et alimentaire, formation des professions de santé, recherche dans le domaine de la santé, dépenses de santé liées au handicap et à la dépendance… ou encore les informations sur le financement (plus ou moins solidaire) de la dépense de santé (assurance maladie obligatoire, assurances complémentaires, ménages…)^[22] ;
6. les « données de santé à caractère personnel » (Données « élémentaires » ou « personnelles », « identifiées » et « identifiables » qui sont — en l’absence de définition légale — généralement définies comme toute « donnée » « susceptible de révéler une maladie de la personne » (personne physique ou morale). Ces données peuvent inclure les données qu'une personne ajoute elle-même aux applis, aux appareils, ou aux sites qui concernent la santé. Ces méthodes officieuses de la collecte de données ont augmenté avec la popularisation des technologies personnelles^[23]
   En principe, les données recueillies par du personnel de santé ou lors d’une action administrative (industrielle, médicale, judiciaire…) sont confidentielles et ne peuvent être utilisées que pour ce pourquoi elles ont été collectées (la santé du patient, l’action judiciaire… et conformément au droit). Cependant la recherche médicale, pharmaceutique, démographique, etc. a régulièrement besoin d’avoir accès à de telles données. Des dérogations sont donc prévues par la loi, en France principalement encadrées par trois lois (Loi Informatique et Libertés de 1978, Loi sur le secret statistique de 1951, Loi sur les Archives). Sauf cas particuliers encore plus encadrés, elle se fait avec des données anonymisées.

Outre la suppression de variables telles que nom de famille, prénoms, adresse postale, code postal, numéro de téléphone, adresse mail, etc. et leur remplacement par des codes anonymes (lettres, chiffres, signes, couleurs…) des nomenclatures regroupées ou un niveau d’agrégation plus élevé de la donnée (alors livrée à l’échelle administrative supérieure ; du département, de la région ou du pays en France par exemple), ainsi que des techniques de brouillage de données sont utilisées, afin d’empêcher un tiers de réussir à ré-identifier un patient (ou personnel soignant).

Ceci peut avoir des conséquences préjudiciables à certains travaux de recherche (en épidémiologie notamment, par exemple si l'on veut pouvoir détecter des maladies éventuellement liées à la proximité d'une installation polluante, ou si pour les besoins de l'étude les chercheurs doivent pouvoir réinterroger un patient). Dans ces types de cas et à certaines conditions, des autorisations spéciales peuvent être sollicitées (en France à la CNIL ou du Comité du secret statistique).

Une attention particulière doit être accordée à l’anonymisation de fichiers contenant de nombreuses informations relatives à une même personne, par exemple quand des fichiers d’origines diverses sont « appariés », ou quand cette personne a été suivi dans un panels sur un long pas de temps (car il est alors plus facile de la ré-identifier ; ces appariements ou le suivi de panels impliquent en effet que ces personnes aient été clairement identifiées. En 2014, un avis du G29 rappelle aussi à propos de l'anonymisation (au sens de la directive 95/46/CE) que la directive ne s’applique pas aux données anonymes, mais que les données pseudonymisées ne sont pas des données anonymes^[24]. L’anonymisation peut dans ces cas être faite par des « tiers de confiance » ou grâce à un cryptage des identifiants via des « algorithmes de hachage d'identifiants » (préalablement approuvés par la CNIL) puis la donnée peut être livrée aux demandeurs. Dans le cas de données personnelles pseudonymisées, le RGPD indique qu'elles sont à considérer comme des données de personnes identifiables^[25].

