Article

Appartient au dossier : Libertés numériques

Données de santé, données sensibles

Ces dernières années, la numérisation du secteur de la santé connaît une croissance rapide, et la quantité de données personnelles et médicales stockées a considérablement augmenté. Balises, dans le cadre de son dossier consacré aux libertés numériques et en écho à la rencontre du 21 novembre 2024 « Tout savoir sur l’intelligence artificielle et la santé », éclaire les enjeux liés à la gestion et au traitement de ces précieuses informations.

Tablettte affichant des données de santé au praticien
Par ra2studio, via DepositPhotos- DR

Selon la CNIL (Commission nationale de l’Informatique et des Libertés), les données de santé désignent l’ensemble des données collectées et produites dans le cadre du parcours de soins. Ce sont « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

Typologie des données de santé

Les données de santé sont de deux natures :

  • Données personnelles : elles sont collectées lors de l’inscription d’une personne physique sur un site web, en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services. Il s’agit, par exemple, du nom, du prénom, de l’adresse postale, du courriel, du numéro de Sécurité sociale, des coordonnées téléphoniques ou bancaires. Ces données peuvent permettre l’identification à un service numérique.
  • Données médicales : elles sont obtenues lors de consultations ou d’examens médicaux (résultats de prise de sang, comptes-rendus d’imagerie médicale, comptes-rendus opératoires…), ou concernent une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical. Elles relèvent du secret médical.

Dans sa définition, la CNIL englobe aussi les données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne, par exemple les données des bracelets d’activité, recueillies par les applications de santé.

En France, qui recueille et stocke les données médicales ?

En France et dans l’Union européenne, le traitement des données de santé est encadré de manière stricte par l’article 9 du règlement général sur la protection des données (RGPD).

L’Assurance Maladie (Sécurité sociale)
L’Assurance Maladie prend en charge, complètement ou en partie, les soins de plus de 66 millions d’assurés en France.
AMELI (L’Assurance Maladie en ligne) détient des données personnelles permettant l’identification et des données de santé aux fins de remboursement des actes médicaux ou d’hospitalisation, ou de versement de revenus complémentaires (congé maternité, invalidité…)
Mon espace santé, un service de l’Assurance Maladie, permet à l’assuré de recevoir, stocker et de partager ses documents de santé (ordonnances, résultats d’analyses…), et rend possible, en consultation, le partage des antécédents médicaux avec le professionnel de santé. Le service peut être activé par l’assuré pour ses enfants.

Les mutuelles
Si l’Assurance Maladie rembourse partiellement les dépenses de santé, les mutuelles (ou complémentaires santé) permettent de couvrir les frais restant à charge en partie ou en totalité. Les données détenues par les mutuelles sont identiques à celles de l’Assurance Maladie.

Les professionnels de santé
Les hôpitaux, cliniques, centres de soins, médecins, laboratoires d’analyses médicales, centres d’imagerie médicale recueillent des informations sur les patients à l’occasion d’actes médicaux. Il s’agit de données personnelles, mais aussi de données médicales comme des résultats d’analyses, des comptes-rendus opératoires, des prescriptions médicales, des notes médicales, le groupe sanguin…

Les webservices médicaux
Doctolib, Maiia, lemedecin.fr, Qare, mais aussi les applications développées pour des cabinets médicaux, proposent un service de prise de rendez-vous en ligne chez les professionnels de santé. Gratuits pour les patient·es, ces services sont financés par les praticiens ou les établissements de santé qui veulent les utiliser. L’objectif affiché est de permettre aux professionnels de santé d’améliorer l’efficacité de leur organisation, la communication avec leurs patient·es et la coopération avec leurs confrères ou consœurs. Parmi les données personnelles et médicales que ces sites recueillent, on retrouve des ordonnances, le nom des médecins consultés par l’utilisateur·rice, la date des rendez-vous, ou encore l’historique des consultations, ainsi que des données d’identification.

Les applications de santé
Les applications de santé ou de suivi d’activité physique sur smartphone Apple ou Android, comme Google Fit, Fitbit, Runkeeper, Endomondo, ou encore celles dédiées à des suivis spécifiques (allergies, diabète, cycles menstruels…) collectent de nombreuses données médicales. Elles peuvent être communiquées volontairement par l’utilisateur·rice (date des règles, taux de glycémie, poids, taille, etc.) ou mesurées par le smartphone ou l’objet connecté (rythme cardiaque, qualité du sommeil, etc.). Ces applications recueillent aussi des données personnelles permettant l’identification.

