Actu
Quand le Big Data en santé fait débat
septembre 2015 par Denis Damey, Directeur Infogérance & Cloud de Cheops Technology
La ministre de la Santé Marisol Touraine vient de lancer ce 11 septembre un groupe de réflexion sur le big data en santé. « Le numérique s’immisce dans chacun de nos gestes quotidiens et change nos manières de nous déplacer, de consommer, de décider, de nous soigner » a déclaré Marisol Touraine, ajoutant qu’elle souhaite : « approfondir notre réflexion sur le big data en santé ». L’article 47 du projet de loi de modernisation de notre système de santé qui est actuellement examiné par le parlement établit un cadre qui favorise l’exploitation des données de santé par tout acteur – public, privé, universitaire ou associatif – et pour tout projet d’intérêt collectif, dans le respect de la vie privée. Mais l’utilisation de ces données pose de nombreuses questions auxquelles ce groupe doit travailler :
– Quels sont les aspects éthiques et juridiques que soulève le big data en santé ?
– Quelles infrastructures doivent être mises en place pour permettre l’essor du big data en santé ?
Retour sur ces questions avec Denis Damey, Directeur Infogérance & Cloud de Cheops Technology.
1,2 milliard de feuilles de soins par an, 500 millions d’actes médicaux, 11 millions d’hospitalisations tels sont les chiffres recensés par le système national d’information inter-régime de l’Assurance maladie (Sniiram) et le Programme de médicalisation des systèmes d’information (PMSI) des hôpitaux. Une quantité de données impressionnante, d’où une pensée immédiate vers le mot à la mode : Big Data. Mais il serait illusoire et impossible de centraliser toutes ces données sur une même infrastructure, pour des questions de volume, de taille de réseau, de fréquence de rafraichissements, de coûts, mais également de sécurité. Il conviendra donc de pouvoir accéder aux systèmes existants ayant des données de santé (après accord auprès d’un organisme centralisateur type ASIP… pourquoi en créer d’ailleurs un autre ?) et consolider une extraction des données utiles pour l’organisation habilitée, qui les intègrera dans son Big Data à des fins signifiées à l’avance auprès de cet organisme. Le contrôle doit être réalisé en amont, avec un objectif défini, une habilitation reconnue pour une durée déterminée, ce qui existe actuellement pour les Hébergeurs de Données de Santé, sous la tutelle du Ministère de la Santé.
Qu’en est-il de la sécurité des données des patients ?
Le projet de loi prévoit que le système national des données de santé ne pourra permettre d’accéder aux noms et prénoms des personnes, ni à leur numéro d’inscription au répertoire national d’identification des personnes physiques. Il convient donc de sécuriser tout le processus. Sans exhaustivité, le chiffrement des flux et des données est un impératif pour maintenir un niveau de confidentialité élevé. Des technologies de liaison point-à-point ou de tunnel au-dessus de connexions non sécurisées doivent être déployées afin d’assurer la transition des données confidentielles du patient au professionnel de santé. Il conviendra aussi d’assurer un chiffrement fort des données au niveau des systèmes de stockage, de s’assurer que seules les personnes autorisées peuvent y accéder, par l’utilisation, par exemple, de certificats numériques.
Quant aux données "potentiellement ré-identifiantes", elles « pourront être utilisées sur autorisation de la Cnil à des fins de recherche, d’étude ou d’évaluation d’intérêt public dans le domaine de la santé », nécessitant une « autorisation par décret en Conseil d’État après avis de la Cnil pour l’accomplissement des missions de service public, à des conditions rigoureuses assurant la protection de ces données sensibles. »
Quelles infrastructures doivent-être mise en place ?
Aujourd’hui, la CNIL porte déjà une attention particulière au regard du traitement des données à caractère personnel. Selon les avis remis par la CNIL et l’ASIP, le Ministère de la Santé délivre, ou non, les agréments aux hébergeurs de données de santé. Il semble évident en termes de cohérence législative, qu’un stockage de données de santé, qui serait la consolidation de diverses sources, ne peut être que chez un hébergeur agréé. Au total, environ 80 sociétés - y compris les éditeurs de logiciels - doivent disposer de cette habilitation au plus haut niveau ; une poignée d’entre elle est agréée pour l’hébergement d’applications fournies par les clients et pouvant gérer des données de santé à caractère personnel collectées à des fins de suivi médical, via des offres d’hébergement dédié ou mutualisé. Ce dernier agrément constitue le niveau le plus large, avec une habilitation pour l’hébergement de tout type d’application, tous les progiciels du marché, tout applicatif développé par un client final, qui gère des données de santé à caractère personnel. Tout Cloud n’est donc pas automatiquement éligible à la mise en œuvre de service de e-santé. Dans le cadre de l’utilisation du Cloud Computing comme de toutes technologies touchant à l’exercice de la médecine, la dématérialisation des informations de santé les rend sensibles aux problématiques de confidentialité et d’intégrité. Les contraintes techniques liées aux besoins de confidentialité et d’intégrité doivent ainsi pouvoir être auditées.
Concernant la technologie de Big Data elle-même, elle ne sera pas différente, ou plus spécifique qu’un Big Data dans un autre secteur. Ce sont les habilitations, et pré-requis ci-dessus qui font la différence.