Les sources de données de santé sont multiples, ce sont notamment^[26] :

• les professionnels de santé (notamment via l'analyse des prescriptions médicales, des ventes de médicaments et en France le travail du Réseau Sentinelles) ;
• les établissements de santé (via les informations administratives qu'ils fournissent, leurs données d’activité, les études de qualité…) ;
• les autorités sanitaires (via leur production d'indicateurs financiers agrégés, le suivi et l'évaluation des politiques publiques, les statistiques de remboursements inter-régimes, etc.) ;
• les industriels du secteur médical et pharmaceutique (laboratoires pharmaceutiques, assureurs, fabricant ou importateurs de matériel médical…) ;
• la recherche médicale et les chercheurs : Biologie médicale, suivis de cohortes et enquêtes épidémiologiques ou écoépidémiologiques, recherches médicales ou inter-disciplinaires (ex : sociologie de la santé) ;
• les patients et associations de patients : retours d'expérience, alerte et de plus en plus apport d'informations produites par des capteurs électroniques et objets connectés analysant l’activité physique, le sommeil, le rythme cardiaque, etc.

Des moteurs de recherche comme Google disposent d’algorithmes qui peuvent donner des indices en temps réel de sujets de santé intéressant la population (avec « effets de buzz » possibles), mais qui semblent par exemple efficaces pour le suivi de la grippe par la fréquence de requêtes pour certains mots clés^[27].

Les plates-formes de prise de rendez-vous en ligne sont les nouveaux acteurs du secteur de la santé gérant les informations sur le parcours de santé d'une grande partie de la population (par exemple en France, Doctolib revendique 39 millions de rendez-vous pour une vaccination contre la Covid-19 au 1er juin 2021, représentant une part de marché de près de 90%)^[28]. Les plates-formes peuvent également être utilisés comme indicateurs sur les sujets de santé au même titre que les moteurs de recherche permettant d'établir des prévisions et comparer la progression de certaines recherches^{[29],[30],[31]}.

Le conflit entre les règles américaines (CLOUD Act) et les règles européennes (RGPD) crée un risque de souveraineté sur ces données sensibles. En 2020, les données de santé françaises sont hébergées par Microsoft et le gouvernement français envisage de les rapatrier vers un opérateur de services français ou européen^[32].

En janvier 2022, le plein déploiement du projet de centralisation par une solution Microsoft de plusieurs grandes bases de données médicales(Health Data Hub), à des fins de recherche scientifique est suspendu de fait car la demande d’autorisation auprès de la Commission nationale de l’informatique et des libertés (CNIL) a été retirée^[33].

L’entreprise américaine IQVIA qui a noué un partenariat avec 14 000 pharmacies françaises, stocke et traite des données de santé de clients de pharmacies en France. La CNIL qui avait donné un accord sous conditions, lance une enquête et des contrôles^{[34],[35],[36]}.

En juin 2021, le média allemand spécialisé dans les questions de confidentialité et des données numériques Mobilsicher révèle que Doctolib a transmis pendant plusieurs mois des données de recherche de ses utilisateurs en Allemagne à Facebook et Outbrain. La plateforme a rapidement reconnu l'utilisation de deux cookies génériques Facebook et Outbrain collectant des informations personnelles (l'adresse IP, mots-clés du traitement recherché, spécialité médicale recherchée, secteur public ou privé) mais indiqué qu'aucune donnée de santé n'était collectée, considérant que les mots-clés recherchés ne seraient pas des données de santé^{[37],[38],[39],[40]}.

En mai 2022, une investigation met au jour que des employés de Doctolib ainsi que les professionnels de santé peuvent bien accéder aux dates et heures de rendez-vous, qui peuvent être considérées comme des « données de santé », confirmant les conclusions d'enquêtes menées en mars 2021^[41],[42]. Interrogée sur ce point, Doctolib répond que « Les données de rendez-vous ne sont pas chiffrées de bout-en-bout. […] Cette technologie de pointe, encore peu répandue […] ne peut s’appliquer à l’ensemble des données traitées sans impact majeur pour les utilisateurs », contrairement à ce qu'indiquait son communiqué en 2020^[43].

Particulièrement sensibles, les données de santé sont convoitées par les pirates informatiques, et régulièrement vendues sur le darknet^[44].