Big data et ouverture des données de santé : quels risques et opportunités ?
L’Assurance maladie et les hôpitaux détiennent une quantité importante de données de santé de citoyens. L’accès contrôlé à cette masse d’informations va contribuer à démultiplier les projets d’innovation en matière de santé. Ces opportunités s’accompagnent cependant de nouveaux risques portant sur le respect de la vie privée ou l’usage qui va être fait de ces données. L’enjeu est de trouver un consensus sur le rapport bénéfices-risques de l’ouverture des données de santé pour la société. Eclairage.
Le traitement et l’analyse des données publiques de santé par de puissants algorithmes vont permettre de mieux comprendre des maladies comme la maladie d’Alzheimer, et d’améliorer et d’adapter des traitements. Ces données, a priori sans importance, vont également contribuer à accélérer la construction de modèles prédictifs. Ces modèles vont permettre de mieux appréhender et d’anticiper les effets de certains comportements sur la santé, avant même qu’ils ne surviennent.
Cependant, l’ouverture à ces données n’est pas sans risques. L’accès à des données en grande quantité renforce la crainte de l’apparition d’un « Big Brother », particulièrement dans le domaine de la santé. Les risques sont de deux ordres : la levée de la confidentialité et le détournement de la finalité de l’analyse des données.
Introduire la notion d’éthique dans l’usage des données
Pour être accessibles, les données publiques de santé sont rendues anonymes. Sans possibilité d’identifier les personnes liées à ces données, le respect de la vie privée est garanti. Mais le risque de réidentification d’une personne ne pourra pas toujours être complètement écarté. En effet, le recoupement d’informations peut permettre l’identification d’une personne. Une analyse très soigneuse des raisons de l’accès à ces données et des risques induits devra alors être conduite par rapport à l’intérêt général. C’est pourquoi il est important d’introduire la notion d’éthique dans l’usage des données.
Il faut également se prémunir de la tentation de faire usage des données publiques pour une autre finalité que celle déclarée au moment de la demande d’accès. Par exemple, les données utilisées pour l’amélioration des traitements de personnes ayant un taux de cholestérol élevé ne doivent pas servir à évaluer le risque qu’assurances et mutuelles doivent couvrir, et ainsi proposer des primes différentes.
Face à ces risques, les législateurs se font l’écho des préoccupations des citoyens. La Cnil, Commission nationale Informatique et Libertés, garante depuis 1978 de la protection des données des citoyens, veille au processus d’anonymisation de ces données. De plus, il est nécessaire d’obtenir son autorisation pour effectuer n’importe quel traitement avec les données publiques obtenues.
La nouvelle loi de santé, promulguée en janvier 2016, met en place un Institut national des données de santé. Il sera chargé, en 2017, des règles d’accès aux données publiques de santé et veillera à l’intérêt général de ces accès.
Enfin, la publication récente du règlement européen sur la protection des données personnelles prévoit la désignation d’un « Délégué à la protection des données » (DPO) au sein des organismes publics et des entreprises qui gèrent des données de santé à grande échelle. Ce DPO sera le garant de la protection de ces informations.
Des garanties sont donc prises pour le respect de la vie privée. Elles accompagnent le processus d’ouverture des données publiques de santé anonymisées. Néanmoins, devant la difficulté d’anticiper les résultats de puissants algorithmes que l’intelligence humaine ne peut sans doute pas concevoir, il sera nécessaire de porter une réflexion éthique à partager par tous les acteurs des Big data en santé. La première des précautions reste de demander au citoyen bien informé qu’il consente, de façon éclairée, à l’utilisation de ses données.
Un plan d’actions pour renforcer la sécurité
La ministre des Affaires sociales et de la Santé, Marisol Touraine, a confirmé, le 2 décembre, l’instauration d’un plan d’actions destiné à renforcer la sécurité des systèmes d’information en santé, notamment pour prévenir le risque de piratage informatique. Avec un échéancier précis (à six, douze et dix-huit mois), il prévoit les actions prioritaires que doivent mettre en place les différents acteurs publics et privés concernés (établissements de santé, laboratoires de biologie médicale, centres d’imagerie…). Les Agences régionales de santé (ARS) et l’Inspection générale des Affaires sociales (IGAS) s’assureront de la mise en œuvre effective du plan sur site, précise un communiqué du ministère. B.L
Sébastien BRIOIS
