L’accès au Big Data santé en France a longtemps été difficile car trop procédurier, mais depuis peu, une réelle volonté d’ouverture et d’allègement des formalités est à l’œuvre au sein des organismes officiels. Démonstration en compagnie d’Anne Vidal, juriste au service santé de la CNIL, de Valérie Edel, directrice adjointe de l’INDS (Institut national des données de santé) et de Michèle Arnoé, directrice Croissance et Innovation IQVIA (ex QuintilesIMS).

Exposé d’Anne Vidal : des formalités allégées

« 1) Dans le domaine du traitement de données de santé à des fins de recherche, avant la loi de modernisation de janvier 2016 (dite loi Touraine), il y avait deux chapitres consacrés à la recherche santé : l’un (ch IX) concernant le traitement des données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, l’autre (ch X) le traitement des données à caractère personnel à des fins d’évaluation ou d’analyse des pratiques ou des activités de soins et de prévention. Depuis juin 2017, le chapitre IX inclut le X et concerne donc le traitement des données de santé à caractère personnel à des fins de recherche, d’étude ou d’évaluation. Au sein de ce nouveau chapitre IX, on trouve d’une part les recherches impliquant la personne humaine (anciennes recherches biomédicales) qui relèvent du CPP (comité de protection des personnes) et l’autorisation de la CNIL ; d’autre part, on trouve les recherches n’impliquant pas la personne humaine qui relèvent d’un avis du CEREES (comité d’expertise pour les recherches et les études et les évaluations en santé via l’INDS qui en constitue le secrétariat unique) et de l’autorisation de la CNIL via l’INDS qui en constitue le secrétariat unique. Toujours dans le cadre du chapitre IX, les établissements de santé ont l’obligation de faire une information collective sur l’activité de recherche (affichage, livret d’accueil précisant l’utilisation de données à des fins de recherche), mais aussi une information individuelle des personnes pour chaque projet de recherche. La loi prévoit également une obligation de recueillir un consentement éclairé et exprès dans le cas de prélèvements biologiques (cas d’un examen des caractéristiques génétiques). Deux articles précisent les exceptions à l’information individuelle (personnes décédées ou laissées dans l’ignorance de leurs diagnostics) et les dérogations (difficulté de retrouver les personnes concernées, par exemple dans le cas d’un échantillon massif de plusieurs milliers de personnes et/ou relatifs à des données très anciennes).

2) Les 3 formalités CNIL en matière de recherche sont la demande d’autorisation, la déclaration normale et l’engagement de conformité à une MR (méthodologie de référence).

3) Dans le cadre des MR seul est envoyé à la CNIL un engagement de conformité à la MR. La saisine du CPP, conformément au code de la santé publique, pour les recherches impliquant la personne est requise. Pour les recherches n’impliquant pas la personne, la saisine du CEREES n’est pas requise.

4) En mai 2018 entrera en vigueur le règlement européen sur la protection des données (RGPD) qui vise à alléger les formalités en contrepartie d’un principe de responsabilité impliquant que les acteurs concernés soient en mesure de démontrer le respect du RGPD (notamment via une documentation complète (conformité et la nomination d’un data protection officer) ; par ailleurs, les Etats membres peuvent maintenir ou introduire des conditions supplémentaires pour le traitement des données génétiques ou concernant la santé (la CNIL est d’ailleurs saisie du projet de loi modificatif informatique et liberté). On remarque que les principes de responsabilité, notamment du côté des sous-traitants, sont en train de se préciser au niveau européen ».

Exposé de Valérie Edel : l’INDS et les nouvelles modalités d’accès aux données de santé

« Pendant longtemps, l’accès aux données du SNIIRAM (Système national d'information inter-régimes de l'Assurance maladie) a été laborieux du fait d’une gouvernance complexe et surtout limitée au domaine public. En 2013, suite à des mouvements de divers acteurs appelant à un accès plus large à ces données, à l’initiative de la ministre de la Santé, une commission open data a été mise en place afin de réfléchir à de nouvelles modalités d’accès à ces données très riches. Ces démarches ont abouti à la LMSS de 2016 avec deux principes de base : favoriser l’accès aux données grâce à une plus large ouverture (en direction du privé), mais dans le respect de la confidentialité de la vie privée. Il y a quatre évolutions majeures prévues par la LMSS : création du Système National des Données de Santé (SNDS) avec un périmètre étendu par rapport au SNIIRAM-PMSI (Programme de médicalisation des système d’information) déjà existant ; fusion des chapitres IX et X de la loi informatique et liberté (voir plus haut) ; assouplissement des conditions d’utilisation du NIR (numéro d’inscription au répertoire de la sécurité sociale) ; définition de nouvelles procédures d’accès aux données de santé. Je vous propose de me centrer sur la première et la dernière évolution.