Main et poignet portant un bracelet connecté (Apple watch)
© Tim Foster via Unsplach

Des enjeux majeurs de sécurité

La numérisation tous azimuts des données de santé comporte des risques, liés à la protection et à la sécurité de ces données sensibles, car elles concernent des informations privées sur les patient·es.

En France, les données de santé doivent être stockées sur des serveurs sécurisés, et, quand l’hébergeur n’est pas le producteur des données de santé, il doit obligatoirement obtenir la certification HDS (hébergeur de données de santé). Elle est délivrée pour une durée de 3 ans, avec un audit de surveillance annuel, selon les dispositions de l’article L. 1111-8 du Code de la santé publique.

Cependant les hôpitaux peuvent en être dispensés, à condition qu’ils hébergent leurs données localement. Cette dispense les rend plus vulnérables aux cyberattaques. Les conséquences de ces attaques sur les systèmes d’information des hôpitaux s’avèrent graves et préoccupantes : fonctionnement perturbé, désorganisation de l’activité pendant parfois plusieurs semaines, dégradations du service, reports d’opérations, voire impossibilité de travailler pour les personnels. Selon l’Observatoire des incidents de sécurité des systèmes d’information (CERT-FR), l’année 2022 a été marquée par 588 incidents de cyberattaques visant des établissements de santé, comme par exemple l’hôpital de Corbeil-Essonne au mois d’août. 50 % étaient d’origine malveillante, 46 % correspondaient à des tentatives d’hameçonnage, 40 % entraînaient des compromissions de comptes.

Les données volées peuvent être rançonnées, détournées ou utilisées pour des opérations malveillantes, ou vendues sur le Dark web.

Pour les patient·es, le vol peut entraîner la divulgation de leurs données et porter atteinte à leur vie privée, mais les conséquences peuvent être critiques aussi pour leur santé et avoir des implications directes sur le diagnostic, le traitement et leur suivi médical.

L’aubaine des big data en santé pour la recherche

Le volume important de données de santé disponibles constitue une matière précieuse pour la recherche biomédicale, et le développement récent des technologies permettant de les traiter (intelligence artificielle notamment) rend possible l’innovation et de multiples travaux en matière de santé publique.

Le traitement des big data (ou données massives) en santé facilite ainsi le suivi des populations (études de cohortes), éclaire l’orientation et la prise de décision en matière de santé publique, améliore la prévention, la prise en charge des maladies et la prédiction d’épidémies, permet l’analyse de l’usage des médicaments et de leurs risques… Les applications sont nombreuses.

Face au nombre croissant de données disponibles, une plateforme des données de santé, Health Data Hub a été créée en 2019 en France. Elle centralise des données de santé anonymisées, issues de sources très variées et en permet leur partage, au bénéfice de projets de recherche. Cette structure publique, prévue par la loi du 24 juillet 2019 relative à l’organisation et la transformation du système de santé, associe plus de 50 membres représentant l’État, les caisses d’Assurance Maladie et des organismes d’assurance maladie complémentaires, des organismes de recherche et d’enseignement, des agences de santé, des établissements et des professionnels de santé, des industriels et des usagers. La richesse du catalogue de données, fréquemment actualisé, et les moyens informatiques que cette plateforme met en place pour les exploiter (outils de catalogage, de métadonnées, de documentation et de création de données synthétiques) favorisent l’émergence d’un système de santé plus personnalisé et plus efficace.

Le traitement de ces données massives de santé soulève cependant des questions éthiques. Est-il nécessaire de conserver toutes les données ? Faut-il les croiser, les mutualiser ? Qui doit les gérer, la sphère publique (souveraineté numérique) ou les sociétés privées ? Et comment faire en sorte que les GAFAM ne s’approprient pas ces données ? Car les enjeux sont cruciaux : risque de divulgation de la vie privée et conséquences pour la vie sociale, perte de confiance dans la puissance publique, confidentialité de la recherche…

Selon un article d’un groupe de travail du Conseil scientifique consultatif du Health Data Hub,  les bénéfices de l’utilisation des données de santé pour la recherche dépassent largement les risques, au vu des mesures de sécurité appliquées en France. La vigilance reste tout de même de mise.

