Les données de santé, de leur collecte à leur protection

Qu’entend-on par données de santé ?

Les données de santé représentent l’ensemble des éléments relatifs à la santé physique et mentale d’une personne. Elles sont personnelles. « Elles se rattachent à la fois aux nom et prénoms d’un individu comme à son numéro de Sécurité sociale », observe Léa Rizzuto, déléguée à la protection des données de santé (soit DPO – pour Data protection officer) au sein de la plateforme Health Data Hub (HDH).

Ces données renseignent sur l’état de santé de la personne concernée qu’il soit bon ou mauvais, englobent les examens et les prestations de service de soins qui lui ont été portés. Elles informent, entre autres, sur le poids, les caractéristiques génétiques, les antécédents familiaux, les pathologies contractées ou les risques de maladies encourus, les constantes (tension, fréquence cardiaque...) du patient.

Comment sont-elles collectées ?

En principe, la collecte des données de santé est interdite par le Règlement général de la protection des données (RGPD) puisqu’il s’agit d’informations sensibles. Toutefois, le consentement explicite du patient et les besoins de la recherche scientifique valent dérogation. Les professionnels et établissements habilités à collecter et à utiliser ces données sont encadrés strictement par la Loi Informatique et Libertés.

« Leur habilitation passe notamment par des processus de conformité imposés par la Commission nationale de l'informatique et des libertés (CNIL) », explique Léa Rizzuto. Concrètement, les données peuvent être collectées par les établissements de santé, les médecins traitants et autres spécialistes, la Sécurité sociale, les autorités publiques… sous réserve de bien respecter la réglementation en vigueur.

Comment et où sont stockées les données de santé ?

Les données de santé sont généralement stockées dans des ordinateurs lorsqu’un médecin traitant, un pharmacien ou encore l’infirmier d’un laboratoire d’analyses médicales, les recueillent. En établissements hospitaliers, elles font l’objet d’un stockage dans des serveurs spécifiques situés en espace fermé et sécurisé. Elles peuvent aussi être gérées par des prestataires extérieurs certifiés.

Les données de santé sont conservées un certain temps. Cette durée est définie en fonction de l’objectif poursuivi. La conservation d’un dossier médical en hôpital est fixée à 20 ans. Ce délai court à compter de la date du dernier séjour ou de la dernière consultation externe du patient dans l'établissement.

« Il n’est pas question d’archiver les données de santé ad vitam aeternam. Toutefois, certaines durées de conservation sont particulièrement longues. C’est le cas pour les données qui constituent une base pour la recherche (aussi appelée « entrepôt de données) », commente la DPO du Health Data Hub.

Comment sont protégées les données de santé ?

Cette protection est régulée par toute une réglementation. On y trouve, notamment, la Loi Informatique et Libertés, le code de la santé publique, le règlement européen sur la protection des données personnelles, les dispositions sur le secret ou encore sur l’hébergement et la mise à disposition de ces données.

Le professionnel habilité à recueillir des données de santé devra répondre à des directives bien définies pour assurer leur sécurité. Un établissement de santé (centre hospitalier, clinique, EHPAD…) devra mettre en place un ensemble de mesures organisationnelles et techniques et s’entourera autant que possible de professionnels spécifiques (expert en informatique et sécurité, délégué à la protection des données…).

Un professionnel de santé, qui exerce en cabinet, devra pour protéger sa base de données déterminer un mot de passe conforme aux recommandations de la CNIL, s’authentifier avec sa carte professionnelle, procéder au chiffrement de ces données avec un logiciel adapté. Entre autres. « C’est plus compliqué pour un libéral. Il disposera de moins de ressources matérielles et humaines qu’un établissement », reconnaît Léa Rizzuto.

Qui peut avoir accès aux données de santé ?

Toute personne qui est habilitée à cette consultation par la réglementation en vigueur (le médecin traitant et le pharmacien sur la carte Vitale, le chirurgien lors d’une opération via le dossier médical…). Elle doit s’inscrire dans le cadre d’un objectif déterminé (un dentiste ne pourra consulter que les données relevant de sa discipline). « Elle n’a accès qu’aux données strictement nécessaires à cet objectif. De surcroît, le patient doit en être informé », précise la DPO du Health Data Hub.

Les patients ont des droits sur leurs données de santé. Ils peuvent demander à les consulter à tout moment auprès de leur médecin ou d’un établissement de santé, à les faire rectifier si elles sont incorrectes, à s’opposer à leur utilisation de même qu’exiger leur effacement.

Que se passe-t-il en cas de fuite de données ?

Le risque zéro n’existe pas, bien que toutes les précautions de prévention et de sécurité soient prises. Le Règlement général de la protection des données considère qu’il y a une violation de la sécurité lorsque les données sont détruites, perdues, altérées, divulguées de manière accidentelle ou intentionnelle.

Les conséquences de ces fuites sont plus ou moins lourdes : usurpation d’identité, campagne d’hameçonnage pour tenter d’obtenir d’autres informations confidentielles auprès du patient (comme son code de carte bancaire). Les données dérobées peuvent aussi permettre aux cyberpirates – ou aux personnes à qui ils les revendent à prix d’or - de se procurer des médicaments de manière frauduleuse.

« Le risque engendré par la fuite de données doit être analysé. S’il est élevé, les patients concernés sont informés et un certain nombre de recommandations leur est notifié, comme celle de modifier leur mot de passe, d’être vigilants face aux mails… », souligne Léa Rizzuto. Les professionnels et établissements de santé doivent signaler l’incident à la CNIL sous 72 heures.

Quel est le rôle de la plateforme des données de santé Health Data Hub ?

Le Health Data Hub est un groupement d’intérêt public dont la création a été initiée par la Loi sur l’organisation et la transformation du système de santé du 24 juillet 2019. Y sont associés une centaine acteurs de la santé comme la CNAM, la Haute autorité de santé, l’association de patients France Assos Santé ou encore l’Agence de biomédecine et l’Institut national du cancer.

Son objectif est d’améliorer la qualité des soins et l’accompagnement des patients en garantissant aux porteurs de projets de recherche un accès plus fluide, transparent et sécurisé aux données de santé. La plateforme est en effet chargée par la loi de réunir, d’organiser et de mettre à disposition les données du Système national des données de santé (SNDS) et de promouvoir l’innovation dans l’utilisation de ces données.

Le SNDS regroupe plusieurs bases de données, notamment les informations issues des remboursements effectués par l’ensemble des régimes d’assurance maladie. Elles sont très utiles à la recherche. Le HDH est un guichet unique qui centralise les demandes d’accès à ces données de santé. Les interactions entre les producteurs des données de santé, les utilisateurs et les citoyens sont facilitées tout en étant hautement protégées.

Les porteurs de projet (chercheurs, entrepreneurs, chargés d’étude…) peuvent ainsi consulter plus aisément ces informations, non nominatives, dans le respect de la réglementation et des droits des citoyens. Ils peuvent les croiser et les analyser pour apporter, par exemple, des réponses à la recherche sur les maladies rares, améliorer les programmes de prévention et de dépistage, travailler sur les effets indésirables de certains médicaments. « Nous accompagnons également les chercheurs dans l’information qu’ils délivrent aux patients concernant les droits dont ils disposent sur leurs données de santé », ajoute la déléguée à la protection des données de santé du HDH.