A terme, ce sytème devrait intégrer trois nouveaux types de données : les causes médicales de décès, des données issues des assureurs maladies complémentaires et des données médico-sociales venant notamment des MDPH. Le SNDS a pour finalité la mise à disposition de ces données pour contribuer à l’information sur la santé ainsi que sur l’offre de soins, la prise en charge médico-sociale et leur qualité ; à la connaissances des dépenses de santé, des dépenses d’AM et médico-sociales ; à la surveillance, à la veille et à la sécurité sanitaires. Concernant les modalités d’accès à ces données :  

Il y a deux types d’offre : une entrée open data, sans risque de ré-identification, accessible à tous ; un accès à des données comportant un risque de ré-identification des personnes – et dans ce cas, l’accès va être régulé de deux manières : accès permanent et accès ponctuel selon les missions des organismes.

Concernant l’accès ponctuel aux données du SNDS :

Toute personne ou structure, publique ou privée, peut accéder à ces données en vue de réaliser une étude, une recherche ou une évaluation présentant un caractère d’intérêt public. L’accès de ces données par les entreprises productrices de produits de santé et les assureurs en santé est cependant plus fortement encadré, ces derniers devant soit passer par un tiers, BE ou un organisme de recherche indépendant, soit démontrer que les modalités techniques d’accès ne permettent pas d’utiliser le SNDS pour la promotion de produits de santé ou la sélection des risques dans les contrats d’assurance. Les conditions d’accès aux données doivent respecter l’intérêt public, la protection de la vie privée et la transparence. Le rôle de l’INDS est de faciliter et fluidifier les accès, d’assurer le secrétariat unique de dépôt des recherches n’impliquant pas la personne humaine, d’évaluer l’intérêt public d’un projet (au cas par cas), de favoriser le dialogue entre producteurs et utilisateurs et de mettre à disposition les données à faible risque. L’INDS transmet à un Comité d’expertise (CEREES) les dossiers des demandeurs, puis la CNIL se prononce après avis du CEREES et de l’INDS, le tout dans un délai court – inférieur à trois mois. L’INDS, comme d’ailleurs le CEREES, a vocation à simplifier les procédures et à faciliter l’analyse des dossiers des demandeurs et à orienter les demandeurs.

Pour conclure, un bilan en quelques chiffres au bout de 2,5 mois de fonctionnement de la nouvelle procédure. Sur une centaine de dossiers soumis, 2/3 portent sur l’utilisation de données issues de dossiers médicaux et 1/3 sur les seules données du SNDS. Concernant les commanditaires, au sein du SNDS, l’INDS assure le secrétariat, accompagne les demandeurs d’accès en leur facilitant la tâche (jeu de données agrégées, voire procédures simplifiées) et garantit des délais raisonnables. Enfin, 2/3 émanent de la recherche publique, 17% de la recherche privée, 11% des industries de santé – soit encore peu de demandes émanant du privé. Enfin, 60 % des dossiers ont reçu un avis favorable ».

Michèle Arnoé : les enjeux du nouvel accès aux bases médico-administratives

« Il y a bien une volonté de simplification des accès, mais nous sommes encore dans une période de transition délicate. Pourquoi ? Parce qu’il s’agit de trouver un équilibre fin entre l’utilité de la donnée et la protection de la personne dans le cadre de projets d’intérêt public (dont la doctrine est en cours de définition). En France, le paradoxe est que l’on dispose de la plus grande base de données médico-administrative mondiale alors que le pays est par ailleurs sous-représenté dans les études cliniques, ce qui entraîne un retard par rapport à une utilisation des innovations dans la santé. Mais une ouverture des données et une possibilité de mieux les exploiter nous permet d’enclencher un cercle vertueux. Aujourd’hui, il est désormais possible d’enrichir la recherche, avec des objectifs clairs et transparents. Il est important de pouvoir utiliser des données publiques et d’études cliniques, et de potentiellement les chaîner pour générer les insights utiles à une meilleure prise en charge du patient. Quels sont les enjeux et opportunités dans ce contexte d’ouverture des données ? D’un point de vue stratégique, il d’agit d’améliorer la connaissance, d’anticiper les demandes des autorités et de valoriser les données existantes au travers des études enrichies du SNIIRAM. Du point de vue des études, les domaines sont très variés, du parcours de soins à l’efficacité des traitements, en passant par les profils de patients, les études de risques ou les disparités régionales. Mais ce qui compte est l’utilisation intelligente des données ainsi que de positionner la France au bon niveau des études et recherches cliniques entre autre grâce à la simplification des procédures CNIL et INDS ».

Propos recueillis par Denis Briquet pour la FNIM