Publié le 29/07/2024 - CC BY-SA 4.0

Pour aller plus loin

« Une analyse de l’impact des cyberattaques sur les établissements de soin », Élise Gaubert et Frédéric Jallat | Revue Sécurité globale 2023/3

[Propos liminaire] La crise pandémique a accéléré une tendance lourde, celle de la numérisation des établissements de santé. À l’inverse de la distribution ou de la finance, cette numérisation est encore très récente et les systèmes d’information en santé sont encore trop peu capables de résister à des cyberattaques. De fait, le secteur de la santé était le 3e domaine le plus touché par les attaques informatiques dans le monde au premier trimestre 2023. Les attaquants peuvent utiliser ces vulnérabilités pour accéder aux systèmes et aux dispositifs médicaux, prendre le contrôle de données hospitalières, modifier les paramètres de fonctionnement des dispositifs en place, provoquer des dysfonctionnements et causer de graves dommages aux patients. Il est donc impératif de réfléchir à la manière d’endiguer les attaques informatiques dont les acteurs hospitaliers font l’objet.

À lire sur Cairn Info

Traitement des données en santé. Approches systémiques

Marius Fieschi
ISTE éditions, 2018

Une étude sur l’usage des technologies du numérique et des systèmes d’information dans le milieu de la santé. L’évolution des systèmes actuels est jugée nécessaire pour une meilleure coordination des professionnels, une amélioration de la continuité des soins ainsi que pour l’évolution des pratiques et de la recherche en santé. © Électre 2018

À la Bpi, niveau 3, 614 FIE

Innovations en santé publique, des données personnelles aux données massives (big data). Aspects cliniques, juridiques et éthiques

Michèle Stanton-Jean et Christian Hervé (dir.)
Dalloz, 2018

Ces contributions explorent les enjeux éthiques et juridiques des données massives dans le domaine de la santé. Les modifications des pratiques de soin elles-mêmes sont détaillées avec un accent sur leurs mutations ; lesquelles appellent, à la suite de telles réflexions sur l’éthique clinique et l’éthique de la recherche utilisant les big data, d’autres cadres juridiques à concevoir © Électre 2018

À la Bpi, niveau 3, 363 INN

Le Business de nos données médicales. Enquête sur un scandale d'État

Audrey Boulard
FYP éditions, 2021

Une synthèse des enjeux de la gestion des données médicales personnelles. Les institutions médicales et l’industrie pharmaceutique subissent les soupçons des usagers dus aux scandales sanitaires tels que l’affaire du sang contaminé, du Médiator et du vaccin H1N1. Dans ce contexte, les auteurs étudient les moyens de protéger les données sensibles. © Électre 2021

À la Bpi, niveau 3, 336.5 BOU

Les Systèmes d'information et la Santé. L'intégrité en question

Martin Dupressoir
Sauramps médical, 2019

Spécialisé à la fois en pharmacie industrielle et dans le management d’informations, M. Dupressoir explore les enjeux et les dangers des systèmes d’information dans le domaine de la santé que ce soit pour le patient ou pour le praticien. Il dresse un panorama des principales problématiques pour tenter de cerner ce que pourrait constituer un SI intègre d’un point de vue éthique et technique. © Électre 2019

À la Bpi, niveau 3, 363 DUP

La Technologie Blockchain appliquée à la santé. Les données patients en question

Kori Léon
Sauramps médical, 2020

Les nouvelles technologies sont de plus en plus présentes dans le secteur de la santé, notamment pour le monitorage des données médicales et de vie réelle. L’importance inédite de ces données implique l’intervention de nouveaux acteurs dans le traitement et la gestion ainsi que des questions sur la sécurité, la confidentialité ou encore la vente des informations recueillies. © Électre 2021

À la Bpi, niveau 3, 363 LEO

« Big data en santé. Des défis techniques et éthiques à relever », 27 juin 2022 | Inserm

Dans le domaine de la santé, les big data (ou données massives) correspondent à l’ensemble des données disponibles sur la santé, au sens large du terme, recueillies auprès de différentes sources. L’exploitation de ces données présente de nombreux intérêts : acquisition d’une meilleure connaissance du système de soins, identification de facteurs de risque de maladie, aide au diagnostic, au choix et au suivi de l’efficacité des traitements, pharmacovigilance, épidémiologie… Désormais, le pilotage médico-économique des établissements de santé, les décisions de santé publique et même la recherche biomédicale se fondent sur l’exploitation de données massives. Néanmoins, leur collecte et leur exploitation posent encore de nombreux défis techniques, ainsi que des questions éthiques.

Un dossier complet à lire sur le site de l’Institut national de la Santé et de la Recherche médicale

Rédiger un commentaire

Les champs signalés avec une étoile (*) sont obligatoires

Réagissez sur le sujet